نظام CVSS يتجاهل بيانات التهديد الواقعية

تعتمد العديد من الشركات على نظام تسجيل نقاط الضعف الشائعة (CVSS) لتقييم مدى خطورة نقاط الضعف لتحديد الأولويات.

في حين أن هذه النتائج توفر بعض المعلومات حول التأثير المحتمل للثغرة الأمنية، إلا أنها لا تأخذ في الاعتبار بيانات التهديد في العالم الحقيقي، مثل احتمالية الاستغلال.

مع اكتشاف الثغرات الأمنية الجديدة يوميًا، ليس لدى الفرق الوقت – أو الميزانية – لتضييعها في إصلاح الثغرات الأمنية التي لن تقلل المخاطر فعليًا.

تابع القراءة لمعرفة المزيد حول كيفية مقارنة CVSS وEPSS ولماذا يعد استخدام EPSS بمثابة تغيير في قواعد اللعبة بالنسبة لعملية تحديد أولويات الثغرات الأمنية لديك.

ما هي أولويات الضعف؟

تحديد أولويات الثغرات الأمنية هو عملية تقييم وتصنيف نقاط الضعف بناءً على التأثير المحتمل الذي يمكن أن تحدثه على المؤسسة.

الهدف هو مساعدة فرق الأمان على تحديد نقاط الضعف التي يجب معالجتها، وفي أي إطار زمني، أو إذا كانت بحاجة إلى إصلاح على الإطلاق.

تضمن هذه العملية التخفيف من المخاطر الأكثر أهمية قبل أن يتم استغلالها وهي جزء أساسي منها إدارة سطح الهجوم.

في عالم مثالي، ستكون فرق الأمن قادرة على معالجة كل ثغرة أمنية بمجرد اكتشافها، لكن هذا غير ممكن ولا فعال.

وقد أظهرت الأبحاث أن معظم الفرق لا يمكنها معالجة سوى حوالي 10-15% من نقاط الضعف المفتوحة شهريًا، ولهذا السبب يعد تحديد الأولويات بشكل فعال أمرًا في غاية الأهمية.

في نهاية المطاف، يضمن تحديد أولويات الثغرات الأمنية بشكل صحيح أن تتمكن المؤسسات من تحقيق أقصى استفادة من مواردها. لماذا يهم هذا؟ لأن الشركات لا تستطيع تحمل إنفاق الأموال على الأشياء ما لم تُحدث فرقًا، وإدارة المخاطر تدور حول التأكد من إنفاق الأموال على تقليل المخاطر بشكل حقيقي.

قيود CVSS لتحديد أولويات الضعف

تاريخيًا، إحدى الطرق الأكثر شيوعًا التي تحدد بها المؤسسات أولويات الثغرات الأمنية هي استخدام عشرات قاعدة CVSS.

يتم تحديد النتائج الأساسية لـ CVSS من خلال عوامل ثابتة عبر الزمن وبيئات المستخدم، مثل السهولة والوسائل التقنية التي يمكن من خلالها استغلال الثغرة الأمنية ونتيجة الاستغلال الناجح.

يتم قياس هذه العوامل ودمجها للحصول على درجة نهائية تتراوح بين 0 و10 – كلما ارتفعت الدرجة، زادت الخطورة.

توفر درجات CVSS خطًا أساسيًا وطريقة موحدة لتقييم الخطورة وتكون ضرورية في بعض الأحيان للامتثال. ومع ذلك، فهي تعاني من قيود تجعل الاعتماد عليها أقل كفاءة من اعتبارها جنبًا إلى جنب مع مصادر البيانات في الوقت الفعلي.

أحد القيود الرئيسية لنتائج CVSS هو أنها لا تأخذ في الاعتبار مشهد التهديد الحالي، مثل ما إذا كان يتم استغلال الثغرة الأمنية بشكل نشط في البرية.

وهذا يعني أن الثغرة الأمنية ذات درجة CVSS العالية قد لا تكون بالضرورة المشكلة الأكثر أهمية التي تواجهها المؤسسة.
يأخذ CVE-2023-48795، على سبيل المثال.

درجة CVSS الحالية هي 5.9، وهي “متوسطة”.

ولكن إذا كنت تفكر في مصادر استخباراتية أخرى للتهديد، مثل إبس، سترى أن هناك فرصة كبيرة لاستغلالها خلال الثلاثين يومًا القادمة (في وقت كتابة هذا التقرير).

يوضح هذا أهمية اتباع نهج أكثر شمولية لتحديد أولويات الثغرات الأمنية، والذي لا يأخذ في الاعتبار نتائج نظام CVSS فحسب، بل أيضًا معلومات التهديدات في الوقت الفعلي.

تحسين تحديد الأولويات باستخدام بيانات الاستغلال

لتحسين تحديد أولويات نقاط الضعف، يجب على المؤسسات تجاوز درجات CVSS والنظر في عوامل أخرى، مثل نشاط الاستغلال المحدد في البرية.

مصدر قيم لهذا هو EPSS، وهو نموذج تم تطويره بواسطة أولاً.

ما هو EPSS؟

EPSS هو نموذج يوفر تقديرًا يوميًا لاحتمال استغلال الثغرة الأمنية خلال الثلاثين يومًا القادمة.

وينتج النموذج درجة تتراوح بين 0 و1 (0 و100%)، وتشير الدرجات الأعلى إلى احتمالية أكبر للاستغلال.

يعمل النموذج من خلال جمع مجموعة واسعة من معلومات الضعف من مصادر مختلفة، مثل قاعدة بيانات الضعف الوطنية (NVD)، وCISA KEV، وExploit-DB، إلى جانب أدلة نشاط الاستغلال.

وباستخدام التعلم الآلي، يقوم بتدريب نموذجه على تحديد الأنماط الدقيقة بين نقاط البيانات هذه، مما يسمح له بالتنبؤ باحتمالية الاستغلال في المستقبل.

CVSS مقابل EPSS

فكيف تساعد نتائج EPSS بالضبط في تحسين تحديد أولويات الثغرات الأمنية؟

يوضح الرسم البياني أدناه سيناريو يتم فيه إعطاء الأولوية للثغرات الأمنية ذات درجة CVSS 7 أو أعلى للمعالجة. تمثل الدائرة الزرقاء جميع هذه التهديدات الخطيرة المسجلة في 1 أكتوبر 2023.

وباللون الأحمر، يمكنك رؤية جميع التهديدات الخطيرة ذات درجات CVSS التي تم استغلالها في الثلاثين يومًا التالية.

كما ترون، فإن عدد الثغرات التي تم استغلالها في البرية يمثل عددًا صغيرًا من الثغرات التي حصلت على درجة CVSS تبلغ 7 أو أعلى.

دعونا نقارن هذا بالسيناريو الذي يتم فيه تحدي أولويات الثغرات الأمنية بناءً على حد EPSS المعين على 10%.

هناك اختلاف ملحوظ بين المخططين أدناه وهو حجم الدوائر الزرقاء، والتي تشير إلى عدد الثغرات الأمنية التي تحتاج إلى تحديد أولوياتها.

وهذا يعطي فكرة عن مقدار الجهد المطلوب لكل استراتيجية تحديد الأولويات.

مع حد 10% لـ EPSS، يكون الجهد أقل بكثير، حيث يوجد عدد أقل بكثير من نقاط الضعف التي يجب تحديد أولوياتها، مما يقلل من الوقت والموارد اللازمة.

كما أن الكفاءة أعلى بكثير أيضًا، حيث يمكن للمؤسسات التركيز على نقاط الضعف التي سيكون لها التأثير الأكبر إذا لم تتم معالجتها أولاً.

ومن خلال أخذ EPSS في الاعتبار عند تحديد أولويات الثغرات الأمنية، يمكن للمؤسسات مواءمة جهودها العلاجية بشكل أفضل مع مشهد التهديد الفعلي. على سبيل المثال، إذا كان EPSS يشير إلى احتمال كبير لاستغلال ثغرة أمنية ذات درجة CVSS منخفضة نسبيًا، فقد تفكر فرق الأمان في إعطاء الأولوية لتلك الثغرة الأمنية على الثغرة الأخرى التي قد يكون لها درجات CVSS أعلى ولكن احتمالية استغلالها أقل.

تبسيط تحديد أولويات الثغرات الأمنية مع Intruder

دخيل عبارة عن منصة أمان قائمة على السحابة تساعد الشركات على إدارة سطح الهجوم الخاص بها وتحديد نقاط الضعف قبل أن يتم استغلالها.

من خلال توفير مراقبة أمنية مستمرة وإدارة سطح الهجوم وتحديد أولويات التهديدات الذكية، يسمح Intruder للفرق بالتركيز على المخاطر الأكثر أهمية مع تبسيط الأمن السيبراني.

إن Intruder على وشك إطلاق ميزة تحديد أولويات الثغرات الأمنية، المدعومة بنظام تسجيل نقاط الاستغلال (EPSS) – وهو نموذج يعزز التعلم الآلي للتنبؤ بمدى احتمال استغلال الثغرة الأمنية خلال الثلاثين يومًا القادمة.

ستتمكن قريبًا من عرض نتائج EPSS مباشرة داخل منصة Intruder، مما يمنح فريقك سياقًا حقيقيًا لتحديد الأولويات بشكل أكثر ذكاءً.

سيتم عرض هذه النتائج جنبًا إلى جنب مع نظام التسجيل الحالي، والذي يجمع بين نتائج CVSS مع مدخلات من فريق خبراء الأمن التابعين لشركة Intruder لتحديد أولويات نتائجك بذكاء.