CVSS (نظام تسجيل الثغرات الشائعة)

TL;DR

CVSS هو طريقة قياسية لتحديد مدى سوء الثغرة الأمنية. يعطي كل ثغرة درجة من 0 إلى 10 حتى تعرف الفرق ما يجب إصلاحه أولاً.

فكر في الأمر على النحو التالي:

• 0.0 → لا توجد مشكلة
• 10.0 → اترك كل شيء وقم بإصلاحه الآن

ما هو CVSS؟

CVSS هو نظام تسجيل مجاني وشائع الاستخدام للثغرات الأمنية. يتم الحفاظ عليه من قبل مجموعة صناعية تسمى FIRST، ويستخدمه الجميع تقريبًا في مجال الأمن.

كل ثغرة تحصل على رقم بين 0.0 و 10.0 بناءً على أشياء مثل:

• مدى سهولة استغلالها
• ما إذا كان يمكن مهاجمتها عن بُعد
• مقدار الضرر الذي يمكن أن تسببه؟

بعبارات بسيطة: CVSS هو مقياس حرارة لأخطاء البرمجيات.

لماذا CVSS مهم

بدون CVSS، سيصف الجميع شدة الثغرات بشكل مختلف. قد يقول أحد البائعين أن الثغرة “حرجة”، بينما يصفها آخر بأنها “متوسطة”. CVSS يوفر للجميع لغة مشتركة.

إنه مهم لأن:

• يخبر الفرق بما يجب إصلاحه أولاً معظم الشركات تضع قواعد مثل: “أي شيء فوق 9.0 يجب إصلاحه في غضون 48 ساعة.”
• يستخدمه قواعد بيانات الثغرات قاعدة البيانات الوطنية للثغرات (NVD) تعين درجات CVSS لكل تقريبًا CVE، مما يسمح للأدوات بفرز آلاف القضايا تلقائيًا.
• يزيل التخمين بدلاً من الجدال حول مدى سوء الثغرة، يجبرك CVSS على النظر إلى عوامل ملموسة مثل قابلية الاستغلال والتأثير.

كيف يعمل CVSS

CVSS لديه ثلاثة أنواع من الدرجات. في معظم الأحيان، سترى فقط النوع الأول.

1. الدرجة الأساسية (التي يستخدمها الجميع)

تقيس مدى سوء الثغرة بحد ذاتها، بغض النظر عن مكان نشرها.

تنظر إلى أسئلة مثل:

• هل يمكن استغلالها عبر الإنترنت؟
• هل من السهل أو الصعب تنفيذها؟
• هل يحتاج المهاجم إلى تسجيل الدخول؟
• هل يحتاج إلى خداع المستخدم؟
• ماذا يحدث إذا تم استغلالها؟ (سرقة البيانات، السيطرة على النظام، توقف العمل)

هذه هي الدرجة التي تراها عادةً في قوائم CVE.

2. الدرجة الزمنية (تستخدم أحياناً)

تعدل الدرجة بناءً على ما يحدث الآن.

على سبيل المثال:

• هل هناك رمز استغلال عام؟ (تزداد الدرجة)
• هل هناك تصحيح متاح؟ (تنخفض الدرجة)

3. الدرجة البيئية (متقدمة، اختيارية)

تخصص الدرجة لبيئتك.

على سبيل المثال:

• هل النظام داخلي فقط؟ (أقل خطورة)
• هل يحتوي على بيانات العملاء؟ (أكثر خطورة)

مثال حقيقي: Log4j

Log4j (Log4Shell) هي واحدة من أشهر الثغرات على الإطلاق.

كانت درجة CVSS الخاصة بها 10.0 (حرجة).

لماذا؟

• يمكن استغلالها عن بعد
• لا تتطلب تسجيل دخول
• كانت سهلة الاستغلال
• سمحت بالسيطرة الكاملة على النظام

من يستخدم CVSS؟

• موردو البرمجيات لشرح مدى خطورة العيب
• فرق الأمن للتركيز على القضايا الأكثر خطورة
• المدققون للتحقق مما إذا كانت الثغرات قد تم إصلاحها في الوقت المناسب

نطاقات درجات CVSS (v3.1)

إليك كيف تترجم الأرقام عادةً:

• 0.0 → لا توجد مشكلة
• 0.1–3.9 → منخفضة (الإصلاح لاحقًا)
• 4.0–6.9 → متوسطة (الإصلاح قريبًا)
• 7.0–8.9 → عالية (الإصلاح بشكل عاجل)
• 9.0–10.0 → حرجة (الإصلاح فورًا)

أفضل الممارسات (مهم)

• لا تعتمد على CVSS وحده CVSS يقيس الخطورة، وليس المخاطر. الخطأ الحرج على خادم مغلق ليس تهديدًا حقيقيًا.
• اجمع بين CVSS واحتمالية الاستغلال اربط CVSS مع EPSS لمعرفة أي الأخطاء من المرجح أن يتم استغلالها.
• تعديل وفقًا لبيئتك الخطأ على خادم اختبار ليس مثل الخطأ في قاعدة بيانات الإنتاج.
• اعرف الإصدارات CVSS v4.0 موجود، لكن v3.1 لا يزال الأكثر استخدامًا اليوم.

تجنب إرهاق التنبيهات

العثور على مشاكل الأمان يكون مفيدًا فقط إذا كان فريقك يعرف ما يجب إصلاحه أولاً. إغراق المهندسين بمئات التنبيهات لا يحسن الأمان؛ بل يخلق إرهاق التنبيهات

يساعد Plexicus في ترتيب الثغرات بحيث يمكن لفريقك التركيز على ما يهم بالفعل. بدلاً من التعامل مع كل مشكلة بنفس الطريقة، يستخدم Plexicus بعض المقاييس البسيطة لتوجيه الأولويات.

1) الأولوية

ما يعنيه: مدى إلحاح هذه المشكلة حقًا

الأولوية هي درجة من 0 إلى 100 تجمع كل شيء في رقم واحد:

• الخطورة التقنية (CVSS v4)
• تأثير الأعمال
• مدى احتمالية استغلالها

هذه هي قائمة الإجراءات الخاصة بك. قم بالفرز حسب الأولوية وابدأ من الأعلى.

• الأولوية 85 → اترك كل شيء وقم بإصلاح هذا الآن
• الأولوية 45 → مهم، لكنه يمكن أن ينتظر حتى الدورة القادمة

مثال

مشكلة حقن SQL في أداة داخلية التي:

• يمكن الوصول إليها فقط عبر VPN الشركة
• لا تخزن بيانات حساسة

الدرجات:

• CVSS v4: 8.2 (خطير تقنيًا)
• تأثير الأعمال: 45 (أداة داخلية، تعرض محدود)
• توفر الاستغلال: 30 (يتطلب تسجيل الدخول)
• الأولوية: 48

لماذا الأهمية مهمة

إذا نظرت فقط إلى درجة CVSS، قد تصاب بالذعر لأن 8.2 يبدو مخيفًا. الأهمية تضع المشكلة في سياق وتقول: “هذا حقيقي، لكنه ليس عاجلًا. أصلحه في الدورة القادمة.”

هذا يحافظ على تركيز الفرق على المخاطر الحقيقية بدلاً من الرد على كل درجة CVSS عالية.

2) التأثير

ما يعنيه: مدى سوء الأمور إذا تم استغلال هذا

يتم تقييم التأثير من 0 إلى 100 ويعكس العواقب التجارية، وليس فقط التقنية. ينظر إلى أشياء مثل:

• هل تتضمن بيانات العملاء؟
• هل هذا النظام حيوي للعمليات؟
• هل هناك مخاطر الامتثال أو التنظيمية؟

مثال

• حقن SQL في قاعدة بيانات العملاء العامة → التأثير 95
• نفس المشكلة في بيئة اختبار داخلية → التأثير 30

نفس الخطأ، خطر تجاري مختلف جدًا.

3) EPSS

ما يعنيه: مدى احتمالية أن يستغل المهاجمون هذا

يتنبأ EPSS بفرصة أن يتم استغلال الثغرة في العالم الحقيقي خلال الـ 30 يومًا القادمة. يتراوح من 0.0 إلى 1.0.

مثال

• ثغرة قديمة مع CVSS 9.0 ولكن لا توجد هجمات نشطة → EPSS 0.01
• ثغرة أحدث مع CVSS 6.0 يستخدمها المهاجمون بنشاط → EPSS 0.85

EPSS يساعدك على التركيز على ما يهتم به المهاجمون الآن، وليس فقط ما يبدو سيئًا على الورق.

كيفية استخدام هذه المقاييس في Plexicus

1. قم بتوصيل مستودعك وانتظر حتى ينتهي الفحص
2. انتقل إلى صفحة النتائج
3. قم بالفرز والتصفية حسب الأولوية لتحديد ما يجب إصلاحه أولاً

المصطلحات ذات الصلة

• CVE (الثغرات والتعرضات الشائعة)
• EPSS (نظام تسجيل توقع الاستغلال)
• إدارة الثغرات
• NVD (قاعدة بيانات الثغرات الوطنية)

الأسئلة الشائعة حول CVSS

ما هو أعلى درجة CVSS؟

10.0. يعني أن الخطأ سهل الاستغلال ويسبب ضررًا كبيرًا.

هل 9.0 دائمًا أسوأ من 7.0؟

على الورق، نعم. في الواقع، ليس دائمًا. يمكن أن يكون 7.0 الذي يتم استغلاله بنشاط أكثر خطورة من 9.0 الذي لا يستخدمه أحد.

من يحدد درجة CVSS؟

عادةً ما يكون بائع البرنامج أو NVD. أحيانًا يقوم الباحثون الأمنيون بذلك.

هل يمكنني تغيير درجة CVSS داخليًا؟

نعم. تقوم العديد من الفرق بتعديل الدرجات لتعكس إعداداتهم في العالم الحقيقي، خاصة إذا كانت لديهم حماية قوية في المكان.