المعهد الوطني للمعايير والتكنولوجيا في الولايات المتحدة، يعيد تشكيل قاعدة بيانات الثغرات بشكل شامل… ويبدأ بتعزيزها من خلال "الثغرات عالية الخطورة CVE"

قام المعهد الوطني للمعايير والتقنية في الولايات المتحدة(NIST) بإجراء تغييرات جوهرية على طريقة تشغيل قاعدة بيانات الثغرات الوطنية(NVD). من الآن فصاعدًا، لن يتم تحليل جميع الإعلانات العامة عن الثغرات(CVE) بشكل جماعي، بل سيتم التحول إلى نظام “الانتقاء القائم على المخاطر” الذي يعالج الثغرات ذات المخاطر الفعلية العالية أولاً.

ويأتي هذا الإجراء نتيجة للزيادة الهائلة في عدد تقارير CVE التي أصبح من الصعب التعامل معها بالطرق الحالية. ووفقًا لـNIST، من عام 2020 إلى 2025، زاد عدد تقارير CVE بنسبة 263%، كما أن عدد التقارير المقدمة في الربع الأول من عام 2026 زاد بنحو الثلث مقارنة بنفس الفترة من العام السابق. وشرح NIST أن، على الرغم من تعزيز حوالي 42,000 تقرير CVE في عام 2025، بزيادة قدرها 45% عن العام السابق، إلا أن ذلك لا يكفي لمواكبة معدل النمو.

ابتداءً من الآن، سيتم تحليل الثغرات “الأكثر خطورة”

وفقًا للمعيار الجديد، سيقوم NIST فقط بإعطاء الأولوية لتقارير CVE التي تلبي ثلاثة شروط لعملية “التعزيز الكامل”. وتشمل: أن تكون مدرجة في قائمة الثغرات المعروفة التي تم نشرها من قبل إدارة الأمن السيبراني والبنية التحتية الأمريكية(CISA)؛ أن تؤثر على البرامج المستخدمة من قبل الحكومة الفيدرالية الأمريكية؛ وأن تؤثر على المنتجات ذات الصلة بالأمر التنفيذي رقم 14028 حول “البرمجيات الحيوية”.

وبشكل خاص، بالنسبة للثغرات المدرجة في قائمة KEV الخاصة بـCISA، الهدف هو إكمال عملية التعزيز خلال يوم عمل واحد بعد الإبلاغ عنها. أما الثغرات غير المدرجة في هذه القائمة، فستظل مسجلة في NVD، ولكن سيتم تصنيفها على أنها “غير مجدولة”. وفي هذه الحالة، لن يتم تلقائيًا إضافة تقييمات المخاطر أو معلومات المنتج التي تعتمد عليها فرق الأمان عند تحديد أولوية التصحيح.

تنظيف الأعمال المتراكمة منذ عام 2024

كما يخطط NIST أيضًا لتنظيف الأعمال المتراكمة منذ بداية عام 2024. بشكل مبدئي، ستُنقل جميع CVE التي كانت منشورة في NVD ولم يتم تعزيزها بعد إلى فئة “غير مجدولة” قبل 1 مارس 2026. ومع ذلك، فإن الثغرات المدرجة في قائمة KEV لن تشمل ضمن هذا التنظيف.

كما سيتم تبسيط بعض العمليات. إذا قدمت وكالة إدارة الثغرات(CNA) تقييمات مخاطر خاصة بها، فلن يتم حساب نفس التقييمات مرة أخرى من قبل NIST. بالإضافة إلى ذلك، لن يتم إعادة تحليل CVE التي تم تعديلها في كل تحديث، إلا إذا كان التغيير يؤثر بشكل جوهري على بيانات التعزيز.

الذكاء الاصطناعي يُعزى إلى سبب الزيادة في تقارير الثغرات

على الرغم من أن NIST لم يحدد بشكل مباشر أن الذكاء الاصطناعي(AI) هو السبب، إلا أن الصناعة ترى أن الذكاء الاصطناعي هو أحد العوامل الرئيسية التي ساهمت في زيادة معدل CVE. وقال فنسنزو يوجيو، الشريك المؤسس والرئيس التنفيذي لشركة SlashID المختصة في كشف التهديدات والرد عليها: “الزيادة في تقارير الثغرات التي تم التحقق منها والتي اكتشفها الذكاء الاصطناعي”، وأضاف: “تُشير بعض التحليلات إلى أن عدد الثغرات المبلغ عنها العام الماضي فقط زاد أكثر من الضعف.”

وصف يوجيو هذا التغيير في السياسة بأنه “تعديل منطقي، لأن الفئات الأهم ستظل تتلقى المعالجة المستمرة”. وتوقع أنه مع تحسين أداء نماذج اللغة الكبيرة(LLM)، ستتمكن المؤسسات من تقييم أولوية الثغرات وخلفيتها بناءً على بيئتها الخاصة، مما يقلل تدريجيًا من الاعتماد على “تعزيز CVE” من الخارج.

“الآن لا يمكن الاكتفاء فقط بتقييم CVE”

وأشار شين فلي، المدير التقني في RunSafe Security، إلى أن هذا الإعلان يرسل إشارة واضحة إلى الصناعة. وقال: “هذا يعني أن عصر الانتظار حتى ظهور تقييم CVE لم يعد قائمًا.”

وشدد فلي على أن، نظرًا لطبيعة عدم اكتمال رؤية الثغرات، يجب على الشركات والمؤسسات عدم الاعتماد فقط على قاعدة بيانات واحدة، بل ينبغي دمج مصادر متعددة لمعلومات الثغرات لاتخاذ قرارات أكثر دقة. وأضاف أنه يجب أيضًا بناء نظام دفاعي يمنع استغلال الثغرات حتى قبل إصدار التصحيحات أو التقييمات الرسمية، مع افتراض وجود ثغرات غير معلن عنها في البرمجيات.

ويعد هذا الإصلاح أقرب إلى تغيير في هيكل السوق منه إلى تعديل إداري بسيط. في ظل الزيادة الهائلة في الثغرات، أصبح النهج المتمثل في تحليل جميع المشاريع بنفس العمق محدودًا، ووجهت NIST توجهها نحو التركيز على “الأولوية”. وفي مجال الممارسات الأمنية، ستصبح القدرة على تقييم الثغرات بسرعة أكبر من مجرد انتظار تقييم NVD، من خلال دمج معلومات التهديدات وحالة الأصول، أكثر أهمية في المستقبل.

ملاحظات حول AI: تم إعداد ملخص المقال استنادًا إلى نموذج TokenPost.ai اللغوي. قد يكون هناك نقص في المحتوى الرئيسي أو وجود اختلافات مع الحقائق.