شارك
الرئيسية
9 دقيقة
كل يوم، يثق مليارات الأشخاص في الأنظمة الرقمية لتشغيل كل شيء من الاتصالات إلى التجارة إلى البنية التحتية الحيوية. لكن نظام الإنذار المبكر العالمي الذي ينبه فرق الأمن إلى الثغرات البرمجية الخطيرة يظهر ثغرات خطيرة في التغطية، ومعظم المستخدمين ليس لديهم أي فكرة عن أن حياتهم الرقمية من المحتمل أن تصبح أكثر عرضة للخطر.
على مدار الثمانية عشر شهراً الماضية، اقتربت ركيزتان من ركائز الأمن السيبراني العالمي من الانهيار الواضح. في فبراير/شباط 2024، توقفت قاعدة البيانات الوطنية للثغرات الأمنية (NVD) المدعومة من الولايات المتحدة -التي يعتمد عليها عالمياً نظراً لتحليلها المجاني للتهديدات الأمنية- فجأة عن نشر إدخالات جديدة، مشيرة إلى "تغيير غامض في الدعم المشترك بين الوكالات" بعد ذلك، في أبريل/نيسان من هذا العام، بدا أن برنامج الثغرات والتعرضات الشائعة (CVE)، وهو نظام الترقيم الأساسي لتتبع الثغرات البرمجية، في خطر مماثل: فقد حذرت رسالة مسربة من انتهاء وشيك للعقد.
فوضى سيبرانية
ومنذ ذلك الحين، أغرق خبراء الأمن السيبراني قنوات ديسكورد وموجزات لينكدإن بمنشورات طارئة وميمات تخص كلاً من قاعدة البيانات الوطنية للثغرات الأمنية وبرنامج الثغرات والتعرضات الشائعة، محفورة على شواهد القبور. تعد الثغرات التي لم يجر إصلاحها ثاني أكثر الطرق التي يتبعها المهاجمون السيبرانيون شيوعاً لاختراق الأنظمة، وقد أدت إلى انقطاعات كهرباء مميتة في المستشفيات وأعطال في البنية التحتية الحيوية. في منشور على وسائل التواصل الاجتماعي، قالت الخبيرة الأميركية في الأمن السيبراني، جين إيسترلي: "إن فقدان دليل الثغرات والتعرضات المشتركة سيكون مثل تمزيق دليل البطاقات من كل مكتبة دفعة واحدة، ما يترك المدافعين في حالة من الفوضى بينما يستفيد المهاجمون من كل شيء". إذا كانت الثغرات والتعرضات المشتركة تحدد كل ثغرة مثل كتاب في دليل للبطاقات، فإن مدخلات قاعدة البيانات الوطنية للثغرات الأمنية توفر مراجعة مفصلة مع السياق حول الخطورة والنطاق وإمكانية الاستغلال.
في النهاية، عمدت وكالة الأمن السيبراني وأمن البنية التحتية التي تسمى اختصاراً "سيسا" (CISA) إلى تمديد تمويل برنامج "CVE" عاماً إضافياً، وعزت الحادث إلى "مشكلة في إدارة العقد". ولكن ثبت أن قصة قاعدة البيانات "NVD" أكثر تعقيداً، فقد أفادت التقارير أن مؤسستها الأم، المعهد الوطني للمعايير والتكنولوجيا الذي يسمى اختصاراً "نيست" (NIST)، شهدت خفض ميزانيتها بنسبة 12% تقريباً في عام 2024 في الوقت الذي سحبت فيه سيسا تمويلها السنوي البالغ 3.7 ملايين دولار أميركي من أجل قاعدة البيانات "NVD". بعد فترة وجيزة، ومع تزايد تراكم الثغرات غير المعالجة، أطلقت سيسا برنامجها الخاص المسمى "فلنريتشمنت" للمساعدة على معالجة فجوة التحليل، مع تعزيز نهج أكثر توزيعاً يسمح للعديد من الشركاء المعتمدين بنشر بيانات غنية.
تقول المديرة المساعدة لإدارة الثغرات الأمنية في وكالة سيسا، ساندي راديسكي: "تعمل وكالة سيسا باستمرار على تقييم كيفية تخصيص الموارد المحدودة بأقصى قدر من الفعالية لمساعدة المؤسسات على الحد من مخاطر الثغرات الأمنية التي اكتشفت حديثاً". وتؤكد أن إنشاء "فلنريتشمنت" لم يكن لسد الفجوة فحسب، بل أيضاً من أجل توفير معلومات إضافية فريدة، مثل الإجراءات الموصى بها لأصحاب المصلحة المحددين، ومن أجل "تقليل الاعتماد على دور الحكومة الفيدرالية لتكون المزود الوحيد لإثراء الثغرات الأمنية".
في هذه الأثناء، سارع معهد نيست إلى توظيف متعاقدين للمساعدة على معالجة الأعمال المتراكمة. على الرغم من العودة إلى مستويات المعالجة التي كانت سائدة قبل الأزمة، فإن الطفرة في الثغرات الأمنية التي كشف عنها حديثاً إلى قاعدة البيانات "NVD" تجاوزت هذه الجهود. في الوقت الحالي، ثمة أكثر من 25,000 ثغرة تنتظر المعالجة، أي ما يقرب من 10 أضعاف المستوى السابق في عام 2017، وفقاً لبيانات من شركة البرمجيات أنكور. قبل ذلك، كانت قاعدة البيانات "NVD" تواكب إلى حد كبير منشورات البرنامج "CVE"، وحافظت على الحد الأدنى من عدد الثغرات غير المعالجة.
قال رئيس قسم الأمن الحاسوبي في مختبر تكنولوجيا المعلومات التابع للمعهد نيست، ماثيو شول، في أبريل/نيسان: "لقد كانت الأمور مضطربة، وكنا نمر بأوقات تغيير في المجالات جميعها". "لقد أكدت القيادة لي وللجميع أن قاعدة البيانات ’NVD‘ تمثل أولوية مهمة لمعهد نيست من حيث الموارد والقدرات وستظل كذلك". غادر شول معهد نيست في مايو/أيار بعد 20 عاماً من العمل في الوكالة، ورفض المعهد التعليق على مسألة قائمة الثغرات المتراكمة غير المعالجة.
اقرأ أيضاً: برامج مكافحة الفيروسات التي ينصح بها خبراء الأمن السيبراني
عصر جديد من المخاطر السيبرانية
وقد أدى الوضع الآن إلى اتخاذ إجراءات حكومية متعددة، حيث أطلقت وزارة التجارة عملية تدقيق لقاعدة البيانات "NVD" في مايو/أيار ودعا الديمقراطيون في مجلس النواب إلى إجراء تحقيق أوسع نطاقاً في كلا البرنامجين في يونيو/حزيران. لكن الضرر الذي لحق بالثقة بدأ بالفعل في إحداث تحولات في الجغرافيا السياسية وسلاسل التوريد في الوقت الذي تستعد فيه فرق الأمن لعصر جديد من المخاطر السيبرانية. تقول روز غوبتا، التي تعمل في مجال بناء برامج إدارة الثغرات الأمنية في المؤسسات وإدارتها: "لقد ترك ذلك انطباعاً سيئاً، وبدأ الناس يدركون أنه لا يمكنهم الاعتماد على ذلك. حتى لو اتفقوا على كل شيء غداً بميزانية أكبر، لا أعلم إن كان هذا لن يحدث مرة أخرى. لذا علي التأكد من وجود ضوابط أخرى في مكانها الصحيح".
مع تعثر هذه الموارد العامة، تواجه المؤسسات والحكومات نقطة ضعف خطيرة في بنيتنا التحتية الرقمية، إذ تعتمد خدمات الأمن السيبراني العالمية الأساسية على شبكة معقدة من مصالح الوكالات الأميركية والتمويل الحكومي الذي يمكن خفضه أو إعادة توجيهه في أي وقت.
من يملكون الأمن ومن لا يملكونه
بدأ الأمر مع عدد ضئيل من ثغرات البرمجيات في بدايات عصر الإنترنت، ثم أصبح سيلاً جارفاً لا يمكن إيقافه، وقواعد البيانات المجانية التي تتبعت هذه الثغرات عقوداً من الزمن كافحت لمواكبة ذلك. في أوائل يوليو/تموز، وصلت قاعدة بيانات البرنامج "CVE" إلى أكثر من 300,000 ثغرة مفهرسة. وتقفز الأرقام بطريقة غير متوقعة كل عام، وأحياناً بنسبة 10% أو أكثر بكثير. وحتى قبل أزمة قاعدة البيانات "NVD" الأخيرة، اشتهرت بتأخرها في نشر تحليلات الثغرات الجديدة، وغالباً ما كانت تتأخر عن البرامج الأمنية الخاصة وإرشادات البائعين بأسابيع أو أشهر.
وقد شاهدت غوبتا المؤسسات التي تعتمد بصورة متزايدة على برامج إدارة الثغرات الأمنية التجارية التي تتضمن خدمات استقصاء التهديدات الخاصة بها. وتضيف: "لقد أصبحنا بالتأكيد نعتمد بصورة مفرطة على أدوات إدارة الثغرات الأمنية الخاصة بنا"، واصفة بذلك اعتماد فرق الأمن المتزايد على بائعين مثل "كواليس" و"رابيد-7" و"تنيبل" لتكملة قواعد البيانات العامة غير الموثوقة أو استبدالها. تجمع هذه المنصات بين أبحاثها الخاصة ومصادر البيانات المختلفة لإنشاء درجات مخاطر خاصة تساعد الفرق على تحديد أولويات الإصلاحات. ولكن لا يمكن لجميع المؤسسات أن تتحمل تكلفة سد فجوة "NVD" بأدوات أمنية متميزة. وتوضح غوبتا: "الشركات الأصغر حجماً والشركات الناشئة، التي هي في وضع غير موات بالفعل، ستكون أكثر عرضة للخطر".
ويصف مهندس الأمن في نيودلهي الذي تمتلك شركته الناشئة السحابية -التي ما زالت في مرحلتها المتوسطة- ميزانية محدودة، كومال راوات، التأثير بوضوح قائلاً: "إذا اختفت قاعدة البيانات ’NVD‘، فسيتسبب ذلك بأزمة في السوق. قواعد البيانات البديلة ليست شائعة إلى هذا الحد، وإن استخدمت، فهي ليست مجانية. وإذا لم يكن لديك بيانات محدثة، فأنت مكشوف للمهاجمين الذين لديهم هذه البيانات".
وتراكم عدد الثغرات غير المعالجة يعني أن الأجهزة الجديدة قد تكون أكثر عرضة لوجود نقاط ضعف خفية فيها، سواء كان ذلك جرس الباب في المنزل أو نظام التحكم في الوصول "الذكي" في مبنى المكاتب. قد يكون الخطر الأكبر هو الثغرات الأمنية "الفردية" التي تمر دون أن تلفت الانتباه. تقول غوبتا: "ثمة الآلاف من الثغرات الأمنية التي لن تؤثر في غالبية المؤسسات. هذه هي الثغرات التي لا نحصل على تحليل لها، ما يجعلنا معرضين للخطر".
ويقر معهد نيست بأن لديه رؤية محدودة حول المؤسسات الأكثر تأثراً بالثغرات المتراكمة. يقول متحدث باسم المعهد: "نحن لا نتتبع بأسلوب يجعلنا نربط القطاعات بالمنتجات التي تستخدمها، ومن ثم لا يمكننا قياس التأثير في قطاعات محددة". بدلاً من ذلك، يعمل الفريق على تحديد أولويات الثغرات الأمنية على أساس قائمة الثغرات المعروفة لدى سيسا وتلك المدرجة في إرشادات البائعين، مثل تصحيح يوم الثلاثاء من مايكروسوفت (Microsoft Patch Tuesday).
الثغرة الأكبر
راقب براين مارتن تطور هذا النظام -وتدهوره- من الداخل. وهو عضو سابق في مجلس إدارة "CVE" وقائد مشروع أصلي أسهم في تأسيس قاعدة بيانات الثغرات المفتوحة المصدر، وقد اكتسب سمعة قوية على مدى عقود بصفته مؤرخاً وممارساً رائداً. يقول مارتن إن مشروعه الحالي المسمى "فلن دي بي" (VulnDB) (وهو جزء من نظام أمن شركة فلاش بوينت)، يتفوق على قواعد البيانات الرسمية التي أسهم في الإشراف عليها في السابق. ويقول: "يتولى فريقنا معالجة المزيد من الثغرات، وبسرعة أكبر بكثير، ونفعل ذلك مقابل جزء بسيط من التكلفة"، في إشارة إلى عشرات الملايين من العقود الحكومية التي تدعم النظام الحالي.
عندما تحدثنا في شهر مايو/أيار، قال مارتن إن قاعدة بياناته تحتوي على أكثر من 112,000 ثغرة أمنية من دون معرفات البرنامج "CVE"، وهي ثغرات أمنية موجودة في العلن لكنها تظل غير مرئية للمؤسسات التي تعتمد فقط على القنوات العامة. وقال: "لو خصصت المال اللازم لمضاعفة فريقي ثلاث مرات، لكان عدد الثغرات التي ليس لها معرفات على البرنامج ’CVE‘ في حدود 500,000".
اقرأ أيضاً: هل فريقك مستعد للهجمات السيبرانية؟ أساسيات الأمن الرقمي لكل مدير
في الولايات المتحدة، تنقسم المهام الرسمية لإدارة الثغرات الأمنية بين شبكة من المتعاقدين والوكالات والمراكز غير الربحية مثل مؤسسة ميتر. يقول النقاد مثل مارتن إن ذلك يتيح إمكانية التكرار والارتباك وانعدام الكفاءة، مع وجود طبقات من الإدارة الوسطى وعدد قليل نسبياً من خبراء الثغرات الأمنية الفعليين. ويدافع آخرون عن جدوى هذا التقسيم. قالت سيسا في بيان لها: "تتكامل هذه البرامج فيما بينها أو يكمل بعضها بعضاً لخلق مجتمع أكثر شمولاً ودعماً وتنوعاً. وهذا يعزز مرونة منظومة العمل المتكاملة بأكملها وفائدتها".
مع تذبذب القيادة الأميركية، تتقدم الدول الأخرى. تدير الصين الآن العديد من قواعد بيانات الثغرات الأمنية، بعضها قوي إلى حد الدهشة ولكن يشوبها احتمال خضوعها لسيطرة الدولة. في شهر مايو/أيار، سرع الاتحاد الأوروبي إطلاق قاعدة البيانات الخاصة به، بالإضافة إلى بنية "الثغرات والتعرضات الشائعة العالمية" اللامركزية. بعد وسائل التواصل الاجتماعي والخدمات السحابية، أصبحت استخبارات الثغرات الأمنية جبهة أخرى في سباق الاستقلال التكنولوجي.
وهذا يجبر خبراء الأمن على التنقل بين مصادر بيانات متعددة، قد تكون متضاربة. تقول غوبتا، واصفة الأسلوب الذي يتبعه فريقها في مراقبة قواعد بيانات متعددة على الرغم من التعقيد الإضافي: "سيكون الأمر فوضوياً، لكنني أفضل الحصول على الكثير من المعلومات على ألا يكون لدي معلومات على الإطلاق".
إعادة ضبط مسؤولية البرمجيات
مع تكيف المدافعين مع المشهد المتشرذم، تواجه صناعة التكنولوجيا تساؤلاً آخر: لماذا لا يتحمل موردو البرمجيات مزيداً من المسؤولية عن حماية عملائهم من المشاكل الأمنية؟ يكشف كبار الموردين بانتظام عن آلاف الثغرات الأمنية الجديدة سنوياً، لكن دون تصحيح لها بالضرورة. قد يؤدي كشف واحدة منها إلى تعطل أنظمة حيوية للغاية أو زيادة مخاطر الاحتيال وإساءة استخدام البيانات.
على مدى عقود، كان هذا القطاع يتخفى وراء دروع قانونية. فقد كانت "التراخيص المغلفة" تجبر المستهلكين في السابق على التنازل عموماً عن حقهم في تحميل موردي البرمجيات المسؤولية عن العيوب. أما اليوم، فقد تطورت اتفاقيات ترخيص المستخدم النهائي التي تسمى اختصاراً "إيولاس" (EULAs)، والتي غالباً ما تقدمها الشركات عبر نوافذ المتصفح المنبثقة، إلى مستندات طويلة غير مفهومة. في نوفمبر/تشرين الثاني الماضي، اعتمد مشروع مختبري يحمل اسم "إيولاس أوف ديسبير" (EULAS of Despair) طول رواية "الحرب والسلام" (587,287 كلمة) لقياس هذه العقود المترامية الأطراف. وإذا أردت أن تعرف أسوأ مزود للخدمة من حيث طول اتفاقيته، فالجواب هو منصة تويتر (التي تعرف اليوم باسم إكس)، حيث بلغ طولها 15.83 رواية.
تقول المستشارة الأميركية الخاصة وأستاذة القانون التكنولوجي في جامعة ولاية بنسلفانيا، حيث تدير مختبر ابتكار السياسات للغد، أندريا ماتويشين: "هذا وهم قانوني أنشأناه حول منظومة العمل هذه بأكملها، وهو ببساطة غير مستدام". وتضيف: "يشير بعض الناس إلى أن البرمجيات يمكن أن تحتوي على مزيج من المنتجات والخدمات، ما يؤدي إلى وقائع أكثر تعقيداً. ولكن كما هي الحال في الدعاوى الهندسية أو المالية، يمكن حل أكثر السيناريوهات تعقيداً بمساعدة الخبراء".
بدأ درع المسؤولية هذا يتصدع أخيراً. في يوليو/تموز من عام 2024، أدى تحديث أمني خاطئ في برنامج كشف الأجهزة الطرفية الشهير من شركة كراود سترايك إلى تعطل ملايين أجهزة الكمبيوتر التي تعمل بنظام التشغيل ويندوز في أنحاء العالم كافة، وتسبب في انقطاع الخدمة عن كل شيء، بدءاً من شركات الطيران إلى المستشفيات إلى أنظمة خدمات الطوارئ. أدى الحادث إلى خسائر تقدر بالمليارات، حتى إن مدينة بورتلاند بولاية أوريغون أعلنت "حالة الطوارئ". والآن، عمدت الشركات المتضررة مثل دلتا إيرلاينز للرحلات الجوية إلى تعيين محامين أجورهم عالية للمطالبة بتعويضات كبيرة، ما يشير إلى فتح أبواب التقاضي على مصراعيها.
على الرغم من ارتفاع عدد الثغرات، فإن العديد منها يندرج ضمن فئات راسخة منذ فترة طويلة، مثل حقن النصوص البرمجية للغة الاستعلامات المهيكلة، أو اختصاراً "حقن إس كيو إل"، التي تتداخل مع استعلامات قواعد البيانات وتجاوزات ذاكرة التخزين المؤقت التي تتيح تنفيذ التعليمات البرمجية عن بعد. وتدعو ماتويشين إلى وضع "فاتورة مواد برمجية" -أو ما يسمى اختصاراً "إس-بوم" (S-BOM)- إلزامية، وهي قائمة مكونات تسمح للمؤسسات بفهم المكونات والثغرات المحتملة الموجودة في سلاسل توريد البرمجيات الخاصة بها. وقد وجد تقرير حديث أن 30% من خروقات البيانات ناجمة عن ثغرات لدى موردي برمجيات الطرف الثالث أو مزودي الخدمات السحابية.
وتضيف: "عندما تعجز عن التمييز بين الشركات التي تقصر في عملها والشركات التي استثمرت بالفعل في خدمة عملائها، فإن ذلك يؤدي إلى سوق يخسر فيها الجميع".
تتفق قيادة سيسا مع هذا الرأي، حيث أكد المتحدث الرسمي باسمها "مبادئها الخاصة بالأمان من خلال التصميم"، مثل "توفير ميزات الأمان الأساسية دون تكلفة إضافية، والقضاء على فئات من الثغرات الأمنية، وبناء المنتجات بطريقة تخفف عبء الأمن السيبراني على العملاء".
اقرأ أيضاً: أفضل حلول الأمن السيبراني المدعومة بالذكاء الاصطناعي
تجنب "العصر المظلم" الرقمي
من غير المستغرب أن يتطلع الممارسون إلى الذكاء الاصطناعي للمساعدة في سد هذه الفجوة، بينما يستعدون في الوقت نفسه لموجة قادمة من الهجمات السيبرانية التي قد يشنها وكلاء الذكاء الاصطناعي. وقد استخدم الباحثون في مجال الأمن أحد نماذج شركة أوبن أيه آي لاكتشاف ثغرات نموذج الذكاء الاصطناعي المفتوح (أوبن أيه آي) لاكتشاف ثغرات "يوم الصفر" الجديدة. ويعمل كل من فريقي "NVD" و"CVE" على تطوير "أدوات مدعومة بالذكاء الاصطناعي"؛ للمساعدة على تبسيط عملية جمع البيانات وتحديدها ومعالجتها. يقول معهد نيست إن "ما يصل إلى 65% من وقت التحليل استغرقناه في توليد جداول تعداد المنصة المشتركة"، وهي رموز معلومات المنتج التي تحدد البرمجيات المتأثرة بدقة. إذا تمكن الذكاء الاصطناعي من حل ولو جزء من هذه العملية الشاقة، فقد يؤدي ذلك إلى تسريع عملية التحليل بصورة هائلة.
لكن مارتن يحذر من التفاؤل بشأن الذكاء الاصطناعي، مشيراً إلى أن هذه التكنولوجيا لا تزال غير مجربة وغالباً ما تكون مليئة بالأخطاء، التي يمكن أن تكون قاتلة في مجال الأمن. ويقول: "بدلاً من الذكاء الاصطناعي أو التعلم الآلي، ثمة طرق لأتمتة أجزاء من معالجة بيانات الثغرات الأمنية بطريقة استراتيجية مع ضمان دقة بنسبة 99.5%".
يخفق الذكاء الاصطناعي أيضاً في معالجة التحديات الأكثر جوهرية في مجال الحوكمة. تقترح مؤسسة سي في إي فاونديشن، التي أطلقتها مجموعة منشقة من أعضاء مجلس الإدارة في أبريل/نيسان 2025، نموذجاً غير ربحي ممولاً عالمياً مشابهاً لنموذج نظام العنونة على الإنترنت، الذي انتقل من سيطرة الحكومة الأميركية إلى الحوكمة الدولية. ويضغط قادة أمنيون آخرون من أجل إحياء بدائل مفتوحة المصدر مثل مشروع "أو إس في" من شركة جوجل أو "NVD++" (الذي تديره شركة فلن تشيك)، وهي بدائل متاحة للجمهور ولكنها محدودة الموارد حالياً.
مع تزايد زخم هذه الجهود الإصلاحية المختلفة، بدأ العالم يدرك أن استخبارات الثغرات الأمنية -مثل مراقبة الأمراض أو سلامة الطيران- تتطلب تعاوناً مستداماً واستثماراً عاماً. ومن دون ذلك، لن يتبقى سوى خليط من قواعد البيانات المدفوعة الأجر، ما يهدد بترك المؤسسات والدول جميعها، باستثناء الأغنى منها، عرضة للخطر على الدوام.
