قاعدة بيانات الثغرات الأمنية

لا توجد نسخ مراجعة من هذه الصفحة، لذا، قد لا يكون التزامها بالمعايير متحققًا منه.

قاعدة بيانات الثغرات الأمنية (VDB) منصة تجمع وتنشر وتحفظ معلومات حول ثغرات أمن الكمبيوتر المكتشفة. تقوم قاعدة البيانات عادةً بوصف الثغرة الأمنية التي تم تحديدها، وتقييم التأثير المحتمل على الأنظمة المتأثرة، وأي حلول بديلة أو تحديثات للتخفيف من حدة المشكلة، وتعيين معرف فريد لكل ثغرة أمنية مدرجة في الفهرس مثل رقم (مثلا 123456) أو تسمية أبجدية رقمية (مثلا VDB-2020-12345). توفير المعلومات الموجودة في قاعدة البيانات عبر صفحات الويب أو البيانات المسحوبة أو واجهة برمجة التطبيقات . يمكن لـ VDB توفير المعلومات مجانًا، أو مقابل دفع المال، أو مزيج منهما.

تاريخ

كانت قاعدة بيانات الثغرات الأمنية الأولى هي "أخطاء الأمان التي تم إصلاحها في مولتيكس"، والتي نشرها جيروم إتش سالتزر في 7 فبراير 1973. وقد وصف القائمة بأنها " قائمة بكل الطرق المعروفة التي قد يستخدمها المستخدم لتعطيل آليات الحماية الخاصة بـ Multics أو التحايل عليها ". ^[1] في البداية، تم الحفاظ على القائمة بشكل خاص إلى حد ما بهدف الاحتفاظ بتفاصيل الثغرات الأمنية حتى يتم توفير الحلول. احتوت القائمة المنشورة على ثغرتين محليتين لتصعيد الامتيازات وثلاث هجمات محلية لرفض الخدمة. ^[2]

أنواع قواعد بيانات الثغرات الأمنية

تجمع قواعد بيانات الثغرات الأمنية الرئيسية مثل قاعدة بيانات ISS X-Force، وقاعدة بيانات Symantec / SecurityFocus BID، وقاعدة بيانات الثغرات الأمنية مفتوحة المصدر ^[ا] OSVDB) مجموعة واسعة من الثغرات الأمنية التي تم الكشف عنها علنًا، بما في ذلك الثغرات الأمنية والتعرضات الشائعة (CVE). الغرض الأساسي من CVE، الذي تديره MITRE ، هو محاولة تجميع الثغرات الأمنية العامة وإعطائها معرفًا فريدًا بتنسيق موحد. ^[3] تقوم العديد من قواعد بيانات الثغرات بتطوير المعلومات الاستخباراتية المستلمة من CVE والتحقيق فيها بشكل أكبر من خلال توفير درجات مخاطر الثغرات وتقييمات التأثير والحلول المطلوبة. في الماضي، كان CVE مهمًا للغاية لربط قواعد بيانات الثغرات الأمنية بحيث يمكن مشاركة التصحيحات والتصحيحات الحرجة لمنع المتسللين من الوصول إلى المعلومات الحساسة على الأنظمة الخاصة. ^[4] يتم تشغيل قاعدة بيانات الثغرات الوطنية (NVD)، التي يديرها المعهد الوطني للمعايير والتكنولوجيا (NIST)، بشكل منفصل عن قاعدة بيانات CVE التي تديرها MITRE، ولكنها تتضمن معلومات الثغرات الأمنية من CVE فقط. يعمل NVD كتعزيز لتلك البيانات من خلال توفير تسجيل المخاطر لنظام تسجيل نقاط الضعف المشتركة (CVSS) وبيانات تعداد المنصة المشتركة (CPE).

توفّر قاعدة بيانات الثغرات الأمنية مفتوحة المصدر فهرسًا دقيقًا وغير متحيز للمعلومات الفنية المتعلقة بالثغرات الأمنية. تحتوي هذه القاعدة الشاملة على أكثر من 121,000 ثغرة. تأسست OSVDB في أغسطس 2002 وأُطلقت رسميًا في مارس 2004. في بداياتها، كان أعضاء الموقع يحققون في الثغرات المكتشفة حديثًا ويعرضون تفاصيلها على المنصة. ومع تزايد الحاجة إلى هذه الخدمة، ظهرت ضرورة وجود فريق متخصص، مما أدى إلى تأسيس مؤسسة الأمن المفتوح (OSF) في عام 2005 كمنظمة غير ربحية لتوفير التمويل لمشاريع الأمن، وخاصة OSVDB. ومع ذلك، تم إغلاق OSVDB في أبريل 2016.

قاعدة بيانات الثغرات الوطنية الأمريكية (NVD) هي قاعدة بيانات شاملة للثغرات السيبرانية، تأسست في عام 2005، وتختص بنشر تقارير عن الثغرات الأمنية الشائعة. تُعد NVD مرجعًا أساسيًا في مجال الأمن السيبراني، يستفيد منها الأفراد والصناعات لتوفير معلومات محدثة حول نقاط الضعف الحالية. تضم القاعدة أكثر من 100,000 سجل. على غرار OSVDB، تنشر NVD تقييمات تأثير وتصنّف الثغرات ضمن فهرس يسهل البحث فيه. بالإضافة إلى NVD، تحتفظ دول أخرى بقاعدة بيانات خاصة بها، مثل قاعدة بيانات الثغرات الوطنية الصينية وقاعدة بيانات التهديدات الأمنية في روسيا.

تحتفظ العديد من الشركات التجارية بقواعد بيانات خاصة بالثغرات الأمنية، وتوفر لعملائها خدمات تتيح الوصول إلى بيانات محدثة بتنسيق يمكن قراءته آليًا أو من خلال بوابات ويب. من الأمثلة على هذه الخدمات: Exploit Observer من شركة ARP Syndicate، وDeepSight من Symantec، ومدير الثغرات الأمنية من Secunia (التي استحوذت عليها Flexera)، بالإضافة إلى خدمة استخبارات الثغرات الأمنية من Accenture (المعروفة سابقًا باسم iDefense).

يستخدم Exploit Observer ^[5] نظام تجميع بيانات الثغرات الأمنية والاستغلال (VEDAS) لجمع الثغرات الأمنية والاستغلال من مجموعة واسعة من المصادر العالمية، بما في ذلك قواعد البيانات الصينية والروسية. ^[6]

تنصح قواعد بيانات الثغرات الأمنية المؤسسات بتطوير تصحيحات وتنفيذها بسرعة، مع إعطاء الأولوية للثغرات الحرجة أو اعتماد إجراءات تخفيفية أخرى لمعالجتها. ومع ذلك، قد يؤدي الإسراع في تطبيق التصحيحات إلى ظهور ثغرات جديدة نتيجة للتطوير المتعجل، مما يزيد من مخاطر استغلال الأنظمة وانتهاكها. بناءً على مستوى المستخدم أو المؤسسة، يتم توفير الوصول المناسب إلى قاعدة البيانات لتمكين الإفصاح عن الثغرات المعروفة التي قد تؤثر عليهم. يُبرر تقييد الوصول للأفراد بهدف الحد من استغلال المتسللين للثغرات في أنظمة الشركات وتجنّب استخدامها لأغراض ضارة.

استخدام قواعد بيانات الثغرات الأمنية

تحتوي قواعد بيانات الثغرات الأمنية على مجموعة متنوعة من الثغرات التي تم التعرف عليها. ومع ذلك، فإن عددًا قليلاً من المنظمات تمتلك الخبرة والموظفين والوقت اللازمين لمراجعة جميع نقاط الضعف المحتملة في أنظمتها. لذا، يُعتبر تسجيل الثغرات وسيلة لتحديد مدى خطورة انتهاك النظام بشكل كمي. تتوفر طرق تسجيل متعددة عبر قواعد بيانات الثغرات الأمنية، مثل US-CERT ومقياس تحليل الثغرات الأمنية الحرجة التابع لمعهد SANS. ومع ذلك، يُعد نظام تسجيل الثغرات الأمنية المشترك (CVSS) هو الأسلوب الأكثر شيوعًا في العديد من قواعد البيانات، بما في ذلك OSVDB و vFeed و NVD. يعتمد نظام CVSS على ثلاثة مقاييس أساسية: الأساسية و الزمنية و البيئية، حيث يوفر كل منها تصنيفًا مختلفًا للثغرات.

قاعدة

يغطي المقياس الخصائص الثابتة للثغرة الأمنية، مثل التأثير المحتمل على كشف المعلومات السرية، وإمكانية الوصول إلى المعلومات، والعواقب الناتجة عن حذف المعلومات بشكل غير قابل للاسترداد. هذه الخصائص تساعد في تقييم شدة الثغرة وتحديد المخاطر المرتبطة بها.

زمني

تشير المقاييس الزمنية إلى الطبيعة المتغيرة للثغرة الأمنية، مثل مصداقية إمكانية استغلال الثغرة، والحالة الحالية لانتهاك النظام، بالإضافة إلى تطوير أي حلول بديلة يمكن تطبيقها. تساعد هذه المقاييس في تقييم كيف يمكن أن تتطور الثغرة مع مرور الوقت وما إذا كانت الحلول المتاحة فعالة في معالجة المشكلة.

بيئي

يقوم هذا الجانب من CVSS بتقييم الخسارة المحتملة للأفراد أو المنظمات بسبب الثغرة الأمنية. علاوة على ذلك، فهو يوضح بالتفصيل الهدف الأساسي للثغرة الأمنية التي تتراوح من الأنظمة الشخصية إلى المنظمات الكبيرة وعدد الأفراد المتأثرين المحتملين. ^[7]

تتمثل المشكلة في استخدام أنظمة تسجيل مختلفة في عدم وجود توافق حول خطورة الثغرات الأمنية، مما قد يؤدي إلى تجاهل بعض المنظمات عمليات استغلال النظام الحرجة. الفائدة الرئيسية من نظام تسجيل موحد مثل CVSS هي القدرة على تقييم درجات الضعف المنشورة ومتابعتها ومعالجتها بسرعة. بفضل هذا النظام، يمكن لكل من المؤسسات والأفراد تحديد التأثير المحتمل للثغرة الأمنية على أنظمتهم. تتزايد الفوائد التي تقدمها قواعد بيانات الثغرات الأمنية للمستهلكين والمنظمات بشكل كبير مع تزايد دمج أنظمة المعلومات، وزيادة اعتمادنا عليها، وكذلك ارتفاع فرص استغلال البيانات.

الثغرات الأمنية الشائعة المدرجة في قواعد بيانات الثغرات الأمنية

فشل النشر الأولي

على الرغم من أن وظيفة قاعدة البيانات قد تبدو خالية من العيوب، إلا أنه بدون اختبارات صارمة، فإن العيوب البسيطة قد تسمح للمتسللين بالتسلل إلى الأمن السيبراني للنظام. في كثير من الأحيان، يتم نشر قواعد البيانات دون ضوابط أمنية صارمة، وبالتالي يمكن الوصول إلى المواد الحساسة بسهولة. ^[8]

حقن SQL

تُعد هجمات قواعد البيانات الشكل الأكثر تكرارًا لانتهاكات الأمن السيبراني المسجلة على قواعد البيانات الضعيفة. تخترق عمليات حقن SQL وNoSQL أنظمة المعلومات التقليدية ومنصات البيانات الضخمة على التوالي وتقوم باستقراء عبارات ضارة تسمح للمتسللين بالوصول غير المنظم إلى النظام. ^[9]

قواعد البيانات غير مهيأة بشكل صحيح

عادةً ما تفشل قواعد البيانات الثابتة في تنفيذ التصحيحات الحاسمة التي تقترحها قواعد بيانات الثغرات الأمنية بسبب عبء العمل المفرط والحاجة إلى إجراء تجارب شاملة لضمان تحديث التصحيحات لثغرة النظام المعيبة. يركز مشغلو قواعد البيانات جهودهم على أوجه القصور الرئيسية في النظام والتي توفر للمتسللين إمكانية الوصول إلى النظام دون قيود من خلال التصحيحات المهملة. ^[10]

التدقيق غير الكافي

تتطلب جميع قواعد البيانات وجود مسارات تدقيق لتسجيل وقت تعديل البيانات أو الوصول إليها. عندما تُنشأ أنظمة دون نظام تدقيق مناسب، يصبح من الصعب تحديد نقاط الضعف في النظام وحلها عند استغلالها. تعزز قواعد بيانات الثغرات الأمنية أهمية تتبع التدقيق كوسيلة فعالة للحد من الهجمات الإلكترونية.

تُعد حماية البيانات أمرًا حيويًا لأي عمل تجاري، حيث تمثل المعلومات الشخصية والمالية أحد الأصول الأساسية، وسرقة هذه المواد الحساسة يمكن أن تضر بسمعة الشركة. لذلك، يُعتبر تنفيذ استراتيجيات فعّالة لحماية البيانات ضروريًا لحماية المعلومات السرية. يُشير البعض إلى أن اللامبالاة الأولية لمصممي البرمجيات هي السبب في الحاجة إلى قواعد بيانات الثغرات الأمنية؛ فإذا تم تصميم الأنظمة بشكل أكثر دقة، فقد يصبح من الصعب اختراقها من خلال هجمات مثل حقن SQL وNoSQL، مما يجعل قواعد البيانات المعرضة للثغرات غير ضرورية.

انظر أيضا

مراجع

^ Saltzer، J. H. (7 فبراير 1973). "Repaired Security Bugs in Multics" (PDF). Massachusetts Institute of Technology. S2CID:15487834. مؤرشف (PDF) من الأصل في 2024-02-26. اطلع عليه بتاريخ 2024-05-21.
^ "REPAIRED SECURITY BUGS IN MULTICS" (PDF). مؤرشف (PDF) من الأصل في 2024-02-26. اطلع عليه بتاريخ 2024-05-21.
^ "Common Vulnerabilities and Exposures (CVE)". Cve.mitre.org. مؤرشف من الأصل في 2011-08-20. اطلع عليه بتاريخ 2015-11-01.
^ Yun-Hua، Gu؛ Pei، Li (2010). "Design and Research on Vulnerability Database". 2010 Third International Conference on Information and Computing. ص. 209–212. DOI:10.1109/ICIC.2010.147. ISBN:978-1-4244-7081-5. S2CID:13308368.
^ "Exploit & Vulnerability Intelligence by A.R.P. Syndicate". Exploit Observer. مؤرشف من الأصل في 2023-10-09. اطلع عليه بتاريخ 2024-05-31.
^ Singh، Ayush (18 مايو 2024). "Around 1000 exploitable cybersecurity vulnerabilities that MITRE & NIST 'might' have missed but China or Russia didn't". A.R.P. Syndicate's Blog. مؤرشف من الأصل في 2024-06-02. اطلع عليه بتاريخ 2024-05-31.
^ Hayden، L (2010). IT Security Metrics (ط. 1st). New York: McGraw Hill.
^ "The Most Significant Risks of 2015 and How to Mitigate Them" (PDF). Imperva. مؤرشف (PDF) من الأصل في 2015-09-30. اطلع عليه بتاريخ 2015-11-02.
^ Natarajan، Kanchana؛ Subramani، Sarala (2012). "Generation of Sql-injection Free Secure Algorithm to Detect and Prevent Sql-Injection Attacks". Procedia Technology. ج. 4: 790–796. DOI:10.1016/j.protcy.2012.05.129.
^ "Vulnerability Database - Top 1000 Flaws". Network Security. ج. 8 ع. 6. 2001.

وسوم <ref> موجودة لمجموعة اسمها "arabic-abajed"، ولكن لم يتم العثور على وسم <references group="arabic-abajed"/> أو هناك وسم </ref> ناقص

[1] Saltzer، J. H. (7 فبراير 1973). "Repaired Security Bugs in Multics" (PDF). Massachusetts Institute of Technology. S2CID:15487834. مؤرشف (PDF) من الأصل في 2024-02-26. اطلع عليه بتاريخ 2024-05-21.

[2] "REPAIRED SECURITY BUGS IN MULTICS" (PDF). مؤرشف (PDF) من الأصل في 2024-02-26. اطلع عليه بتاريخ 2024-05-21.

[4] "Common Vulnerabilities and Exposures (CVE)". Cve.mitre.org. مؤرشف من الأصل في 2011-08-20. اطلع عليه بتاريخ 2015-11-01.

[5] Yun-Hua، Gu؛ Pei، Li (2010). "Design and Research on Vulnerability Database". 2010 Third International Conference on Information and Computing. ص. 209–212. DOI:10.1109/ICIC.2010.147. ISBN:978-1-4244-7081-5. S2CID:13308368.

[6] "Exploit & Vulnerability Intelligence by A.R.P. Syndicate". Exploit Observer. مؤرشف من الأصل في 2023-10-09. اطلع عليه بتاريخ 2024-05-31.

[7] Singh، Ayush (18 مايو 2024). "Around 1000 exploitable cybersecurity vulnerabilities that MITRE & NIST 'might' have missed but China or Russia didn't". A.R.P. Syndicate's Blog. مؤرشف من الأصل في 2024-06-02. اطلع عليه بتاريخ 2024-05-31.

[8] Hayden، L (2010). IT Security Metrics (ط. 1st). New York: McGraw Hill.

[9] "The Most Significant Risks of 2015 and How to Mitigate Them" (PDF). Imperva. مؤرشف (PDF) من الأصل في 2015-09-30. اطلع عليه بتاريخ 2015-11-02.

[10] Natarajan، Kanchana؛ Subramani، Sarala (2012). "Generation of Sql-injection Free Secure Algorithm to Detect and Prevent Sql-Injection Attacks". Procedia Technology. ج. 4: 790–796. DOI:10.1016/j.protcy.2012.05.129.

[11] "Vulnerability Database - Top 1000 Flaws". Network Security. ج. 8 ع. 6. 2001.

[1]

[2]

[ا]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]