السلامُ عليكُم
توقع تقرير جديد أعده خبراء أمنيون من شركة “آي بي إم” IBM، واستنادًا على البيانات التي جُمعت خلال الأشهر الستة الأولى من عام 2014، أن ينخفض عدد الثغرات الأمنية التي يُكشف عنها علنًا إلى ما دون 8,000، وذلك لأول مرة منذ عام 2011.
وفي حين أن غالبية الثغرات التي جرى الكشف عنها حتى الآن تُنصف ضمن فئة الثغرات متوسطة الخطورة، قالوا باحثو “آي بي إم” إن النظام المستخدم على نطاق واسع لتقييم خطورة الثغرات يفشل غالبًا في عكس مدى الخطر الحقيقي الذي يتعرض له المستخدمين.
وخلال النصف الأول من العام الجاري، جمع فريق وحدة “إكس-فوريس” X-Force من “آي بي إم” تقارير حول 3,900 ثغرة أمنية، وذلك من التحذيرات المنشورة من قبل بائعي البرمجيات، والقوائم البريدية لصناعة أمن المعلومات وغير ذلك من المصادر.
وقال الفريق إنه وفي حال حافظ عدد الثغرات التي يُكشف عنها علنًا على نفس المعدل، فإن عدد العيوب البرمجية خلال عام 2014 سينخفض إلى ما دون 8,000، وهو أقل بعدة مئات مما كان عليه الحال في العامين الماضيين.
وقال باحثو وحدة “إكس-فوريس” في هذا الصدد “من الصعب الإشارة إلى أي من العوامل التي ساهمت في هذا الانخفاض في عدد مرات الكشف عن الثغرات في عام 2014?.
وأضاف الباحثون “ومع ذلك، من المثير للاهتمام أن نلاحظ أن عدد بائعي البرمجيات الذي يكشفون عن الثغرات قد انخفض مقارنة مع العام الماضي (1،602 بائعين في عام 2013، مقارنة بـ 926 بائعًا في عام 2014).”
وفي الماضي، جادل خبراء أمنيون حول أن العدد الإجمالي للثغرات ليس ذي صلة بتأثيرها. ومع ذلك، وعلى الرغم من المحاولات لتوحيد طرق تقييم شدة ضعف الثغرة، مثل “نظام تقييم نقاط الضعف المشتركة” CVSS، هناك العديد من الحالات التي لا يُمثل فيها الخطر الحقيقي الذي تشكله بعض الثغرات بدقة.
وضرب الباحثون مثالًا على ذلك بثغرة “هارتبليد” في مكتبة التشفير “أوبن إس إس إل” OpenSSLوالتي كُشف عنها في شهر نيسان/أبريل الماضي.
ومع أن هذه الثغرة، التي وصفت بأنها الأخطر في تاريخ الإنترنت، تسمح للمتسللين باستخراج بيانات حساسة من ذاكرة خوادم الويب دون ترك أي أثر، لم يعدُ تقييم نظام CVSS لها كونها “ثغرة متوسطة الخطورة”.
ووفقًا لنظام CVSS، صُنف ما نسبته 67 بالمئة من الثغرات الأمنية التي كشف عنها خلال النصف الأول من العام الجاري على أنها “متوسطة الخطورة”، وهو نفس العدد الذي سجل خلال العامين الماضيين. وشكرا