نقاط ضعف الأمن في حالة انخفاض ولكن تقييم المخاطر غالباً ما يكون معيباً ، كما تقول IBM

استنادا إلى البيانات التي تم جمعها خلال الأشهر الستة الأولى من عام 2014 ، يتنبأ باحثون أمنيون من IBM X-Force بأن عدد نقاط الضعف التي تم الإبلاغ عنها علانية سينخفض ​​إلى أقل من 8000 هذا العام ، وهو الأول منذ عام 2011.

في حين أن معظم العيوب التي تم الكشف عنها حتى الآن تقع في فئة المخاطر المتوسطة ، قال باحثون IBM أن النظام المستخدم على نطاق واسع لتقييم شدتها في كثير من الأحيان لا يعكس المخاطر الحقيقية التي تشكل للمستخدمين.

خلال النصف الأول من العام ، قام فريق IBM X-Force بجمع تقارير حول 3،900 نقاط ضعف أمنية من التقارير التي ينشرها بائعي البرامج وقوائم البريد الخاصة بصناعة الأمن وغيرها من المصادر. إذا استمر الإفصاح عن الثغرات بنفس المعدل ، فإن عدد العيوب التي تم الإبلاغ عنها في عام 2014 سيقل عن 8000 ، بضع مئات أقل من كل عامين من السنتين السابقتين ، وفقا لما ذكره الفريق في تقرير صدر هذا الأسبوع.

[اقرأ المزيد: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows لديك

"من الصعب الإشارة إلى أي عامل واحد ساهم في الانخفاض في عدد الإفصاحات عن الثغرات في عام 2014" ، كما قال باحثو إكس فورس. "ومع ذلك ، من المثير للاهتمام ملاحظة أن إجمالي عدد البائعين الذين يكشفون عن نقاط الضعف قد انخفض عامًا بعد عام (1،602 بائعًا في عام 2013 ، مقارنة بـ 926 بائعًا في عام 2014)."

جادل خبراء الأمن في الماضي بأن العدد الإجمالي نقاط الضعف ليست ذات الصلة لوقعها. ومع ذلك ، على الرغم من المحاولات الرامية إلى توحيد طرق تقييم شدة نقاط الضعف ، مثل نظام تسجيل نقاط الضعف الشائعة (CVSS) ، هناك العديد من الحالات التي لا يمثل فيها الخطر الحقيقي الذي تمثله بعض العيوب بدقة.

"كثيرون في الصناعة ، وقال باحثو إكس فورس إنهم ، بما في ذلك محللو الأمن ، وفرق الاستجابة للحوادث الخاصة بالشركات ، ومستهلكو برمجيات الشركات ، أصبحوا غير راضين عن التناقضات التي تحدث في كثير من الأحيان في مختلف المنظمات. "أحيانًا تكون التناقضات نتيجة للذاتية التي يمكن أن تذهب إلى الطريقة التي يسجل بها الفرد أو المؤسسة نقاط الضعف ، ولكن يمكن أن تنتج أيضًا عن بعض العيوب المتأصلة في معيار CVSS الحالي وعدم وجود إرشادات واضحة حول كيفية تقييم موضوعي معين "أنواع الثغرات الأمنية."

أحد الأمثلة الرئيسية على ذلك هو عيب Heartbleed الذي تم الكشف عنه في مكتبة OpenSSL في أوائل أبريل ، والذي يمكن استغلاله من قبل المهاجمين لاستخراج المعلومات الحساسة من ذاكرة خوادم الويب. تلقت الثغرة درجة 5.0 الأساسية من 10 ، التي تضعها في فئة الخطر المتوسط.

"مع عدد المنتجات المتأثرة ، قضى فريق تكنولوجيا المعلومات الوقت والاهتمام نظم التصحيح والاستجابة لاستفسارات العملاء ، كما وقال الباحثون في إكس-فورس إن التأثير الحقيقي للثغرة في هارتريبلي كان أكبر من الحساسية الأساسية للبيانات المعروضة. "وهذا أيضا يثير تساؤلات حول نقاط الضعف الأخرى التي تندرج ضمن فئة المخاطر المتوسطة (نقاط CVSS الأساسية 4.0 إلى 6.9) التي قد تم تجاهلها من قبل المنظمات ، ولكن لها أيضًا تأثيرات محتملة واسعة النطاق مشابهة ل Heartbleed."

Sixty -نسبة مئوية من نقاط الضعف التي تم الكشف عنها خلال النصف الأول من عام 2014 انخفضت إلى مستوى المخاطر المتوسطة استناداً إلى درجات CVSS المعينة ، وفقا لتقرير IBM. هذا مشابه للأرقام التي شوهدت في السنتين السابقتين.

في عام 2013 ، كتب كارستن إييرام ، كبير موظفي الأبحاث في شركة Risk Based Security ، و Brian Martin من مؤسسة الأمن المفتوح ، باحثان من ذوي الخبرة في الحفاظ على قواعد بيانات الضعف ، رسالة مفتوحة تفاصيل عيوب CVSS إلى منتدى الاستجابة للحوادث وفرق الأمن (FIRST) ، المنظمة التي تحافظ على المعيار.

"في حين أن CVSSv2 شهدت تحسينات على CVSSv1 ، فإن المخطط لا يزال لا يدعم الاستخدام الفعلي للحياة الحقيقية ، لأنه يعاني من النظرية في جوانب معينة" ، كما كتب إيرام ومارتن في رسالتهم. "لا يتم دعم أنواع الثغرات الأمنية وناقلات معينة بشكل صحيح بينما لا يتم وصف الأنواع الأخرى بشكل صحيح ، مما يؤدي إلى التسجيل الذاتي وغير المتناسق ، والذي تم تصميم CVSS لمنعه."