على مدى عقدين من الزمن، شكّلت قاعدة البيانات الوطنية للثغرات الأمنية (NVD) الأساس الفعلي لإدارة الثغرات الأمنية. فقد اعتمدت أدوات الفحص، وأنظمة إدارة الأحداث والأمن (SIEM)، أدوات التصحيح، وأطر الامتثال، جميعها على افتراض أنه عند ظهور رقم تعريف ثغرة أمنية (CVE) في قاعدة البيانات الوطنية للثغرات الأمنية (NVD)، يقوم محللو المعهد الوطني للمعايير والتقنية (NIST) على الفور بإضافة درجات الخطورة، وتعيينات إصدارات المنتجات، والبيانات الوصفية السياقية التي تجعل رقم تعريف الثغرة الأمنية (CVE) الأولي مفيدًا بالفعل.
في 15 أبريل 2026، لم يعد هذا الافتراض موثوقًا به رسميًا.
أعلن المعهد الوطني للمعايير والتقنية (NIST) أن قاعدة بيانات الثغرات الأمنية (NVD) ستنتقل إلى نموذج إثراء قائم على المخاطر. ولن تحصل معظم الثغرات الأمنية الجديدة التي تدخل قاعدة البيانات بعد الآن على درجة CVSS المضافة من NIST، ولا على تخطيط منتجات CPE، ولا على تحليل مستقل بشكل افتراضي. وبالنسبة للمؤسسات التي تعتمد سير عملها المتعلق بالثغرات الأمنية على البيانات المُثريّة من NVD، فإن هذا يخلق مشكلة تغطية حقيقية ومتزايدة. وبالنسبة لمطوري وموردي منتجات الأمان الذين يدمجون تلك البيانات في أدوات فإن هذا يثير سؤالاً أكثر حدة: ما الذي يخبرك به موجزك الآن بالضبط؟
لم تعد NVD قادرة على مواكبة الثغرات الأمنية المبلغ عنها
وفقًا للإعلان الصادر عن المعهد الوطني للمعايير والتقنية (NIST)، ارتفع عدد حالات الثغرات الأمنية المبلغ عنها (CVE) بنسبة 263٪ بين عامي 2020 و2025، كما أن عدد الحالات المبلغ عنها في الربع الأول من عام 2026 كان قد تجاوز بالفعل ما يقرب من ثلث العدد المسجل في الفترة نفسها من العام السابق.
قام المعهد الوطني للمعايير والتقنية (NIST) بتحسين ما يقرب من 42,000 ثغرة أمنية (CVE) في عام 2025، بزيادة قدرها 45% عن أي عام سابق. لكن هذه الزيادة في الإنتاجية لم تكن كافية لمواكبة العدد المتزايد من البلاغات، مما أدى إلى وضع نظام تصنيف رسمي.
اعتبارًا من 15 أبريل 2026، سيقتصر دور المعهد الوطني للمعايير والتقنية (NIST) على توسيع نطاق المعلومات المتعلقة بالثغرات الأمنية التي تظهر في كتالوج KVE (الثغرات الأمنية المعروفة والمستغلة) التابع لوكالة الأمن السيبراني والبنية التحتية (CISA)، أو البرامج التي تستخدمها الحكومة الفيدرالية، أو البرامج المصنفة على أنها حيوية بموجب الأمر التنفيذي رقم 14028. أما بقية الثغرات، فستُدرج في قاعدة بيانات الثغرات الأمنية الوطنية (NVD) دون أن تضيف إليها NIST أي معلومات إضافية، ولن تتم معالجتها على الفور.
ونتيجة لذلك، تم نقل ما يقرب من 300,000 ثغرة أمنية (CVE) متراكمة نُشرت قبل 1 مارس 2026 إلى فئة "غير مجدولة" بشكل جماعي.
بالنسبة إلى ثغرات CVE التي لا تستوفي معايير الأولوية التي يضعها المعهد الوطني للمعايير والتقنية (NIST) من الآن فصاعدًا، ستُستمد درجات الخطورة من التقييمات التي تقدمها هيئة ترقيم ثغرات CVE (CNA) بنفسها — والتي غالبًا ما تكون الجهة المطورة للبرنامج المتأثر — بدلاً من الاعتماد على تحليل مستقل يجريه المعهد الوطني للمعايير والتقنية (NIST). كما سيتوقف المعهد الوطني للمعايير والتقنية (NIST) عن إعادة حساب درجات الخطورة في الحالات التي تكون فيها هيئة ترقيم ثغرات CVE (CNA) قد قدمت تقييمًا بالفعل.
يعتمد كل برنامج رئيسي لفحص الثغرات الأمنية، وكل قاعدة ترابط في أنظمة SIEM، وكل تقييم للمخاطر من جهات خارجية، وكل إطار عمل للامتثال التنظيمي — بدءًا من PCI DSS وصولاً إلى FedRAMP — على مسار إثراء البيانات الخاص بـ NVD.
وبفضل هذا التحديث، تقلص نطاق هذا المسار بشكل رسمي، مما أدى إلى عدم تصنيف الثغرات الأمنية الخطيرة المحتملة على أنها كذلك، أو عدم اكتشافها في الوقت المناسب.
هناك عامل تسريع إضافي يستحق الفهم، حيث يتزامن انخفاض مستوى التهديدات مع الانتشار السريع لعمليات الكشف عن التهديدات المدعومة بالذكاء الاصطناعي.
أدوات نماذج الذكاء الاصطناعي المتقدمة أدوات البرمجة أدوات تخفيض الحواجز بشكل كبير أمام تحديد نقاط الضعف القابلة للاستغلال ومسارات الهجوم المعقدة في التطبيقات، مما أدى إلى ارتفاع حاد في عدد حالات الإبلاغ عن الثغرات الأمنية (CVE). في فبراير 2026، توقع «منتدى فرق الاستجابة للحوادث والأمن» (FIRST) الإبلاغ عن 50,000 ثغرة أمنية إضافية في عام 2026، وهو رقم قياسي. ولا تمتلك البنية التحتية الحالية لتعزيز البيانات القدرة على التعامل مع هذا الحجم من البيانات مع الحفاظ على مستويات الجودة السابقة.
لماذا تواجه المنتجات التي تعتمد على NVD وحدها مشكلة
يشتمل السجل الأولي لـ CVE عادةً على معرّف ووصف ومراجع. وقد كانت البيانات الوصفية التي تُستخدم في إدارة الثغرات الأمنية الآلية تأتي في الماضي من محللي NVD. وتشمل هذه البيانات درجات خطورة CVSS التي تم التحقق من صحتها بشكل مستقل، وتعيينات المنتجات في CPE، وتصنيفات نقاط الضعف في CWE.
ولكن "التخصيب" هو ما يجعل نظام CVE قابلاً للتنفيذ. وبدونه، تتدهور سير العمل التي تعتمد عليه بطرق يمكن توقعها.
ضعف عملية تحديد الأولويات القائمة على نظام CVSS
عندما يتوقع الماسح الضوئي أو أداة التصحيح وجود تصنيف خطورة مقدم من NVD ولا يجده، فقد تظهر الثغرة الأمنية على أنها "ذات خطورة غير معروفة"، أو تقع خارج نطاق سياسات التصحيح التي تحكمها اتفاقية مستوى الخدمة (SLA)، أو يتم تخفيض أولويتها.
أكد تحديث المعهد الوطني للمعايير والتقنية (NIST) الصادر في أبريل 2026 ما يلي:
- لن تخضع الثغرات الأمنية (CVE) التي لا تندرج ضمن معايير الأولوية الجديدة للتقييم المستقل تلقائيًا
- لن يقوم المعهد الوطني للمعايير والتقنية (NIST) بعد الآن بإنشاء درجة CVSS خاصة به عندما يكون أحد مزودي تقييم الضعف (CNA) قد قدم درجة بالفعل (حتى لو كان هذا المزود هو الشركة المصنعة للبرنامج المتأثر)
ضعف أو عدم وجود تخطيط CPE يؤدي إلى ضعف الكشف عن CVE
تصف الوثائق الخاصة بـ NVD تحديد المنتج بأنه جزء أساسي من عملية التخصيب، لأنه يتيح للمستخدمين التحقق برمجياً مما إذا كانت ثغرة أمنية معروفة تؤثر على المنتجات الموجودة في بيئتهم.
في حالة عدم وجود تعيينات CPE أو عدم اكتمالها أو تأخرها، قد تفشل أدوات تعتمد بشكل أساسي على مطابقة CPE في إظهار النتيجة، أو قد تظهرها متأخرة.
تعد شركات بيع منتجات الأمن من بين أكثر الجهات تضرراً، حيث تعتمد منتجاتها غالباً على مطابقة أجهزة المستخدمين (CPE) وتزويد قاعدة بيانات الثغرات الأمنية (CVE) بالمعلومات الإضافية. أدوات إدارة التصحيحات وحماية النقاط الطرفية والتحكم في الوصول إلى الشبكة وإدارة الأصول على معلومات دقيقة عن الثغرات الأمنية لتحديد الأجزاء المتأثرة ومدى خطورة المشكلة والإجراءات التي ينبغي اتخاذها بعد ذلك.
بالنسبة للفرق التي تعمل على تطوير منتجات أمنية جديدة، فإن الاعتماد على قاعدة بيانات NVD وحدها يعني البناء على أساس قد تنطوي عليه ثغرات أساسية بالفعل: تغطية محدودة للثغرات الأمنية من نوع "يوم الصفر"، ونقص في المعلومات الإضافية الخاصة بنسبة متزايدة من الثغرات الأمنية المعروفة (CVE)، ودورات تحديث قد تواجه صعوبة في مواكبة السرعة التي يكتشف بها الذكاء الاصطناعي الثغرات الأمنية ويستغلها.
أما بالنسبة للفرق التي تمتلك بالفعل قدرات على تطبيق التصحيحات أو معالجة الثغرات الأمنية، فإن المخاطر تختلف عن سابقتها لكنها لا تقل أهمية. ولا تبلغ فعالية محرك معالجة الثغرات الأمنية سوى بقدر جودة المعلومات الاستخباراتية المتعلقة بالثغرات التي يتلقاها. فإذا كانت تلك المعلومات غير كاملة أو متأخرة أو تعتمد بشكل مفرط على البيانات المُثريّة المستمدة من قاعدة بيانات الثغرات الأمنية الوطنية (NVD)، فقد تفوت عمليات سير العمل اللاحقة المنتجات المتأثرة، أو تقلل من أولوية الثغرات ذات الخطورة غير المعروفة، أو تفشل في اتخاذ الإجراءات اللازمة قبل أن تتفاقم المخاطر.
وإذا كانت تلك المنتجات ترث نقاط الضعف في NVD، فمن المحتمل أن يرثها كل عميل في المراحل اللاحقة.
وهذه هي الفجوة التي صُمم تقييم الثغرات الأمنية في إطار عمل OESIS لمعالجتها: مساعدة فرق منتجات الأمن على تعزيز المعلومات الاستخباراتية المتعلقة بالثغرات الأمنية دون الاعتماد على إثراء قاعدة بيانات NVD وحدها.
كيف OPSWAT هذا الأمر بطريقة مختلفة
OPSWAT وحدة تقييم الثغرات الأمنية في إطار عمل OESIS خصيصًا لمطوري منتجات الأمان الذين يحتاجون إلى بيانات موثوقة وقابلة للتطبيق بشأن الثغرات الأمنية، بحيث يتم تضمينها في أدوات.
مصمم خصيصًا لملء الفجوة
تجمع الوحدة بين مصادر متعددة، بدلاً من الاعتماد على مصدر واحد.
وهي تستفيد من مجموعة متنوعة من المصادر التجارية والمفتوحة المتعلقة بالثغرات الأمنية لضمان تغطية دقيقة وفي الوقت المناسب لمئات من الموردين والتطبيقات.
يغطي دليل الثغرات الأمنية OESIS حاليًا أكثر من 65,000 ثغرة أمنية فريدة (CVE) وأكثر من 150,000 حالة ثغرة أمنية، ويتم تحديثه بشكل مستمر — عدة مرات يوميًا — بدلاً من انتظار دورات المعالجة الخاصة بـ NVD.
مقياس خاص لدرجة الخطورة يتجاوز نظام CVSS، ويوفر مزيدًا من السياق.
تتضمن بيانات الثغرات الأمنية OPSWAT" مؤشرOPSWAT "، وهو تصنيف خاص بالشركة يتجاوز أساس نظام CVSS من خلال دمج مؤشرات إضافية، بما في ذلك مدى انتشار CVE، ومخاطر الاختراق، ودورة حياة CVE.
في بيئة قد تصبح فيها نسبة متزايدة من درجات CVSS مُبلغ عنها ذاتيًا من قِبل CNA، يمكن أن تساعد هذه الطبقة المستقلة من التحليل منتجات الأمان على تزويد مستخدميها بإشارات أكثر قابلية للدفاع عنها فيما يتعلق بتحديد الأولويات.
تدعم معلومات الثغرات الأمنية من OESIS مسارين للتكامل، دون الحاجة إلى عملية إعداد معقدة:
- تغذية الكتالوج: قم بمطابقة بيانات الثغرات الأمنية من OESIS مع قائمة البرامج الموجودة لديك على مستوى الخادم — دون الحاجة إلى وكيل على مستوى النقاط الطرفية. يمكن للمنتجات الحالية المزودة بقدرات جرد البرامج استخدام بيانات OESIS لاكتشاف الثغرات الأمنية عبر الأصول الخاضعة للإدارة.
- مجموعةSoftware (Endpoint )Endpoint : قم بدمج إطار عمل OESIS مباشرةً في منتجك vulnerability detection في الوقت الفعلي وعلى الجهاز نفسه. وهي مناسبة تمامًا لمنتجات الأمان التي تعمل على النقاط الطرفية
أبحاث الضعف الأمنية الداخلية
يقوم فريق أبحاث التهديدات الداخلية OPSWAT المعروف باسم " الوحدة 515"، بإجراء أبحاث أمنية هجومية مستمرة، ومحاكاة للسيناريوهات العدائية، واختبارات متقدمة، وكشف مسؤول عن الثغرات الأمنية في البنية التحتية الحيوية وبرامج المؤسسات. وقد تمكن الفريق من تحديد والإبلاغ عن أكثر من 50 ثغرة أمنية من نوع "صفر يوم"، بما في ذلك اكتشافات خطيرة في برامج واسعة الانتشار مثل منصات ICS/OT مثل وحدات التحكم المنطقية القابلة للبرمجة (PLC) من Delta والمنصات التي تعتمد على الذكاء الاصطناعي.
والنتيجة النهائية بالنسبة لمطوري منتجات الأمان هي أن أدوات تحافظ على تغطية أوسع للثغرات الأمنية حتى مع تضييق نطاق التوسيع في قاعدة بيانات الثغرات الوطنية (NVD) — دون الحاجة العملاء يقبل العملاء انخفاض مستوى الرؤية أو اللجوء إلى حلول بديلة يدوية.
الكشف + الإصلاح: الدورة الكاملة
يحدد الكشف نقاط الضعف، بينما تعمل عملية الإصلاح على معالجتها. ويساعد هذان الإجراءان معًا على سد حلقة المخاطر قدر الإمكان. يتولى «تقييم نقاط الضعف في OESIS» مهام الكشف وتحديد الأولويات. أما Patch Management في OESIS» فهي متاحة للفرق التي ترغب في الحصول على هاتين الإمكانيتين ضمن إطار عمل واحد:
- الكشف: التطبيقات المعرضة للخطر، والمتوافقة من حيث الإصدار، OPSWAT ، والمُعلَّمة بواسطة KEV
- تحديد الأولويات: تساعد "OPSWAT " في تحديد المشكلات التي يجب معالجتها أولاً، استنادًا إلى إشارات الاستغلال الفعلية
- الإصلاح: يمكن لخط الأنابيب الحالي لديك معالجة مخرجات OESIS — أو Patch Management OESIS Patch Management تثبيت التصحيحات أو فرض الإصدارات أو حظر الوصول مباشرةً
- التحقق: تقوم OESIS بإعادة فحص "post-fix" للمساعدة في التأكد من خلو نقطة النهاية من الفيروسات قبل استعادة الوصول
الاكتشاف دون معالجة هو مجرد تقرير. أما الاكتشاف المصحوب بالمعالجة فهو خطر تم حله. تهدف OESIS إلى تزويد منتجك بكلا الأمرين، مما يساعد على إغلاق حلقات الاكتشاف والمعالجة بسرعة أكبر لمواكبة التهديدات التي تتسم بسرعة الذكاء الاصطناعي بشكل أفضل.
ثغرات "AI-Speed" تتطلب اكتشاف "AI-Speed"
لا يمكن لمنتجات الأمن أن تتعامل مع المعلومات المتعلقة بالثغرات الأمنية على أنها عنصر ثانوي بطيء الحركة. فمع تزايد حجم قاعدة بيانات CVE وتراجع اتساق عملية إثرائها، تحتاج فرق المنتجات إلى وسيلة تضمن توافق سير عمل عمليات الكشف وتحديد الأولويات والمعالجة مع المخاطر الفعلية في العالم الواقعي.
وهنا يأتي دور «تقييم الثغرات الأمنية في إطار عمل OESIS». فهو يوفر لمطوري المنتجات طريقة عملية لتعزيز تغطية الثغرات الأمنية دون الحاجة إلى إعادة بناء نظام النقاط الطرفية أو حزمة الإصلاحات من الصفر. وبالنسبة للفرق التي تعمل على إطلاق منتج جديد، يمكن أن يساعد هذا الإطار في تحقيق تغطية موثوقة في مرحلة مبكرة. أما بالنسبة للفرق التي تعمل على تحسين منتج قائم، فيوفر هذا الإطار طريقة أكثر سلاسة لمقارنة التغطية والتحقق من صحة التحسينات وتحديد الشكل الذي ينبغي أن يتخذه التكامل الأعمق.
