تعتمد مشكلة عدم الحصانة على ثلاثة معايير رئيسية: الخطورة عند استخدامها,أو وجود استغلال عام ,ومعدل تطبيق التصحيحات المتعلقة بمشكلة عدم الحصانة هذه. للحصول على نظرة عامة على نظام عدم الحصانة يجب أولاً الكشف عن الضعف. تمت دراسة هذا الجانب جيدًا حيث ينشر العديد من البائعين ومؤسسات الصناعة التعليقات بانتظام في قاعدة بيانات الضعف CEV Common Vulnerabilities and Exposures وقاعدة بيانات الضعف الوطنية NVD.
هذا يعطي فكرة عن الثغرات الموجودة لكنه يوفر فقط معلومات وصفية. تشير CVE وNVD إلى نقاط الضعف الموجودة من الناحية النظرية ولكنها لا تقدم رؤى في الوقت الفعلي حول نقاط الضعف الحالية.
ولأننا نشهد نمواً مستمراً في عدد نقاط الضعف النسبية والمطلقة.بحت في عام 2017 تم نشر 15038 نقطة ضعف جديدة مقارنة بـ 9837 في عام 2016 بزيادة قدرها 53٪.ويلاحظ ازدياد عدد نقاط الضعف في عام 2018 بكيفية أكبر.
في هذا السباق مع الزمن لسد الأعطال قبل استخدامها يعد استغلال المعلومات أمرًا بالغ الأهمية. ويبرز تقرير ذكاء الثغرات الأمنية الذي نشرته Tenable Research ثلاثة جوانب مهمة في هذا السياق:
- تفاقم مشاكل تحديد الأولويات في الاصدار 3 ل CVSS الذي يعمل على الكشف على مشاكل عدم الحصانة.
- وجود مشاكل عدم الحصانة في برامج قديمة لايزال استخدامها قائما حاليا مثل JAVA.
- عند اكتشاف ثغرة أمنية لأول مرة فإنها تعتبرافتراضية ولكن هذا الاكتشاف يجعل المتسللين قادرين على استغلالها.ولا يتم اصدار تحديث لإصلاحها الا بعد تفاقم نتائجها على المستخدمين.
المصدر : هنا
