من المحتمل أن يتسبب مزيج مسبب من الاتجاهات المتقاربة في حجم الكشف نقاط الضعف والتعرضات الشائعة (CVES) لضرب ما لا يقل عن 45000 – وربما حتى 50000 – خلال عام 2025 ، سجل رقما قياسيا عالميا جديدا.
هذا حسب منتدى فرق الاستجابة والأمن (أولاً) ، وهي منظمة أمنية غير ربحية مقرها في ولاية كارولينا الشمالية في الولايات المتحدة ، والتي قالت إن هذا الرقم كان أعلى بنسبة 11 ٪ عن عام 2024 ، وعلى ما يقرب من ستة أضعاف في عام 2023. وقالت إن هذا يؤكد على التعقيد المتزايد لمشهد الأمن ، ويعني المنظمات أن تبدأ في التفكير في الاستراتيجيات الأولى للمخاطر واستراتيجيات التخفيف.
“عدد نقاط الضعف المبلغ عنها لا ينمو فحسب ، بل يتسارع”. Eireann Leverett، الاتصال الأول والعضو الرئيسي في فريق التنبؤ بضعف الضعف. “لم تعد فرق الأمن يمكن أن تكون تفاعلية ؛ يجب عليهم توقع التهديدات وتحديد أولوياتها قبل تصاعدهم “.
نسب المحللون الأول هذه الزيادة إلى عدد من العوامل – تحويل الأعراف التكنولوجية ، وتغيرات سياسة الكشف والفوضى الجيوسياسية في جميع أنحاء العالم.
وقال ليفيرت: “مزيج من اللاعبين الجدد في النظام البيئي CVE ، وممارسات الإفصاح المتطورة ، وتشريع الإفصاح الجديد في أوروبا ، وسطح هجوم سريع التوسع يزداد هذه الزيادة”.
الأهم من ذلك ، على الجانب التقني ، التبني السريع للبرنامج مفتوح المصدر (OSS) واستخدام أدوات الذكاء الاصطناعي (AI) للمساعدة في اكتشاف الضعف كان يفسد المزيد من العيوب ، وجعل من السهل اكتشافها.
إضافة إلى ذلك ، فإن المساهمين الجدد في النظام البيئي CVE ، مثل Linux و Patchstack ، لديهم أيضًا تأثير على أحجام الاكتشاف ، كما أن تحديثات كيفية تعيين نقاط الضعف والإبلاغ عنها – إلى جانب بعض تحديات التمويل – تغيّر أنماط الكشف.
وكمية متزايدة من النشاط السيبراني الذي ترعاه الدولة من قبل الجهات الفاعلة التي تديرها الحكومة-في كثير من الأحيان ولكن ليس بالضرورة دائمًا الصينية أو الإيرانية أو الروسية – يؤدي إلى اكتشاف المزيد من نقاط الضعف والاستغلال.
فيما يتعلق بأنواع CVES التي يتم رؤيتها ، لاحظ أولاً أن أحجام الضعف في سلامة الذاكرة تتناقص حاليًا ، في حين يبدو أن نقاط الضعف في مجال البرمجة النصية (XSS) على العكس.
في المستقبل ، قال ليفيرت إنه يتوقع المزيد من النمو في عام 2026 ، بحد أدنى تقديري من أقل بقليل من 51300 جنيه من المتوقع أن يظهر.
إدارة الضعف تحديًا كبيرًا لإيجابيات الإنترنت
وقال إن هذا أكد على التحديات طويلة الأجل حول أفضل الممارسات لإدارة الضعف ، ونصح المدافعين بمحاولة التفكير في مثل هذه الأشياء بشكل أكثر استراتيجية ، بدلاً من مجرد الرد على الإفصاحات.
ما يعنيه هذا في الممارسة العملية هو أن إيجابيات الأمن يجب أن يعطي الأولوية للضعفات التي تشكل أكبر خطر للاستغلال – باستخدام تهديد Intel والرؤى التنبؤية – بدلاً من محاولة تصحيح كل شيء في كل مكان مرة واحدة. في الوقت نفسه ، يمكن وينبغي أن يتم تحجيم الفرق والموارد بشكل مناسب لتحسين التشغيل ، وإدارة السطح الهجوم. وقال ليفيريت ، إن التخطيط هنا هو المفتاح ، ويجب على القادة محاولة إيجاد طرق للتنبؤ “الجهد” المسبق ، بما في ذلك التوقف عن العمل.
قد يكون من الجيد أيضًا الاستعداد لتغيير اتجاهات الإفصاح ، ومحاولة توقع العواصف في التقارير – يمكن القيام بذلك بسهولة حول تصحيح Microsoft الثلاثاء، على الرغم من أنه قد يكون أكثر تحديا بشكل عام – وتخصيص الموارد بناءً على هذا.
قال ليفيرت إنه من المهم بكثير أن يفهم كيف يمكن أن تصل سلسلة من نقاط الضعف إلى المنظمة – وتؤثر على عمل فريق الأمن ، بدلاً من أن يبحث باستمرار عن الضعف السوداء القادمة ، مثل Citrix تنزف أو log4shell.
وقال “إن فهم الأرقام هو شيء واحد ، والتمثيل عليهم هو ما يهم حقًا”. “المنظمات التي تستخدم هذه البيانات لتوجيه تخطيطها الأمني يمكن أن تقلل من التعرض ، وتخفيف المخاطر والبقاء في المقدمة على المهاجمين.”
