تُعد عملية إصلاح الثغرات (Patching) الأساس في حماية الأنظمة، لكن حجم البنية التحتية الحديثة أصبح كبيرًا لدرجة أن نماذج المعالجة التقليدية لم تعد كافية. وتشير أبحاث Qualys TRU إلى نمو بمقدار 6.5 أضعاف في الحوادث المُغلقة، إلا أن “فجوة الجاهزية” تتسع، حيث ارتفعت نسبة الثغرات الحرجة غير المُعالجة بعد 7 أيام إلى 63% في عام 2025.

وفي تقرير M-Trends 2026 من Google Threat Intelligence، أصبح متوسط زمن استغلال الثغرات سبعة أيام قبل اكتشافها، ما يعني أن معظم الهجمات تحدث قبل حتى معرفة وجود الثغرة.

بالنسبة لفرق الدفاع، يصبح الخيار واضحًا:
إما محاولة “السفر عبر الزمن”، أو التحول إلى نموذج إصلاح قائم على المخاطر (Risk-Oriented Remediation – ROC)، يركز على الأثر على الأعمال بدلًا من الخطورة التقنية فقط.

بمعنى آخر، مستقبل إدارة المخاطر يتجه نحو الأولوية الذكية بدل المعالجة الشاملة، حيث لا يكفي اكتشاف الثغرات، بل يجب تحديد أيها يهدد العمل فعليًا ومعالجته أولًا.

لماذا لا يعدّ متوسط زمن المعالجة (MTTR) مقياسًا مفيدًا بما يكفي

يُعدّ المقياس التقليدي المستخدم في إدارة التصحيحات الأمنية هو متوسط زمن المعالجة (Mean Time To Remediation – MTTR)، وهو يُعرّف بأنه الوقت بين الكشف الأولي عن أي ثغرة أمنية وبين إزالتها عبر تطبيق التحديث الأمني. ويُعتبر MTTR مفهومًا معروفًا ويوفر مقياسًا بسيطًا لأداء عمليات التصحيح التقليدية.

لكن هذا المقياس يصبح أقل فعالية عند التعامل مع تهديدات اليوم الصفري (Zero-day). فعندما يكون المقياس مصممًا خصيصًا لتتبع نشر التصحيحات، فإنه لا يعكس بشكل دقيق مستوى المخاطر الفعلية التي تواجهها الأعمال. كما أنه يتجاهل الضوابط التعويضية مثل تقسيم الشبكات، وعزل الأنظمة، أو “التصحيح الافتراضي” (Virtual Patching). هذه الإجراءات قد تقلل المخاطر فعليًا وتضمن استمرارية الأعمال، لكنها لا تظهر في تقارير MTTR. وقد تمنع هذه الضوابط الهجمات قبل استغلال الثغرة، أثناء تنفيذ عملية التصحيح، إلا أن MTTR لا يعكس هذا العمل الحاسم.

لذلك، هناك حاجة إلى مقياس جديد يقيس الزمن بين إعلان أي احتمال استغلال ثغرة وبين إغلاق الباب أمام المهاجمين من قبل فرق الأمن. يُطلق على هذا المقياس متوسط نافذة التعرض (Average Window of Exposure – AWE).

من خلال النظر إلى الإجراءات الاستباقية التي يمكن للفرق اتخاذها لمنع الهجمات إلى جانب عمليات التصحيح، يمكن لفرق الأمن التمييز بين كيفية إدارة الثغرات الحرجة أو سوء التهيئة مقارنةً بالنهج العام للثغرات الأقل خطورة.

كما يساعد هذا المقياس المدافعين على فهم عملهم في سياقه الحقيقي. ففي أبحاث وحدة التهديدات في Qualys، تبيّن أن 85% من الأصول الضعيفة كانت غير مُحدّثة عند إطلاق الاستغلالات لأول مرة. وعند متوسط زمن المعالجة البالغ نحو 21 يومًا، لا يزال 33% من الأصول المدرجة ضمن CISA KEV غير مُحدثة. وبعد 90 يومًا، ظل ما يقارب 12% من تلك الأصول معرضًا للخطر بسبب عدم تطبيق التصحيحات. وعندما تنص السياسات على ضرورة إصلاح الثغرات الحرجة خلال 15 يومًا وغيرها خلال 25 يومًا، فإن الأداء الفعلي يظهر أنه متأخر عن المطلوب.

وبدلًا من قياس سرعة الاستجابة فقط، يحدد AWE مدة تعرض المؤسسة للخطر. وهذا يوفر رؤية أعمق لسرعة الانتقال من لحظة اكتشاف التهديد المحتمل إلى إغلاقه بشكل كامل وعلى نطاق واسع. ومن مزايا هذا المقياس أيضًا أنه يكشف عن التعرض طويل الأمد الذي قد تخفيه مقاييس مثل MTTR، والتي تعتمد على المتوسطات.

التخطيط الاستباقي حول المخاطر

في عام 2025، تم اكتشاف 48,172 ثغرة أمنية جديدة وتخصيص رموز CVE لها. وعلى الرغم من هذا العدد الكبير من المشكلات التي يجب تتبعها، فإن 357 فقط منها كانت قابلة للاستغلال عن بُعد، وتم استخدامها فعليًا في الهجمات، ومدعومة برموز إثبات المفهوم (Proof-of-Concept). هذه الفئة الحرجة، التي تمثل نحو 0.7% فقط من الإجمالي السنوي، هي التي تعكس الخطر الحقيقي.

يركّز مركز عمليات المخاطر (Risk Operations Center – ROC) على التحول من التصحيح العشوائي إلى نموذج يعتمد على الاستغلال الفعلي وأهمية الأصول. وبالتالي، تطوّرت إدارة الثغرات من الاعتماد على إصلاح شامل بناءً على درجات CVSS فقط، إلى التركيز على الثغرات التي تمثل أعلى مستوى من المخاطر للمؤسسات، استنادًا إلى ما يقوم به المهاجمون فعليًا، وما هي الأصول المستخدمة، ومدى أهميتها للأعمال.

تعتمد الأولويات القائمة على المخاطر على تحديد الثغرات التي تمثل أعلى تهديد نظري للمؤسسة. ومع ذلك، يمكن تضييق هذا التركيز أكثر. فباستخدام أدوات الحماية التعويضية الموجودة في المؤسسة، هل هذه الثغرة عالية الخطورة قابلة للاستغلال فعليًا الآن؟ وهل هي بنفس مستوى الخطورة لكل المؤسسات؟

من خلال التركيز على المخاطر بدلًا من درجات الخطورة، يمكن توجيه الجهود نحو القضايا الأكثر إلحاحًا والأكثر احتمالًا للاستغلال. كما أن التخطيط المسبق ومراقبة أنماط استخبارات التهديدات يمكّن المؤسسات من استباق مجموعات المهاجمين وتأمين الأنظمة قبل استهدافها. يقوم ROC بتوحيد تحليل البيانات لوقف التهديدات قبل استغلالها، ومن خلال لوحة إصلاح مركزية (Remediation Cockpit) ونظام تقييم موثوقية التصحيحات (Patch Reliability Scoring)، تستطيع الفرق التنبؤ بما إذا كان التصحيح سيتسبب في أعطال للنظام قبل نشره، مما يحقق توازنًا بين أولوية الأمن واستقرار عمليات تقنية المعلومات.

الهدف العام هو تقليل الوقت المستغرق في التصحيح عبر الأتمتة قدر الإمكان، مع التركيز في الوقت نفسه على المخاطر الأكثر قابلية للاستغلال.

ويُعدّ التقدم في عمليات التصحيح ومعالجة الثغرات إحدى طرق تقليل المخاطر، كما أن فهم ضوابط الأمن وكيفية منعها للمخاطر المحتملة أمر بالغ الأهمية، خاصة مع محدودية الموارد. وعند دمج هذه العمليات مع تتبع متوسط نافذة التعرض (AWE)، يصبح النهج أكثر فعالية في تقليل المخاطر قبل وقوع أي استغلال محتمل.

ليس الأمر بمثابة السفر عبر الزمن، لكن هذا النهج يمكّن المؤسسات من إغلاق نافذة التعرض قبل أن يتمكن المهاجمون من استغلالها.

بقلم: إيفان ميلينكوفيتش – نائب رئيس تكنولوجيا مخاطر الأمن السيبراني لمنطقة أوروبا والشرق الأوسط وأفريقيا في شركة  Qualys  

مقالات ذات صلة

عرض الكل