أعلنت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) إطلاق نموذج إلكتروني جديد، يتيح للباحثين الأمنيين، وموردي التقنية، وشركاء القطاع، ترشيح الثغرات الأمنية التي يثبت استغلالها فعلياً في الهجمات الرقمية، وذلك للنظر في إدراجها ضمن كتالوج الثغرات المستغلة المعروفة (KEV).
ويوفر هذا النموذج مساراً مباشراً وممنهجاً لإرسال البيانات والمعلومات المتعلقة بالثغرات النشطة، في حين تواصل الوكالة إتاحة خيار الإبلاغ عبر البريد الإلكتروني المخصص للثغرات لمن يفضل الاعتماد عليه. وتهدف CISA من خلال هذه الخطوة إلى تطوير آليات استقبال البلاغات وتحليلها، بما يمكن المؤسسات من مواكبة الأنشطة التهديدية المرتبطة بالثغرات المستغلة على أرض الواقع بفاعلية أكبر.
ووفقاً للمعايير والشروط التي حددتها الوكالة، فإن مجرد الاشتباه في وجود خطر لا يعد مسوغاً كافياً لإضافة الثغرة إلى الكتالوج؛ إذ تشترط الوكالة أن تحمل الثغرة معرفاً موحداً (CVE)، وأن تتوفر أدلة قاطعة على استغلالها الفعلي، إلى جانب وجود إرشادات واضحة للمعالجة أو التخفيف من مخاطرها. وبناء على ذلك، يتطلب النموذج من المُبلغين تقديم تفاصيل دقيقة حول طبيعة الاستغلال، وروابط للإصلاحات البرمجية أو إجراءات الحد من المخاطر، وتوضيح ما إذا كان الأثر الأمني يمتد ليشمل أكثر من مورد أو منتج تقني.
ويندرج هذا الإجراء في سياق الاعتماد الواسع على كتالوج KEV بوصفه مؤشراً تشغيلياً أساسياً لتحديد المخاطر ذات الأولوية. وكان الكتالوج قد انطلق في نوفمبر 2021 ليصبح مرجعاً رئيساً للثغرات الموظفة في هجمات فعلية، وترتبط به التزامات معالجة محددة الجداول الزمنية للوكالات المدنية الفيدرالية الأمريكية بموجب التوجيه التشغيلي الإلزامي (BOD 22-01).
وفي المقابل، تشير تقارير متخصصة إلى أن CISA واجهت سابقاً انتقادات تتعلق بتأخر إدراج بعض الثغرات المستغلة، ما جعل الكتالوج يظهر في بعض الحالات كمؤشر لاحق للأحداث بدلاً من العمل كأداة للإنذار المبكر. ومن المتوقع أن يسهم فتح باب الترشيح المنظم أمام الأطراف الخارجية في توسيع مصادر الإبلاغ وتسريعها، دون أن يلغي ذلك مسؤوليّة الوكالة في التحقق من الأدلة بدقة قبل اتخاذ قرار الإدراج الفعلي.
وفي هذا الصدد، أوضح كريس بوتيرا، القائم بأعمال المدير التنفيذي المساعد للأمن السيبراني في CISA، أن آلية الإبلاغ الجديدة تعزز قدرة الوكالة على تحديد معلومات التهديدات الحرجة، والتحقق منها، ومشاركتها بسرعة وكفاءة. وأكد أن الاكتشاف المبكر والإفصاح المنسق عن الثغرات يمثلان الأدوات الأكثر أهمية للحد من المخاطر السيبرانية على نطاق واسع.
