كشف التحول الجديد في استراتيجية المعهد الوطني للمعايير والتقنية (NIST) عن واقع تقني يفرض إعادة ترتيب الأولويات، وذلك لمواجهة التدفق غير المسبوق في بلاغات الثغرات الأمنية والتعرضات الشائعة (CVE).
وفي هذا السياق، قرر المعهد إدخال تغييرات جذرية على آلية إدارة قاعدة البيانات الوطنية للثغرات (NVD)؛ حيث تضمن القرار الاستمرار في إدراج كافة السجلات الواردة، مع قصر توفير بيانات الإثراء التحليلية على الفئات المصنفة كأولوية قصوى، بناءً على اتساع نطاق مخاطرها وتأثيرها المحتمل.
تحول نحو إدارة المخاطر وتحديد الأولويات الفنية
يأتي هذا التوجه نتيجة الارتفاع الكبير في عدد البلاغات؛ إذ وجدت المؤسسة أن نموذج العمل السابق، الذي يعتمد على تحليل كافة سجلات CVE، لم يعد قادراً على ملاحقة وتيرة التدفق الحالية. فبينما كانت NVD تلتزم سابقاً بإضافة تفاصيل تحليلية عميقة لكل سجل، تشمل درجات الشدة وقوائم المنتجات المتأثرة لدعم فرق الأمن، تتبنى الخطة الحالية نموذجاً قائماً على إدارة المخاطر الفعلية.
وتشمل القائمة ذات الأولوية الثغرات المسجلة في كتالوج CISA KEV للثغرات المعروفة والمستغلة واقعياً، حيث تلتزم المؤسسة بإتمام إثرائها خلال يوم عمل واحد. وتتوسع هذه الأولوية لتشمل الثغرات المتعلقة بالبرمجيات العاملة في البيئات الحكومية الفيدرالية الأمريكية، وتلك المصنفة كـ “برمجيات حرجة” وفق الأوامر التنفيذية الصادرة في الولايات المتحدة، بينما تُدرج بقية السجلات تحت تصنيف Not Scheduled دون جدول زمني محدد للمعالجة.
آليات المعالجة المستحدثة وتحديات تراكم البيانات
أكدت المؤسسة أن إدراج بعض الثغرات ضمن التصنيف “غير المجدول” (Not Scheduled) لا ينفي احتمالية وجود مخاطر كبيرة فيها على أنظمة معينة، حتى وإن كانت لا تمثل خطراً منهجياً شاملاً كالفئات ذات الأولوية. ويدرك المعهد احتمالية سقوط بعض الثغرات عالية التأثير من عملية التصنيف التلقائي؛ لذا أتاح للمستخدمين إمكانية تقديم طلبات لإثراء سجلات محددة عبر البريد الإلكتروني، على أن تخضع هذه الطلبات لتقييم الموارد المتاحة.
كما شملت التحديثات تقليص حالات الازدواجية في تقييم الشدة؛ حيث تتوقف المؤسسة عن تقديم درجة شدة مستقلة في حال أرفقت الجهة المانحة للرقم (CNA) تقييماً خاصاً بها. ويهدف هذا الإجراء إلى تركيز الموارد البشرية والتقنية وتوجيهها نحو المهام الأكثر إلحاحاً.
الاستدامة التقنية في مواجهة التضخم الرقمي للبلاغات
ترتبط الإجراءات الحالية بجهود تعزيز الاستدامة داخل أنظمة NIST، حيث يجري العمل على تطوير أنظمة آلية وتحسين سير العمل لمواكبة النمو الرقمي المستمر. وتشير البيانات الصادرة إلى أن المؤسسة أثرت قرابة 42 ألف سجل CVE خلال عام 2025، بزيادة قدرها 45% عن أي عام سابق. ورغم هذا الارتفاع، لا تزال الفجوة قائمة نتيجة زيادة البلاغات بنسبة 263% بين عامي 2020 و2025.
وفيما يخص التراكمات السابقة، تقرر نقل السجلات المنشورة قبل الأول من مارس 2026 إلى تصنيف “غير المجدول”، مع استثناء السجلات المدرجة في كتالوج KEV. كما شملت التحديثات تعديل تسميات الحالات داخل NVD وتطوير لوحة متابعة فورية لتوفير رؤية واضحة للمستخدمين.
من جانبهم، اعتبر الخبراء في قطاع أبحاث الأمن، ومنهم المختصون في شركة VulnCheck، أن هذه الخطوة تمنح المجتمع التقني وضوحاً في التوقعات، رغم أنها تترك عدداً كبيراً من الثغرات دون مسار واضح للإثراء، لا سيما بالنسبة للجهات التي تعتمد كلياً على بيانات NIST.
