در یک تحول مهم در اکوسیستم امنیت سایبری، فریمورک CVE توسط مؤسسه ملی استاندارد و فناوری آمریکا (NIST) بازنگری اساسی شده است. این بازنگری در فریمورک CVE با هدف مقابله با رشد بیسابقه آسیبپذیریها و بهبود دقت در ارزیابی تهدیدات واقعی صورت گرفته است. در مدل جدید، سازمانها میتوانند منابع محدود خود را بهجای پوشش همه موارد، به آسیبپذیریهایی اختصاص دهند که واقعاً در معرض سوءاستفاده عملیاتی هستند.
چرا NIST فریمورک CVE را تغییر داد؟
NIST طی سالهای گذشته از طریق پایگاه داده ملی آسیبپذیریها (NVD) مرجع اصلی امتیازدهی و تحلیل CVEها بوده است. اما با رشد بیسابقه گزارشها، مدل سنتی دیگر پاسخگوی نیازها نیست. بر اساس دادههای رسمی NIST:
- تعداد ثبتهای CVE از سال 2020 تا 2025 حدود 263 درصد رشد داشته است.
- تنها در سال 2025، بیش از 42 هزار مورد CVE تحلیل و تکمیل اطلاعات شده است.
- سرعت ارسال گزارشها در سهماهه نخست 2026 حدود یکسوم بیشتر از سال قبل است.
این حجم عظیم داده موجب انباشته شدن گسترده گزارشهای بررسینشده شده و فشار قابلتوجهی بر چرخه تحلیل NVD و مکانیزم امتیازدهی CVSS وارد کرده است. بر همین اساس، NIST فریمورک CVE را بازطراحی کرد تا ساختاری کارآمدتر و ریسکمحور ایجاد شود.
فریمورک CVE جدید؛ حرکت بهسوی مدل مبتنی بر ریسک
در مدل جدید، فریمورک CVE به سمت مدل Risk-Based یا مبتنی بر ریسک حرکت کرده است. در این مدل، همه آسیبپذیریها در NVD ثبت شده اما فقط بخشی از آنها بهطور کامل بررسی و تکمیل اطلاعاتی میشوند.
اولویت بررسی بر اساس معیارهای زیر تعیین میشود:
- آسیبپذیریهای موجود در فهرست CISA KEV (Known Exploited Vulnerabilities)
- آسیبپذیریهای مرتبط با نرمافزارهای مورداستفاده در نهادهای فدرال
- تهدیدات تعریفشده تحت فرمان اجرایی EO 14028 (نرمافزارهای حیاتی و حساس)
کاتالوگ KEV شامل مواردی است که در حملات واقعی مورد سوءاستفاده عملیاتی قرار گرفتهاند. طبق این سیاست، سایر CVEها همچنان در NVD فهرست خواهند شد اما:
- اطلاعات تکمیلی و تحلیل عمیق برای آنها انجام نمیشود.
- وضعیت آنها با برچسب زمانبندینشده (Not Scheduled) مشخص خواهد شد.
همچنین تمامی گزارشهای بررسینشده (backlog) نیز به همین شکل در وضعیت زمانبندینشده قرار میگیرند. NIST اعلام کرده است این اقدام به تخصیص مؤثرتر منابع و تمرکز بر تهدیدات واقعی کمک میکند.
پایان امتیازدهی کامل CVSS برای همه CVEها
در مدل قبلی، NIST برای تقریباً تمام CVEها اطلاعات زیر را ارائه میداد:
- شرح کامل فنی
- فهرست محصولات آسیبپذیر
- امتیاز شدت CVSS
اما با رویکرد جدید، این فرآیند برای همه CVEها انجام نخواهد شد. هدف از این تغییر:
- کاهش تکرار فعالیتها میان NIST و دیگر نهادها
- استفاده مؤثرتر از منابع تحلیل
- تمرکز بر آسیبپذیریهایی که قابلیت سوءاستفادهپذیری واقعی دارند
این تصمیم یکی از مهمترین تغییرات بنیادین فریمورک CVE محسوب میشود.
نقش قابلیت سوءاستفادهپذیری واقعی در اولویتبندی CVE
طی سالهای اخیر، افزایش توان ابزارهای شناسایی، گسترش هوش مصنوعی، توسعه سریع نرمافزار و رشد برنامههای باگبانتی باعث شد حجم گزارشها رشد بیسابقهای داشته باشد. اما همه این آسیبپذیریها در عمل قابل سوءاستفاده نیستند. به گفته Trey Ford، مدیر ارشد استراتژی در Bugcrowd:
«در این حجم عظیم از داده، تمرکز صرف بر تحلیل آماری ممکن نیست. سیگنال واقعی برای اولویتبندی اصلاح (Remediation) از دنیای واقعی میآید، جایی که قابلیت سوءاستفادهپذیری واقعاً وجود دارد.»
به همین دلیل، در نسل آینده مدیریت آسیبپذیری، تصمیمگیریها بر مبنای سیگنالهای عملیاتی، دادههای هوش تهدید (Threat Intelligence) و الگوهای سوءاستفاده واقعی خواهد بود.
پیامدهای تغییر فریمورک CVE برای سازمانها
این تغییر بنیادین در فریمورک CVE بر نحوه واکنش سازمانها به تهدیدات سایبری تأثیر مستقیم میگذارد. در گذشته بیشتر تیمهای امنیتی برای اولویتبندی پچها کاملاً به NVD و امتیاز CVSS وابسته بودند. اما مدل جدید نشان میدهد این وابستگی دیگر کافی نیست.
به گفته David Lindner، مدیر امنیت اطلاعات در Contrast Security:
«در شرایطی که مهاجمان با سرعت بالا از آسیبپذیریهای روز صفر (Zero-Day) سوءاستفاده میکنند، تمرکز صرف بر شدت نظری دیگر مؤثر نیست.»
اکنون سازمانها باید تمرکز خود را روی اولویتبندی مبتنی بر قابلیت سوءاستفادهپذیری واقعی، دادههای KEV و تحلیل هوش تهدید بگذارند. این یعنی حرکت از مدل انفعالی به سمت مدیریت ریسک فعال (Proactive Risk Management).
گام بعدی NIST در تکامل فریمورک CVE
فریمورک CVE جدید نشاندهنده گذار مهمی از مدل سنتی پایگاهدادهمحور به رویکردی پویا و مبتنی بر دادههای واقعی است. NIST تأکید دارد که این تصمیم به معنای کاهش شفافیت نیست، بلکه تمرکز بر نقاطی است که بیشترین احتمال سوءاستفاده و تأثیر عملیاتی را دارند.
در بلندمدت، این تغییر میتواند تابآوری سایبری سازمانها را افزایش داده و از هدررفتن منابع در آسیبپذیریهای با ریسک پایین جلوگیری کند.
جمعبندی
بازطراحی فریمورک CVE پاسخی استراتژیک به موج فزایندهی آسیبپذیریها و نیاز به اولویتبندی هوشمندانهتر در مواجهه با تهدیدات مدرن است. در دنیایی که زمان واکنش نقش حیاتی دارد، سازمانها باید تمرکز خود را از شدت نظری به قابلیت سوءاستفادهپذیری واقعی تغییر دهند. سازمانهایی که سریعتر با ساختار جدید فریمورک CVE سازگار شوند، نهتنها کارآمدتر منابع خود را مدیریت میکنند، بلکه در برابر موج تهدیدات نوظهور نیز مقاومتر خواهند بود.
