تصمیم جدید CISA برای بازنویسی الزامات مدیریت وصلههای امنیتی، صرفاً کاهش زمان نصب Patch از ۱۵ روز به ۳ روز نیست؛ بلکه نشانه تغییر یک پارادایم مهم در مدیریت آسیبپذیری است. این تغییر میتواند برای افتا نیز الهامبخش باشد.
۱. عبور از Patch Everything به Patch Smarter
سالها بسیاری از سازمانها تلاش کردند همه آسیبپذیریها را با یک فوریت یکسان رفع کنند. اما CISA پذیرفته است که در عصر هوش مصنوعی، این رویکرد عملی نیست. بر این اساس، آسیبپذیریها بر اساس ریسک واقعی اولویتبندی میشوند.
۲. ایجاد نسخه ایرانی KEV
یکی از مهمترین درسها، توسعه یک فهرست ملی آسیبپذیریهای مورد سوءاستفاده مشابه KEV است؛ فهرستی که بر اساس تهدیدات واقعی علیه زیرساختهای کشور بهروزرسانی شود و به دستگاهها بگوید کدام CVEها باید فوراً اصلاح شوند.
۳. توجه به قابلیت بهرهبرداری خودکار توسط AI
سازمان CISA برای نخستین بار، قابلیت خودکارسازی حمله را بهعنوان معیار اولویتبندی وارد کرده است. یعنی اگر یک آسیبپذیری به کمک AI بتواند در مقیاس وسیع و بدون دخالت زیاد انسان مورد سوءاستفاده قرار گیرد، باید سریعتر رفع شود.
۴. الزام به تحلیل فارنزیک
نکته مهم دیگر این است که وصله کردن کافی نیست. در آسیبپذیریهای بحرانی، دستگاهها باید بررسی کنند آیا پیش از نصب وصله، نشانهای از نفوذ وجود داشته است یا خیر. این موضوع میتواند به الزامی برای انجام Forensic Triage در زیرساختهای حیاتی کشور تبدیل شود.
۵. داراییمحوری به جای CVE محوری
تمام آسیبپذیریها ارزش یکسان ندارند. آسیبپذیری یک سامانه اینترنتی حیاتی با آسیبپذیری یک سیستم آزمایشگاهی داخلی متفاوت است. بنابراین طبقهبندی داراییها باید مبنای زمانبندی اصلاح قرار گیرد.
۶. استانداردسازی برچسبگذاری داراییها
سازمان CISA اعلام کرده است که برای داراییها Schema استاندارد منتشر خواهد کرد. این موضوع میتواند افتا را به سمت ایجاد یک مدل ملی طبقهبندی داراییها و یکپارچهسازی CMDB سازمانهای حیاتی سوق دهد.
۷. حرکت به سمت Exposure Management
شاید مهمترین پیام این تصمیم آن باشد که دوران Vulnerability Management سنتی رو به پایان است. در آینده، سؤال اصلی این نیست که "چند آسیبپذیری داریم؟" بلکه این است که "کدام آسیبپذیری روی کدام دارایی حیاتی، با چه احتمال بهرهبرداری و چه اثر عملیاتی، بیشترین خطر را ایجاد میکند؟"
در واقع، اگر بخواهیم پیام اصلی این تحول را در یک جمله خلاصه کنیم، باید گفت: عصر هوش مصنوعی، مدیریت آسیبپذیری را از یک فعالیت مبتنی بر شمارش CVEها به یک فرآیند مبتنی بر ریسک، زمینه عملیاتی و سرعت تصمیمگیری تبدیل کرده است. شاید زمان آن رسیده باشد که افتا نیز از «مدیریت وصله» به سمت «مدیریت مواجهه سایبری ملی» حرکت کند.
منبع CISA
