مسرد RBVM
تعريفات واضحة لمصطلحات إدارة الثغرات ونمذجة التهديدات والتشريعات السيبرانية الأوروبية المستخدمة في هذا الموقع وداخل منصة Centraleyezer.
إدارة الثغرات الأمنية على أساس المخاطر (RBVM)
نهج لإدارة الثغرات يُرتّب أولويات المعالجة بحسب المخاطر الفعلية على الأعمال التي يُشكّلها كل اكتشاف، بدلًا من درجات الخطورة الخام. تجمع RBVM بين الخصائص التقنية للثغرة، والأصل المتأثّر، والشبكة المحيطة، ومشهد التهديدات، والفريق الذي سيُعالجها.
انظر أيضًا: لماذا RBVM · المنصة
درجة المخاطر السياقية
درجة Centraleyezer لكل اكتشاف، تجمع ستة عوامل: DREAD، حساسية الأصل، التعرّض الشبكي، إمكانية الاستغلال في بيئة الأصل، إشارات CTI، وحلقة تفاعل بشرية–آلية.
انظر أيضًا: لماذا RBVM
DREAD
درجة خطورة منظَّمة لنمذجة التهديدات عبر خمسة أبعاد — الضرر (Damage)، إمكانية إعادة الإنتاج (Reproducibility)، إمكانية الاستغلال (Exploitability)، المستخدمون المتأثرون (Affected users)، وإمكانية الاكتشاف (Discoverability).
حساسية الأصل
الأهمية التجارية للأصل (منخفضة، متوسطة، مهمة، حرجة) — تُحدَّد لكل أصل من قِبل المالكين له.
التعرّض الشبكي
الموقع الذي يوجد فيه الأصل ضمن الشبكة — معرَّض للإنترنت، أو في DMZ، أو داخلي، أو معزول تمامًا. يرفع التعرّضُ خطورةَ كل اكتشاف يحمله الأصل.
إمكانية الاستغلال (في بيئتك)
مدى عملية تسليح الاكتشاف بناءً على التهيئة الفعلية للأصل، والإصدار، والضوابط المعوّضة.
CTI — استخبارات التهديدات السيبرانية
استخبارات خارجية حول الاكتشاف وحزمة التقنيات: الحملات النشطة ذات الصلة، والجهات المهدِّدة، ونقاشات الاستغلال.
حلقة التفاعل البشرية–الآلية
تتعلّم Centraleyezer من كيفية استجابة كل مالك أصل فعليًا للاكتشافات (زمن الإقرار، زمن المعالجة، أنماط قبول المخاطر).
جرد الأصول
السجل المرجعي لكل أصل تراقبه Centraleyezer — عناوين IP، مواقع الويب، التطبيقات، الأصول المخصّصة — مع تقييمات الحساسية والمالكين والتحكم بالوصول على أساس المجموعات.
CVSS — نظام تقييم درجة الثغرات الموحَّد
درجة معيارية في الصناعة من 0 إلى 10 للخطورة التقنية لـ CVE من حيث المبدأ.
EPSS — نظام تقدير احتمالية الاستغلال
درجة احتمالية من FIRST.org (0.0–1.0) تُقدّر احتمال استغلال CVE في البرّية خلال 30 يومًا.
CISA KEV — الثغرات المعروف استغلالها
كتالوج تحتفظ به وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية يضمّ ثغرات CVE المؤكَّد استغلالها في البرّية.
توجيه NIS2
توجيه الاتحاد الأوروبي 2022/2555. تتطلب المادة 21(2)(م) صراحةً معالجة منظَّمة للثغرات والإفصاح عنها ضمن عشرة تدابير أمنية دنيا للجهات الأساسية والمهمة.
انظر أيضًا: صفحة NIS2
DORA — قانون الصمود التشغيلي الرقمي
لائحة الاتحاد الأوروبي 2022/2554، السارية اعتبارًا من يناير 2025، تحكم إدارة مخاطر تكنولوجيا المعلومات والاتصالات للجهات المالية.
انظر أيضًا: صفحة DORA
ISO 27001 — الملحق A.8.8
ضابط ISO 27001:2022 المتعلّق بإدارة الثغرات التقنية.
انظر أيضًا: صفحة ISO 27001
PCI-DSS — المتطلب 6
متطلب PCI-DSS v4.0 الذي يغطي أمان البرامج المخصّصة، وإدارة الثغرات، واتفاقيات SLA للترقيع لبيئة بيانات حاملي البطاقات.
انظر أيضًا: صفحة PCI-DSS
CRA — قانون الصمود السيبراني للاتحاد الأوروبي
لائحة الاتحاد الأوروبي تفرض متطلبات الأمن السيبراني على المنتجات ذات العناصر الرقمية طوال دورة حياتها، بما في ذلك تتبّع الثغرات والإفصاح عنها وإخطار ENISA خلال 24/72 ساعة، والتزامات SBOM.
انظر أيضًا: صفحة CRA
UAE IAS — معايير ضمان المعلومات الإماراتية
معيار الأمن الوطني الإماراتي الأساسي، الصادر عن هيئة استخبارات الإشارات (NESA سابقًا)، المُطبَّق على الجهات الاتحادية ومشغّلي البنية التحتية للمعلومات الحيوية. يشمل تقييم الثغرات (T7.5) واختبارات الاختراق وإدارة التصحيحات (T7.4).
انظر أيضًا: صفحة UAE IAS
CBUAE — مصرف الإمارات المركزي
الجهة المنظِّمة للقطاع المصرفي في الإمارات. تستلزم لوائحه السيبرانية المُلزِمة على البنوك المرخّصة وشركات الصرافة والشركات المالية ومزوّدي خدمات الدفع، إدارة الثغرات والتهديدات، واختبارات الاختراق السنوية / المُحفَّزة بالأحداث، وتقارير المخاطر السيبرانية على مستوى مجلس الإدارة.
انظر أيضًا: صفحة CBUAE
MSSP — مزوّد خدمات الأمن المُدارة
مزوّد خدمة يُدير إدارة الثغرات (ووظائف أمنية أخرى) نيابةً عن عدة مؤسسات عميلة.
انظر أيضًا: الشركاء · الأسعار — MSSP
SLA — اتفاقية مستوى الخدمة
في إدارة الثغرات: الأطر الزمنية الموثَّقة التي يجب أن تُعالَج خلالها الاكتشافات بحسب درجة الخطورة.
قبول المخاطر
سجلٌّ رسمي بأن اكتشافًا ما لن يُعالَج ضمن SLA، مع سبب موثَّق ومعتمِد مُسمّى وضوابط معوّضة وتاريخ مراجعة.
CVE — الثغرات والتعرّضات الشائعة
معرّف موحَّد لثغرة محدّدة مُفصَح عنها علنيًا (مثل CVE-2024-3094).
الاستضافة الذاتية مقابل SaaS
تُقدّم Centraleyezer كلا الخيارين: SaaS (محدودة بـ 10 جيجابايت لكل نشر) وباقتا Enterprise / MSSP المستضافتان ذاتيًا (حاوية Docker؛ تدعم العزل التام).
انظر أيضًا: الأسعار
CVSS مقابل EPSS
درجتان متكاملتان كثيرًا ما يُخلط بينهما. تُقيّم CVSS الخطورة التقنية لـ CVE من حيث المبدأ (0–10). وتُقدّر EPSS احتمال استغلال CVE في البرّية خلال 30 يومًا (0.0–1.0). كلتاهما تصف الثغرة على نطاق الإنترنت — لا في بيئتك. ولا تكفي أي منهما وحدها لترتيب الأولويات.
انظر أيضًا: لماذا CVSS لا يكفي
فحص الثغرات مقابل إدارة الثغرات
الفحص هو خطوة الاكتشاف — تُنتج Nessus وQualys وTenable وRapid7 وOpenVAS وBurp وغيرها قائمة من الاكتشافات. وإدارة الثغرات هي كل ما يأتي بعد ذلك: إزالة التكرار، التقييم السياقي، تحديد المالك، اتفاقيات SLA للمعالجة، قبول المخاطر، وأدلة التدقيق. Centraleyezer هي طبقة الإدارة فوق ماسحاتك.
انظر أيضًا: لماذا RBVM · المنصة
بدائل Tenable
تبحث الفرق عن بديل لـ Tenable إما عن طبقة RBVM حقيقية فوق الماسحات (Centraleyezer)، أو عن ماسح مختلف (Qualys، Rapid7، OpenVAS). تستوعب Centraleyezer مخرجات Tenable.io وTenable.sc وتُضيف التقييم السياقي وأدلة NIS2/DORA وتعدد المستأجرين لمزوّدي خدمات الأمن المُدارة (MSSP) — وهي أمور لا توفّرها حزمة Tenable أصلًا.
انظر أيضًا: لماذا Centraleyezer · المنصة
بدائل Qualys
Qualys VMDR منصة قوية للماسح والأصول، لكنها تخلط الفحص والتقييم وإعداد التقارير في SaaS واحد. الفرق التي ترغب في الإبقاء على مزيج الماسحات الحالي وإضافة طبقة تقييم سياقي وأدلة امتثال تستخدم Centraleyezer التي تستوعب Qualys VMDR أصلًا.
انظر أيضًا: لماذا Centraleyezer
بدائل Rapid7
يُقدّم Rapid7 InsightVM درجة مخاطر خاصة به (Real Risk)، لكنها تبقى داخلية للماسح — قائمة على سمات الأصول وCVE التي يجمعها Rapid7، لا على أنماط استجابة فريقك أو التعرّض الفعلي لشبكتك. تستوعب Centraleyezer InsightVM وتُعيد تقييم الاكتشافات باستخدام DREAD وحساسية الأصل والتعرّض الشبكي وإمكانية الاستغلال وCTI وحلقة بشرية–آلية.
انظر أيضًا: لماذا Centraleyezer
ترتيب الأولويات المعتمد على التعرّض
نهج لترتيب الأولويات يُرجِّح كل اكتشاف بحسب مدى إمكانية الوصول الفعلي إلى الأصل المتأثّر — معرَّض للإنترنت، أو في DMZ، أو داخلي، أو معزول. التعرّض أحد العوامل الستة في درجة المخاطر السياقية لـ Centraleyezer؛ وهو ضروري لكنه لا يكفي بمفرده.
انظر أيضًا: لماذا RBVM
إدارة الترقيع مقابل إدارة الثغرات
إدارة الترقيع هي الممارسة التشغيلية لتطبيق ترقيعات الموردين على البنية (WSUS، Red Hat Satellite، Ivanti، Intune). أما إدارة الثغرات فهي الانضباط الأشمل الذي يُقرّر أي ترقيعات أهم بحسب المخاطر، يتتبع الضوابط المعوّضة، ويُنتج أدلة التدقيق. تُعدّ إدارة الترقيع إحدى أدوات المعالجة المهمة داخل برنامج إدارة الثغرات.
انظر أيضًا: المنصة
MTTR / MTTD
متوسط زمن المعالجة (MTTR) ومتوسط زمن الكشف (MTTD) — المؤشّران التشغيليان الرئيسيان لبرنامج إدارة الثغرات. تقيس Centraleyezer كليهما لكل فريق وكل أصل، وتُعيد إدخال البيانات في درجة المخاطر السياقية (اكتشافات الفريق البطيء في المعالجة أعلى مخاطرة تشغيلية من اكتشافات الفريق السريع، حتى لدرجة CVSS نفسها).
الماسح مقابل منصة RBVM
يكتشف الماسح الثغرات؛ وتُقرّر منصة RBVM أيها يهم. كلاهما متكامل لا متنافس. Centraleyezer منصة RBVM تستوعب مخرجات أكثر من 16 ماسحًا (Nessus، Tenable، Qualys، Rapid7، Burp، Acunetix، Trivy، Wazuh، AWS Inspector، OpenVAS، وغيرها) وتُضيف التقييم السياقي وأدلة الامتثال وتتبّع المعالجة.
انظر أيضًا: لماذا Centraleyezer · المنصة