Skip to content
Security English

توجيه CISA BOD 26-04: تصحيح الثغرات في ٣ أيام يُعيد تشكيل الأمن السيبراني

CISA · خبر 2 من 6

في ١٠ يونيو ٢٠٢٦، أصدرت وكالة أمن البنية التحتية والأمن السيبراني (CISA) التوجيه التنفيذي الملزم 26-04 بعنوان "تحديد أولويات التحديثات الأمنية بناءً على المخاطر". يُلزم التوجيه جميع الوكالات الفيدرالية بتصحيح الثغرات التي تستوفي معايير الخطر العالي الأربعة خلال ثلاثة أيام تقويمية من ظهورها في قائمة الثغرات المُستغلة المعروفة (KEV).

هذا هو أقصر جدول زمني إلزامي للتصحيح في تاريخ الأمن السيبراني الفيدرالي. المعيار السابق كان ١٤ يوماً للثغرات الحرجة. النافذة الزمنية ثلاثية الأيام تعكس واقعاً جديداً: الاستغلال المدعوم بالذكاء الاصطناعي ضغط الوقت بين الإفصاح عن الثغرة والاستغلال الفعلي من أسابيع إلى ساعات.

الأهم أيضاً هو ما يُلغي التوجيه: تحرك CISA بعيداً عن نظام CVSS كأساس رئيسي لتحديد الأولويات، واستبداله بنموذج مخاطر رباعي العوامل يعتبر ما إذا كانت الثغرة مُستغلة فعلياً وقابلة للاستغلال عن بُعد وتُؤثر على البنية التحتية الحرجة ولديها استغلال عام.

بالنسبة للمنظمات الخاصة، يُعد هذا التوجيه مؤشراً استباقياً. تاريخياً، التوجيهات الفيدرالية تُحدد الحد الأدنى الذي تتبناه المقاولون ومشغلو البنية التحتية الحرجة ثم فرق أمن المؤسسات.

تحليل
نشط

التوجيه 26-04 يُلغي فعلياً الاعتماد على نظام CVSS وحده — وهذا أمر جيد. للمنظمات في منطقة الشرق الأوسط، الرسالة واضحة: إذا كانت الوكالات الفيدرالية الأمريكية لا تستطيع مواكبة الاستغلال المُتسارع بالذكاء الاصطناعي خلال ١٤ يوماً، فأنتم أيضاً لا تستطيعون. ابدأوا بالاستعداد لمعالجة الثغرات الحرجة خلال ٧٢ ساعة.

أسئلة شائعة
هل ينطبق التوجيه 26-04 على الشركات الخاصة؟

لا، ينطبق فقط على الوكالات الفيدرالية الأمريكية. لكنه يُحدد سابقة تتبعها عادة شركات الدفاع ومشغلو البنية التحتية الحرجة خلال ١٢-١٨ شهراً.