שליחת יומנים, התראות ונתוני טלמטריה באמצעות דיודה נתונים

גלו כיצד
אנו משתמשים בבינה מלאכותית לתרגום האתר, ועל אף שאנו שואפים לדיוק מרבי, ייתכן שהתרגומים אינם מדויקים במאת האחוזים. אנו מודים לך על ההבנה.
דף הבית/ בלוג / הפער בכיסוי הביטוחי שלכם התרחב
OEM

פער הכיסוי הביטוחי שלכם בתחום הפגיעות התרחב זה עתה

עַל יְדֵי OPSWAT
שתף את הפוסט הזה

במשך שני עשורים שימשה ה-NVD (מאגר הפגיעות הלאומי) כבסיס דה פקטו לניהול פגיעות. סורקים, מערכות SIEM, כלי תיקון, ומסגרות תאימות – כולם הסתמכו על ההנחה שכאשר מופיע CVE ב-NVD, אנליסטים של ה-NIST יוסיפו מיד את דירוגי החומרה, מיפויי גרסאות המוצר, ואת המטא-נתונים ההקשריים שהופכים מזהה CVE גולמי למשהו שימושי באמת.

ב-15 באפריל 2026, הנחה זו הפסיקה באופן רשמי להיות אמינה.

ה-NIST הודיע כי ה-NVD עובר למודל העשרה מבוסס סיכונים. רוב ה-CVE החדשים הנכנסים למסד הנתונים לא יקבלו עוד ציון CVSS שנוסף על ידי NIST, לא יקבלו מיפוי מוצרי CPE ולא יעברו ניתוח עצמאי כברירת מחדל. עבור ארגונים שתהליכי העבודה שלהם בנושא פגיעות תלויים בנתונים המועשרים על ידי NVD, הדבר יוצר בעיה אמיתית והולכת וגדלה של כיסוי. עבור מפתחי מוצרי אבטחה וספקים המשלבים נתונים אלה בכלים שלהם, הדבר מעלה שאלה חדה עוד יותר: מה בדיוק אומר לכם כעת העדכון שלכם?

NVD כבר לא מצליחה לעמוד בקצב של הפגיעויות המדווחות

על פי הודעת NIST עצמה, מספר הדיווחים ל-CVE עלה ב-263% בין השנים 2020 ל-2025, ומספר הדיווחים ברבעון הראשון של 2026 כבר היה גבוה בכמעט שליש בהשוואה לתקופה המקבילה אשתקד.

ה-NIST העשיר כמעט 42,000 תקלות אבטחה (CVE) בשנת 2025, עלייה של 45% לעומת כל שנה קודמת. אך העלייה בפריון לא הספיקה כדי לעמוד בקצב הגידול במספר הדיווחים, מה שהוביל להקמת מערכת מיון רשמית.

החל מ-15 באפריל 2026, ה-NIST יעשיר רק פגיעויות המופיעות בקטלוג ה-KVE (Known Exploited Vulnerabilities) של ה-CISA, בתוכנה הנמצאת בשימוש הממשל הפדרלי, או בתוכנה שסווגה כקריטית על פי הצו הנשיאותי 14028. כל השאר יירשם ב-NVD, אך ללא העשרה שנוספה על ידי ה-NIST, ולא יעובד באופן מיידי.

כתוצאה מכך, כ-300,000 תקלות אבטחה (CVE) שהצטברו והפורסמו לפני ה-1 במרץ 2026 הועברו כולם לקטגוריה "לא מתוכנן".

בעתיד, עבור פגיעות אבטחה (CVE) שאינן עומדות בקריטריוני העדיפות של NIST, דירוגי החומרה ייקבעו על סמך הדיווח העצמי של רשות מספור ה-CVE (CNA) – לרוב הספק של התוכנה המושפעת – ולא על סמך ניתוח עצמאי של NIST. כמו כן, NIST יפסיק לחשב מחדש את דירוגי החומרה במקרים שבהם רשות מספור ה-CVE כבר סיפקה דירוג כזה.

כל סורק פגיעות מרכזי, כל כלל קורלציה ב-SIEM, כל דירוג סיכונים של צד שלישי וכל מסגרת תאימות רגולטורית, החל מ-PCI DSS ועד FedRAMP, מסתמכים על צינור העשרת הנתונים של NVD.

בעקבות העדכון, מסלול זה הצטמצם כעת באופן רשמי, מה שמוביל לכך ש-CVE שעלולים להיות מסוכנים אינם מקוטלגים ככאלה, או אינם מתגלים במועד.

ישנו גורם מואץ נוסף שכדאי להבין, שכן הירידה ברמת ההעשרה מתנגשת עם ההתפשטות המהירה של זיהוי איומים בסיוע בינה מלאכותית.

מודלים מתקדמים של בינה מלאכותית וכלי תכנות מורידים באופן משמעותי את החסמים בזיהוי נקודות תורפה שניתן לנצל ונתיבי תקיפה מורכבים ביישומים, מה שמביא לעלייה חדה במספר החשיפות של פגיעות CVE. בפברואר 2026, הפורום לתגובה לאירועים וצוותי אבטחה (FIRST) חזה כי בשנת 2026 ידווחו על מספר שיא של 50,000 פגיעות CVE נוספות. התשתית הנוכחית לעיבוד נתונים אינה ערוכה להתמודד עם נפח זה ברמות האיכות שהיו נהוגות בעבר.

מדוע מוצרים המבוססים על NVD בלבד סובלים מבעיה

רשומת CVE במצבה הגולמי כוללת בדרך כלל מזהה, תיאור והפניות. המטא-נתונים המניעים את הניהול האוטומטי של פגיעות הגיעו בעבר מאת האנליסטים של ה-NVD. נתונים אלה מתייחסים לציוני חומרת CVSS שאושרו באופן עצמאי, למיפויי מוצרים של CPE ולסיווגי נקודות תורפה של CWE.

אבל "העשרה" היא זו שהופכת את ה-CVE לבר-ביצוע. בלעדיה, תהליכי העבודה התלויים בה נפגעים בדרכים צפויות.

קביעת סדרי עדיפויות על בסיס CVSS מחלישה

כאשר סורק או כלי תיקון מצפים לקבל דירוג חומרה שמספק ה-NVD ואינם מוצאים כזה, הפגיעות עלולה להופיע כ"חומרה לא ידועה", לא להיכלל במדיניות התיקונים המונעת על ידי SLA, או לאבד את סדר העדיפות שלה.

העדכון של NIST מאפריל 2026 אישר כי:

  • פגיעויות (CVE) שאינן עומדות בקריטריוני העדיפות החדשים לא יקבלו באופן אוטומטי דירוג עצמאי
  • NIST לא יפיק עוד ציון CVSS משלו כאשר סוכנות CNA כבר סיפקה ציון כזה (אפילו אם אותה סוכנות CNA היא הספקית של התוכנה המושפעת)

מיפוי CPE לקוי או חסר גורם לזיהוי לקוי של CVE

התיעוד של NVD עצמה מתאר את זיהוי המוצר כחלק מהותי מתהליך ההעשרה, שכן הוא מאפשר למשתמשים לבדוק באופן אוטומטי אם פגיעות ידועה משפיעה על המוצרים בסביבתם.

אם מיפויי ה-CPE חסרים, אינם שלמים או מתעכבים, כלים המסתמכים בעיקר על התאמת CPE עלולים שלא להציג את ההתאמה, או להציג אותה באיחור.

ספקי מוצרי אבטחה הם מהנפגעים ביותר, שכן מוצריהם תלויים לעתים קרובות בהתאמת CPE ובהעשרת נתוני CVE. כלי ניהול תיקונים, הגנה על נקודות קצה, בקרת גישה לרשת וניהול נכסים מסתמכים על מידע מדויק בנוגע לפגיעויות כדי לקבוע אילו מערכות נפגעו, מה חומרת הבעיה ואילו פעולות יש לנקוט בהמשך.

עבור צוותים המפתחים מוצרי אבטחה חדשים, התבססות על NVD בלבד פירושה בנייה על תשתית שבה עשויים להתקיים כבר פערים משמעותיים: כיסוי מוגבל של פרצות "יום אפס", היעדר העשרה עבור חלק הולך וגדל של תקני CVE, ומחזורי עדכון שעלולים להתקשות לעמוד בקצב של גילוי וניצול פרצות במהירות של בינה מלאכותית.

עבור צוותים שכבר מחזיקים ביכולות תיקון או טיפול בפגיעויות, הסיכון הוא שונה אך לא פחות חשוב. יעילותו של מנוע טיפול בפגיעויות תלויה במידע המודיעיני שהוא מקבל. אם מידע זה אינו שלם, מתעכב או תלוי יתר על המידה בהעשרה שמקורה ב-NVD, תהליכי העבודה הבאים עלולים לפספס מוצרים שנפגעו, להוריד את רמת העדיפות של פגיעויות שדרגת חומרתן אינה ידועה, או שלא לפעול לפני שהחשיפה תגדל.

אם מוצרים אלה יירשו את נקודות התורפה של NVD, נקודות תורפה אלה עלולות לעבור לכל לקוח במורד שרשרת האספקה.

זהו הפער ש"הערכת הפגיעות של מסגרת OESIS" נועדה לטפל בו: לסייע לצוותי מוצרי אבטחה לחזק את מודיעין הפגיעות מבלי להסתמך רק על העשרת המידע של NVD.

כיצד OPSWAT שונה בנושא זה

OPSWAT את מודול הערכת הפגיעות של מסגרת OESIS במיוחד עבור מפתחי מוצרי אבטחה הזקוקים לנתוני פגיעות אמינים ושימושיים המוטמעים בכלים שלהם.

תוכנן סביב הפער

המודול מאגד מספר מקורות, במקום להסתמך על מקור אחד בלבד.

המערכת מנצלת מגוון מקורות מסחריים ופתוחים למידע על פגיעויות, כדי להבטיח כיסוי מדויק ועדכני של מאות ספקים ויישומים.

קטלוג הפגיעות של OESIS מכיל כיום למעלה מ-65,000 CVE ייחודיים ויותר מ-150,000 מקרים של פגיעות, והוא מתעדכן באופן רציף — מספר פעמים ביום — במקום להמתין למחזורי העיבוד של ה-NVD.

מדד חומרה ייחודי החורג ממסגרת ה-CVSS ומספק הקשר רחב יותר.

נתוני הפגיעות OPSWAT כוללים את " ציוןOPSWAT " (OPSWAT Severity Score) – דירוג קנייני החורג ממסגרת ה-CVSS הבסיסית, שכן הוא משלב אינדיקטורים נוספים, כגון מידת הפופולריות של ה-CVE, הסיכון לפריצה ומחזור החיים של ה-CVE.

בסביבה שבה חלק הולך וגדל של ציוני CVSS עשוי להיות מדווח על ידי ה-CNA עצמה, שכבת ניתוח עצמאית זו עשויה לסייע למוצרי אבטחה לספק למשתמשים שלהם אינדיקציה ברורה יותר לקביעת סדרי עדיפויות.

מערכת המודיעין על פגיעויות של OESIS תומכת בשתי דרכי אינטגרציה, ללא תהליך הטמעה מורכב:

  • עדכון קטלוג: השוו נתוני פגיעות של OESIS למאגר התוכנה הקיים שלכם בצד השרת — ללא צורך בסוכן בקצה הרשת. מוצרים קיימים הכוללים יכולות ניהול מאגר תוכנה יכולים להשתמש בנתוני OESIS כדי לאתר פגיעות בכל הנכסים המנוהלים.
  • ערכתSoftware (Endpoint )Endpoint : שלבו את מסגרת OESIS ישירות במוצר שלכם לצורך vulnerability detection בזמן אמת, ישירות במכשיר. מתאים במיוחד למוצרי אבטחה הפועלים בנקודות קצה

מחקר פנימי בנושא פגיעות

צוות המחקר הפנימי OPSWAT לענייני איומים, Unit 515, עוסק במחקר מתמשך בתחום האבטחה ההתקפית, בסימולציות תוקפניות, בבדיקות מתקדמות ובחשיפה אחראית בתחום התשתיות הקריטיות ותוכנות ארגוניות. הצוות זיהה ודיווח על יותר מ-50 פגיעויות "יום אפס", כולל ממצאים קריטיים בתוכנות נפוצות כגון פלטפורמות ICS/OT כמו בקרי Delta PLC ופלטפורמות מבוססות בינה מלאכותית.

התוצאה הסופית עבור מפתחי מוצרי אבטחה היא שהכלים שלהם יוכלו להמשיך לספק כיסוי נרחב יותר של פגיעויות, גם כאשר היקף ההעשרה של ה-NVD מצטמצם — מבלי לדרוש מהלקוחות להתפשר על רמת הנראות או להסתפק בפתרונות עוקפים ידניים.

איתור + תיקון: המעגל המלא

זיהוי הפגיעות מאפשר לאתר את נקודות התורפה. התיקון פותר את הבעיה. יחד, הם מסייעים לסגור את מעגל הסיכונים ככל האפשר. כלי הערכת הפגיעות של OESIS מטפל בזיהוי ובקביעת סדר העדיפויות. Patch Management של OESIS מיועד לצוותים המעוניינים בשתי היכולות תחת מסגרת אחת:

  • איתור: יישומים פגיעים, בהתאמה לגרסה, OPSWAT ומסומנים על ידי KEV
  • קביעת סדרי עדיפויות: OPSWAT מסייע בזיהוי מה יש לתקן קודם, בהתבסס על סימני ניצול מהעולם האמיתי
  • תיקון: הצינור הקיים שלכם יכול לפעול על פלט ה-OESIS — או ש-OESIS Patch Management לבצע תיקונים, לאכוף גרסאות או לחסום גישה באופן ישיר
  • אימות: OESIS מבצע סריקה חוזרת לאחר התיקון כדי לוודא שהנקודה הקצה נקייה לפני שחזור הגישה

זיהוי ללא תיקון הוא דוח. זיהוי עם תיקון הוא סיכון שטופל. OESIS שואפת לספק למוצר שלכם את שני המרכיבים הללו, ולסייע בסגירת מעגלי הזיהוי והתיקון במהירות רבה יותר, כדי להתמודד טוב יותר עם איומים המתפתחים בקצב של בינה מלאכותית.

פגיעויות ב-AI-Speed מצריכות איתור ב-AI-Speed

חברות אבטחה אינן יכולות להרשות לעצמן להתייחס למידע על פגיעויות כאל תלות אחורית המתנהלת בקצב איטי. ככל שנפח ה-CVE גדל והעשרת המידע הופכת פחות עקבית, צוותי המוצר זקוקים לדרך לשמור על תיאום בין תהליכי הזיהוי, קביעת סדר העדיפויות והתיקון לבין החשיפה בפועל.

זה המקום שבו נכנסת לתמונה הערכת הפגיעות של OESIS Framework. היא מספקת למפתחי מוצרים דרך מעשית לחזק את כיסוי הפגיעות מבלי לבנות מחדש את מערך נקודות הקצה או מערך התיקונים שלהם מאפס. עבור צוותים המשיקים מוצר חדש, היא יכולה לסייע בהקמת כיסוי אמין בשלב מוקדם יותר. עבור צוותים המשפרים מוצר קיים, היא מציעה דרך קלה יותר להשוות בין כיסויים, לאמת שיפורים ולהחליט כיצד צריכה להיראות אינטגרציה מעמיקה יותר.

גלו את מסגרת OESIS

דבר עם מומחה
תגיות:

פוסטים אחרונים

הירשמו ל- OPSWAT ניוזלטר

קבלו את העדכונים האחרונים OPSWAT עדכוני חברה יחד עם מידע על אירועים וחדשות שמניעות את התעשייה קדימה.
הירשם

עקבו אחרינו ברשתות החברתיות Media

לַעֲקוֹב OPSWAT בלינקדאין, בפייסבוק, בטוויטר וביוטיוב שלכם לעוד!

הישאר מעודכן עם OPSWAT !

הירשמו עוד היום כדי לקבל את העדכונים האחרונים של החברה, סיפורים, מידע על אירועים ועוד.
הירשם