لماذا تُعدّ المقاييس جوهرية لضمانات التدقيق
الضوابط إما تعمل أو لا تعمل — لكن تحديد ذلك يستلزم أكثر من فحص في لحظة بعينها. توفر المقاييس الأدلة الزمنية التي يحتاجها المدققون لتقييم ما إذا كانت ضوابط الأمن تعمل بفاعلية بمرور الوقت، لا في يوم التدقيق وحسب.
المؤسسة التي تستطيع تقديم مقاييس أمن تطبيقات متسقة ومولَّدة آلياً تُثبت نضجاً تشغيلياً. أما المؤسسة التي تعجز عن تقديم مقاييس — أو تقدم أرقاماً مجمَّعة يدوياً فحسب — فتكشف عن فجوة جوهرية في بيئة ضوابطها.
بالنسبة لمسؤولي الامتثال، تؤدي المقاييس غرضاً مزدوجاً: تستوفي متطلبات التقارير التنظيمية (DORA وNIS2 والتكاليف القطاعية الخاصة تطلب بصورة متزايدة تقارير أمنية كمية) وتوفر إنذاراً مبكراً حين تتراجع الضوابط. ارتفاع متوسط وقت المعالجة أو انخفاض نسبة تغطية الاختبار يُنبئان بمشكلات قبل أن تتحول إلى نتائج تدقيق.
يُحدِّد هذا الدليل المقاييس الجوهرية ويشرح كيف يمكن للمدققين تقييم موثوقيتها ويُحدِّد أكثر الطرق شيوعاً لتزوير المقاييس.
فئات مقاييس أمن التطبيقات
تنتمي مقاييس أمن التطبيقات إلى أربع فئات، كل منها تخدم غرضاً مختلفاً من أغراض الضمان:
- مقاييس التغطية: تقيس اتساع برنامج الأمن — ما نسبة محفظة التطبيقات التي تخضع للاختبار والمراقبة
- مقاييس الكفاءة: تقيس مدى جودة استجابة المؤسسة للنتائج — مدى سرعة معالجة الثغرات وفاعلية استخدام الموارد
- مقاييس المخاطر: تقيس التعرض الراهن للمخاطر — عدد الثغرات المفتوحة وعمرها وعدد المقبولة منها
- مقاييس الامتثال: تقيس الالتزام بالسياسات الداخلية والمتطلبات التنظيمية الخارجية — ما إذا كانت البوابات مفروضة وSLAs مستوفاة والأدلة مكتملة
مرجع المقاييس الرئيسية
يوفر الجدول التالي مرجعاً شاملاً لأهم مقاييس أمن التطبيقات. لكل مقياس، يجب على المدققين فهم ما يقيسه والهدف المعقول منه ومصدر البيانات وكيفية التلاعب به.
| اسم المقياس | ما يقيسه | الهدف / الحد | مصدر البيانات | خطر التلاعب |
|---|---|---|---|---|
| معدل تغطية SAST | نسبة التطبيقات الخاضعة لفحص SAST نشط | 100% للمستويات 1-3؛ قائم على المخاطر للمستوى 4 | منصة SAST، سجلات CI/CD pipeline | استثناء التطبيقات من النطاق لرفع النسبة المئوية |
| معدل تغطية DAST | نسبة التطبيقات الخاضعة لفحص DAST بالتكرار المطلوب | 100% للمستويين 1-2؛ 100% سنوياً للمستوى 3 | منصة DAST، سجلات جدول الفحص | تشغيل الفحوصات بنطاق محدود أو مسارات مصادقة مقيَّدة |
| معدل تغطية SCA | نسبة التطبيقات الخاضعة لفحص التبعيات النشط | 100% للمستويات 1-3 | منصة SCA، سجلات pipeline البناء | استثناء مستودعات أو إعدادات بناء |
| تغطية النمذجة التهديدية | نسبة تطبيقات المستويين 1-2 التي لديها نماذج تهديد حالية | 100% للمستوى 1؛ 100% للمستوى 2 | أداة النمذجة التهديدية أو مستودع الوثائق | إنشاء نماذج سطحية لا تعكس البنية الفعلية |
| متوسط وقت المعالجة (حرج) | متوسط الأيام من تحديد الثغرة إلى الإصلاح المتحقق منه للثغرات الحرجة | ≤15 يوماً | منصة إدارة الثغرات | تخفيض درجة الخطورة لتجنب SLA؛ الإغلاق دون تحقق |
| متوسط وقت المعالجة (مرتفع) | متوسط الأيام من التحديد إلى الإصلاح المتحقق منه للثغرات عالية الخطورة | ≤30 يوماً | منصة إدارة الثغرات | نفس ما سبق |
| معدل إعادة فتح الثغرات | نسبة الثغرات المُغلَقة ثم تعود للظهور | <5% | منصة إدارة الثغرات | إعادة تعريف معايير إعادة الفتح؛ إنشاء تذاكر جديدة بدلاً من إعادة الفتح |
| معدل الإيجابيات الكاذبة | نسبة النتائج الموسومة كإيجابية كاذبة بعد التصنيف | <20% (يتفاوت حسب الأداة) | أدوات الاختبار الأمني وسجلات التصنيف | تصنيف الإيجابيات الحقيقية كاذبة لتقليل عبء العمل |
| الثغرات الحرجة/المرتفعة المفتوحة | عدد الثغرات الحرجة وعالية الخطورة غير المعالجة | في منحنى تنازلي؛ صفر حرج في تطبيقات المستوى 1 | منصة إدارة الثغرات | تخفيض الخطورة؛ الانتقال إلى قبول المخاطر دون موافقة مناسبة |
| عمر الثغرة (P90) | النسبة المئوية التسعينية لعمر الثغرات المفتوحة | ضمن SLA لكل مستوى خطورة | منصة إدارة الثغرات | إعادة تعيين تاريخ الاكتشاف؛ الإغلاق وإعادة الفتح |
| عدد الاستثناءات/الإخفاءات | عدد استثناءات الثغرات أو إخفاءاتها النشطة | مستقر أو في تنازل؛ كل منها بموافقة موثَّقة | سجل الاستثناءات، منصة الثغرات | الإخفاء غير الرسمي خارج الأنظمة المتتبَّعة |
| متراكمات قبول المخاطر | عدد المخاطر المقبولة رسمياً بتواريخ مراجعة مفتوحة | الجميع ضمن فترة المراجعة؛ لا شيء متأخر | سجل المخاطر | تعيين تواريخ مراجعة بعيدة لتجنب إعادة التقييم |
| معدل اجتياز بوابات السياسة | نسبة الإصدارات التي تجتاز جميع بوابات سياسة الأمن من المحاولة الأولى | >80% (في تحسن مستمر) | CI/CD pipeline، سجلات محرك السياسة | تخفيف معايير البوابة لرفع معدل الاجتياز |
| معدل تجاوز الموافقة | نسبة الإصدارات التي تجاوزت موافقات الأمن المطلوبة | <2%؛ الجميع بموافقة موثَّقة | نظام إدارة التغييرات، سجلات الـ pipeline | الاستخدام الروتيني للإجراءات الطارئة |
| معدل الامتثال لـ SLA | نسبة الثغرات المعالجة ضمن الإطار الزمني المحدد في SLA | >90% | منصة إدارة الثغرات | تعديل تعريفات SLA؛ إيقاف مؤقتات SLA |
| درجة اكتمال الأدلة | نسبة أدوات الإثبات المطلوبة المتاحة والحالية | >95% | مستودع الأدلة، منصة GRC | توليد الأدلة بأثر رجعي قبيل التدقيق |
مقاييس التغطية بالتفصيل
تُجيب مقاييس التغطية على السؤال: هل تختبر المؤسسة ما ينبغي لها اختباره؟
المقياس الأساسي للتغطية هو نسبة التطبيقات الخاضعة لاختبارات أمنية نشطة قياساً بإجمالي جرد التطبيقات. يجب تقسيم هذه النسبة حسب مستوى التطبيق، لأن معدل تغطية إجمالياً بنسبة 90% قد يُخفي حقيقة أن عدة تطبيقات حرجة من المستوى 1 غير خاضعة للاختبار.
يجب على المدققين طلب بيانات التغطية مُقسَّمة كما يلي:
- تغطية SAST حسب مستوى التطبيق
- تغطية DAST حسب مستوى التطبيق مع التحقق من التكرار
- تغطية SCA حسب مستوى التطبيق
- نسبة التطبيقات الحرجة التي لديها نماذج تهديد حالية
- تغطية الاختبار الأمني حسب مستوى التطبيق مقارنةً بالتكرار المطلوب في إطار التصنيف
مقياس التغطية لا معنى له إلا إذا كان المقام دقيقاً. إن كان جرد التطبيقات ناقصاً، فالنسب المئوية مُضلِّلة. يجب على المدققين مقارنة جرد التطبيقات المستخدَم في حسابات التغطية بمصادر أخرى (CMDB، منصات النشر، جرد حسابات السحابة) للتحقق من الاكتمال.
مقاييس الكفاءة بالتفصيل
تُجيب مقاييس الكفاءة على السؤال: حين تعثر المؤسسة على ثغرات، هل تعالجها بفاعلية؟
متوسط وقت المعالجة (MTTR) هو أهم مقياس كفاءة. يجب تتبعه حسب مستوى الخطورة ومستوى التطبيق، لأن متوسط MTTR مقداره 30 يوماً مقبول للثغرات عالية الخطورة لكنه غير مقبول للثغرات الحرجة في تطبيقات المستوى 1.
يجب قياس MTTR من تاريخ التحديد (حين رصدت أداة الفحص أو المختبِر النتيجة لأول مرة) إلى تاريخ المعالجة المتحقَّق منها (حين يؤكد إعادة الفحص أو الاختبار فاعلية الإصلاح). المؤسسات التي تقيس حتى تاريخ إغلاق المطور للتذكرة — دون تحقق — تُبلِّغ عن مقياس غير مكتمل.
معدل إعادة فتح الثغرات يُشير إلى جودة الإصلاح. المعدل الذي يتجاوز 5% يُشير إلى أن المعالجات سطحية أو أن الأسباب الجذرية لا تُعالَج.
معدل الإيجابيات الكاذبة يُشير إلى فاعلية الأداة وجودة التصنيف. معدل مرتفع بشكل غير عادي قد يُشير إلى رفض النتائج كإيجابيات كاذبة بدلاً من التحقيق فيها — يجب على المدققين أخذ عينات من تصنيفات الإيجابيات الكاذبة للتحقق من مشروعيتها.
وقت دورة الفحص حتى الإصلاح يقيس الوقت المنقضي من اكتمال الفحص إلى حل جميع نتائجه. يرصد هذا التأخيرات في التصنيف والإسناد التي قد لا يكشفها MTTR وحده.
مقاييس المخاطر بالتفصيل
تُجيب مقاييس المخاطر على السؤال: ما هو التعرض الراهن للثغرات، وهل يُدار بفاعلية؟
عدد الثغرات الحرجة وعالية الخطورة المفتوحة هو مقياس مخاطر أساسي. يجب تتبعه كاتجاه زمني — العدد المستقر أو المتناقص يُشير إلى برنامج فعّال؛ العدد المتصاعد يُشير إلى توليد نتائج أسرع من معالجتها.
تقادم الثغرات يقيس مدى بقاء الثغرات مفتوحة. النسبة المئوية التسعينية للعمر أكثر إفادة من المتوسط لأن المتوسطات يمكن أن تتشوه بسبب عدد كبير من النتائج المنخفضة الخطورة المعالجة بسرعة. إن تجاوز عمر P90 المدة المحددة في SLA، فالمؤسسة لا تفي بالتزاماتها الخاصة بالمعالجة لجزء كبير من النتائج.
أعداد الاستثناءات والإخفاءات تكشف كيف تتعامل المؤسسة مع النتائج التي تختار عدم معالجتها. كل استثناء يجب أن يحظى بموافقة موثَّقة وضابط تعويضي وتاريخ مراجعة. العدد المتصاعد للاستثناءات دون مبررات مقابلة يُشير إلى استخدام عملية الاستثناء لتجنب المعالجة بدلاً من إدارة المخاطر الحقيقية.
متراكمات قبول المخاطر تتتبع المخاطر المقبولة رسمياً. يجب على المدققين التحقق من أن كل مخاطرة مقبولة لها مالك وتبرير موثَّق وضابط تعويضي وتاريخ مراجعة — وأن المراجعات المتأخرة تُصعَّد.
مقاييس الامتثال بالتفصيل
تُجيب مقاييس الامتثال على السؤال: هل تتبع المؤسسة سياساتها الخاصة وتستوفي المتطلبات التنظيمية؟
معدل اجتياز بوابات السياسة يقيس مدى تكرار اجتياز الإصدارات لبوابات الأمن من المحاولة الأولى. معدل اجتياز منخفض جداً قد يُشير إلى عدم وضوح متطلبات الأمن أو عدم حصول فرق التطوير على تغذية راجعة كافية في وقت مبكر. معدل اجتياز مريب في ارتفاعه (يقترب من 100%) قد يُشير إلى تساهل زائد في البوابات.
معدل تجاوز الموافقة هو مقياس ضبط حرج. في البيئات الخاضعة للتنظيم، يجب توثيق كل تجاوز بموافقة استثناء. معدل تجاوز يتجاوز 2% — أو أي تجاوزات دون موافقة موثَّقة — هو نتيجة تدقيق بالغة الأهمية.
معدل الامتثال لـ SLA يقيس ما إذا كانت الثغرات تُعالَج ضمن الأطر الزمنية المحددة في سياسة إدارة الثغرات. يجب تتبعه حسب الخطورة والمستوى. المؤسسات التي تتجاوز باستمرار SLAs للثغرات الحرجة في تطبيقات المستوى 1 لديها ضعف جوهري في الضوابط.
درجة اكتمال الأدلة تقيس استعداد المؤسسة للتدقيق من خلال تتبع النسبة المئوية لأدوات الإثبات المطلوبة المتاحة والحالية والمخزَّنة بشكل صحيح. هذا مقياس ميتا يُشير إلى نضج الحوكمة.
ما الذي يجعل المقياس جديراً بثقة المدقق
ليست جميع المقاييس موثوقة بالقدر ذاته. يجب على المدققين تقييم موثوقية المقاييس المُبلَّغ عنها وفق المعايير التالية:
- مولَّد آلياً: المقياس يُنتَج تلقائياً بواسطة أداة أمنية أو منصة، لا يُجمَّع يدوياً في جدول بيانات. التجميع اليدوي يُدخل كلاً من الخطأ ومخاطر التلاعب.
- مقاوم للتلاعب: مصدر البيانات لديه ضوابط وصول وسجلات تدقيق تمنع التعديل غير المصرح به. المقاييس من لوحة قراءة فقط متصلة بمصدر بيانات محكوم أكثر موثوقية من التقارير المُصدَّرة.
- منهجية متسقة: يُحسَب المقياس بالطريقة ذاتها في كل فترة تقرير. يجب توثيق أي تغييرات في المنهجية وتبريرها.
- البيانات التاريخية متاحة: 12 شهراً على الأقل من البيانات التاريخية متاحة لرصد الاتجاهات. نقطة بيانات واحدة هي قياس لا مقياس — الاتجاهات تكشف ما إذا كانت الضوابط تتحسن أو مستقرة أو تتراجع.
- مُقسَّم حسب مستوى المخاطر: المقاييس الإجمالية تُخفي تباينات مهمة. يجب توفر المقاييس حسب مستوى التطبيق أو وحدة الأعمال أو الخطورة لدعم تحليل ذي معنى.
- قابل للتتبع: يمكن إرجاع المقياس إلى البيانات الأساسية. إذا أُفيد بأن MTTR هو 12 يوماً، يجب أن يكون بمقدور المدققين الاطلاع على سجلات المعالجة الفردية التي تُنتج هذا المتوسط.
المقاييس القابلة للتلاعب — وكيف يمكن للمدققين اكتشافه
المقاييس مفيدة فقط إذا عكست الواقع. في ما يلي أكثر تقنيات التلاعب شيوعاً وإجراءات التدقيق للكشف عنها:
تخفيض درجة الخطورة
تُهبَّط الثغرات من حرجة إلى مرتفعة، أو من مرتفعة إلى متوسطة، لتفادي متطلبات SLA أو حدود التقارير التنفيذية.
الكشف: مقارنة توزيعات الخطورة عبر الزمن. انخفاض مفاجئ في النتائج الحرجة مع ارتفاع مقابل في النتائج المرتفعة أمر مثير للريبة. أخذ عينات من النتائج المُهبَّطة وتقييم ما إذا كان تغيير الخطورة مبرراً ومعتمداً.
الإغلاق الجماعي قبيل التدقيق
يُغلَق عدد كبير من الثغرات فوراً قبيل فترة التدقيق، إما عبر قبول مخاطر جماعي أو بوسم النتائج محلولة دون تحقق.
الكشف: رسم تواريخ إغلاق الثغرات على خط زمني. تكتل الإغلاقات قبيل فترات التدقيق مؤشر واضح. طلب أدلة إعادة الاختبار لعينة من النتائج المُغلَقة حديثاً.
استثناء التطبيقات من النطاق
تُزال التطبيقات من الجرد أو تُستثنى من الفحص لتحسين نسب التغطية وخفض إجمالي عدد الثغرات.
الكشف: مقارنة جرد التطبيقات المستخدَم في المقاييس بمصادر أخرى موثوقة (جرد حسابات السحابة وسجلات منصة النشر وعمليات مسح الشبكة). أي تناقضات تتطلب توضيحاً.
إعادة تعيين تواريخ الاكتشاف
تُغلَق الثغرات وتُعاد فتحها (أو تُنشأ تذاكر جديدة للنتيجة ذاتها) لإعادة تشغيل ساعة مقاييس التقادم.
الكشف: البحث عن نتائج بأوصاف متطابقة وتواريخ إنشاء مختلفة. التحقق مما إذا كانت منصة إدارة الثغرات تتتبع تاريخ الاكتشاف الأصلي بصورة منفصلة عن تاريخ إنشاء التذكرة.
تخفيف معايير البوابة
تُخفَّف عتبات بوابات السياسة (مثلاً تغيير عتبة الحجب من “لا مرتفع ولا حرج” إلى “لا حرج فحسب”) لتحسين معدلات الاجتياز دون تحسين الأمن الفعلي.
الكشف: طلب سجل التغييرات في إعدادات بوابات السياسة. يجب اعتماد أي تغييرات في العتبات عبر عملية الحوكمة وتوثيقها مع المبررات.
دورية التقارير الموصى بها
تتطلب أصحاب المصلحة المختلفون مستويات تفصيل متباينة بتكرارات متفاوتة. الدورية التالية تُوازن بين الاحتياجات التشغيلية ومتطلبات الحوكمة:
| مستوى التقرير | التكرار | الجمهور | المحتوى |
|---|---|---|---|
| تشغيلي | أسبوعي | فريق أمن التطبيقات، سفراء الأمن، قادة فرق التطوير | النتائج الجديدة وتقدم المعالجة والبنود المتأخرة وإخفاقات الفحص وبنود العمل الفورية |
| إداري | شهري | كبير مسؤولي أمن المعلومات، قائد أمن التطبيقات، مدراء التطوير، مسؤول الامتثال | تحليل الاتجاهات وMTTR حسب الخطورة/المستوى وتغييرات التغطية والامتثال لـ SLA وملخص الاستثناءات والمخاطر الناشئة |
| تنفيذي / تدقيق | ربع سنوي | مجلس الإدارة / لجنة المخاطر، المدققون الخارجيون، الجهات التنظيمية | ملخص وضع المخاطر وتقييم نضج البرنامج واتجاهات المقاييس الرئيسية (رؤية 12 شهراً) والنتائج الجوهرية وحالة الامتثال التنظيمي وكفاية الموارد |
بالنسبة للمؤسسات الخاضعة لـ DORA، التقارير الربع سنوية لجهاز الإدارة عن مخاطر ICT — بما يشمل أمن التطبيقات — توقع تنظيمي لا توصية بالممارسات الجيدة.
قراءة إضافية
للاطلاع على توجيهات ذات صلة بضوابط أمن التطبيقات وتقييم التدقيق، راجع:
ذو صلة للمدققين
- المسرد — تعريفات بلغة مبسطة للمصطلحات التقنية
- الإحاطة التنفيذية للتدقيق
- قائمة التحقق من الاستعداد للتدقيق
- الامتثال المستمر عبر CI/CD
هل أنت جديد على تدقيق CI/CD؟ ابدأ بـدليل المدقق.
