9 พฤศจิกายน 2566 | ภาณุพงศ์ ศรีวงษ์รักษ์
1 พฤศจิกายน 2566 – FIRST.org ประกาศเปิดให้บริการ CVSS V4.0
Common Vulnerability Scoring System (CVSS) เป็นวิธีที่แพร่หลายและเป็นมาตรฐานในการประเมินความรุนแรงของช่องโหว่ด้านความปลอดภัยของระบบดิจิทัล พัฒนาโดย Forum of Incident Response and Security Teams (FIRST) ช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยมีแนวทางที่สอดคล้องกันในการประเมินและจัดลำดับความสำคัญของความเสี่ยง.
เวอร์ชั่นปัจจุบัน CVSS v3.1 เปิดใช้งานมากว่า 4 ปี แต่ถูกวิพากษ์วิจารณ์ถึงความซับซ้อนและไม่ยืดหยุ่น เพื่อตอบสนองต่อผลเสียดังกล่าว. ต่อมา FIRST ได้เปิดตัว CVSS เวอร์ชัน 4.0 ซึ่งเป็นการแก้ไขที่สำคัญที่ให้การให้คะแนนที่เรียบง่าย ยืดหยุ่นมากขึ้น และแม่นยำยิ่งขึ้น โดยเวอร์ชัน 4.0 นี้มีจุดมุ่งหมายเพื่อลดข้อจำกัดก่อนหน้านี้ โดยนำเสนอความเสี่ยงที่สมจริงยิ่งขึ้น และช่วยเหลือองค์กรในการจัดลำดับความสำคัญของช่องโหว่และจัดสรรทรัพยากรการแก้ไขได้อย่างมีประสิทธิภาพมากขึ้น
เนื้อหาในนี้จะครอบคลุม CVSS v4.0 โดยละเอียด โดยอธิบายคุณสมบัติหลัก การปรับปรุง และการเปรียบเทียบกับ CVSS v3.1 นอกจากนี้ยังจะอธิบายเกี่ยวกับคุณประโยชน์และกระบวนการในการนำมาตรฐานใหม่นี้ไปใช้ CVSS เวอร์ชัน 4.0 คาดว่าจะส่งผลต่อวิธีที่ผู้ปฏิบัติงานด้านความปลอดภัยประเมินและจัดลำดับความสำคัญของช่องโหว่อย่างมีนัยสำคัญ
ระบบการให้คะแนน CVSS ประกอบด้วยกลุ่ม Metrics ดังนี้
เมื่อพิจารณาเปรียบเทียบ Metrics ระหว่าง CVSS V3.1 กับ CVSS V4.0
ด้วยการรวมคะแนน CVSS เข้ากับเฟรมเวิร์ก ATT&CK ผู้ปฏิบัติงานด้านความปลอดภัยสามารถเข้าใจช่องโหว่และเส้นทางการโจมตีที่อาจเกิดขึ้นซึ่งสามารถใช้เพื่อหาประโยชน์จากช่องโหว่เหล่านั้นได้ การบูรณาการนี้สามารถช่วยระบุช่องโหว่ที่มีแนวโน้มว่าจะถูกนำไปใช้ประโยชน์มากที่สุดโดยพิจารณาจากพฤติกรรมที่สังเกตได้ของผู้โจมตี และจัดลำดับความสำคัญของความพยายามในการแก้ไขตามลำดับ นอกจากนี้ ยังใช้ในการแจ้งมาตรการรักษาความปลอดภัยเชิงรุก เช่น การตามล่าหาภัยคุกคามและการวางแผนตอบสนองต่อเหตุการณ์ ซึ่งช่วยเพิ่มมาตรการรักษาความปลอดภัยทางไซเบอร์โดยรวมขององค์กร
CVSS 4 เป็นการพัฒนามาจาก CVSS v3.1 จึงอาจมีการเปลี่ยนแปลงเพิ่มเติม ดังที่เราเห็นใน CVSS 2- > 3 ระยะเวลาในการดำเนินการค่อนข้างนาน ส่งผลกระทบต่อความปลอดภัยของแอปพลิเคชันที่ห่างกันมากและคลุมเครือ เนื่องจาก CVSS ดูเหมือนจะมุ่งเน้นไปที่โครงสร้างพื้นฐานและช่องโหว่ประเภท OT เป็นส่วนใหญ่ สถานที่ตั้ง บริบททางธุรกิจยังคงขาดหายไปหรือได้รับผลกระทบจากคะแนนของ CIA อย่างคลุมเครือ มีการปรับปรุงความยืดหยุ่นและการปรับเปลี่ยนคะแนนค่อนข้างมาก
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา