เมนู

CVSS 4.0 พร้อมใช้อย่างเป็นทางการแล้ว

9 พฤศจิกายน 2566 | ภาณุพงศ์ ศรีวงษ์รักษ์

1 พฤศจิกายน 2566 – FIRST.org ประกาศเปิดให้บริการ CVSS V4.0

Common Vulnerability Scoring System (CVSS) เป็นวิธีที่แพร่หลายและเป็นมาตรฐานในการประเมินความรุนแรงของช่องโหว่ด้านความปลอดภัยของระบบดิจิทัล พัฒนาโดย Forum of Incident Response and Security Teams (FIRST) ช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยมีแนวทางที่สอดคล้องกันในการประเมินและจัดลำดับความสำคัญของความเสี่ยง.

เวอร์ชั่นปัจจุบัน CVSS v3.1 เปิดใช้งานมากว่า 4 ปี แต่ถูกวิพากษ์วิจารณ์ถึงความซับซ้อนและไม่ยืดหยุ่น เพื่อตอบสนองต่อผลเสียดังกล่าว. ต่อมา FIRST ได้เปิดตัว CVSS เวอร์ชัน 4.0 ซึ่งเป็นการแก้ไขที่สำคัญที่ให้การให้คะแนนที่เรียบง่าย ยืดหยุ่นมากขึ้น และแม่นยำยิ่งขึ้น โดยเวอร์ชัน 4.0 นี้มีจุดมุ่งหมายเพื่อลดข้อจำกัดก่อนหน้านี้ โดยนำเสนอความเสี่ยงที่สมจริงยิ่งขึ้น และช่วยเหลือองค์กรในการจัดลำดับความสำคัญของช่องโหว่และจัดสรรทรัพยากรการแก้ไขได้อย่างมีประสิทธิภาพมากขึ้น

 

เนื้อหาในนี้จะครอบคลุม CVSS v4.0 โดยละเอียด โดยอธิบายคุณสมบัติหลัก การปรับปรุง และการเปรียบเทียบกับ CVSS v3.1 นอกจากนี้ยังจะอธิบายเกี่ยวกับคุณประโยชน์และกระบวนการในการนำมาตรฐานใหม่นี้ไปใช้ CVSS เวอร์ชัน 4.0 คาดว่าจะส่งผลต่อวิธีที่ผู้ปฏิบัติงานด้านความปลอดภัยประเมินและจัดลำดับความสำคัญของช่องโหว่อย่างมีนัยสำคัญ

CVSS มีวิธีคิดคะแนนอย่างไร

ระบบการให้คะแนน CVSS ประกอบด้วยกลุ่ม Metrics ดังนี้

  1. Base Metrics
    ตรวจจับลักษณะของช่องโหว่พื้นฐาน โดยอ้างอิงจากสภาพแวดล้อมของผู้ใช้ทั่วไป ประกอบด้วยตัวชี้วัด ดังนี้
    1. Attack Vector
      ตัวบ่งชี้ระดับการเข้าถึงที่จำเป็นสำหรับผู้โจมตีเพื่อใช้ประโยชน์จากช่องโหว่. ช่องโหว่ที่ต้องมีการเข้าถึงทางกายภาพไปยังระบบเป้าหมายนั้น มีความยากกว่าช่องโหว่ที่สามารถถูกโจมตีจากระยะไกลผ่านทางอินเทอร์เน็ตได้
    2. Attack Complexity | มีเงื่อนไขที่อยู่นอกเหนือการควบคุมของผู้โจมตีเพื่อให้การโจมตีสำเร็จ
      • Low = ไม่มีเงื่อนไขสำหรับการโจมตี
      • High = มีเงื่อนไขที่นอกเหนือจากการควบคุมของผู้โจมตี แต่เอื้อให้การโจมตีประสบความสำเร็จมากขึ้น
    3. Privileges Required | ระดับสิทธิ์หรือการเข้าถึงที่ผู้โจมตีต้องมีก่อนที่จะโจมตีได้สำเร็จ
      • None (N) = ไม่มีสิทธิพิเศษหรือการเข้าถึงพิเศษที่ใช้ในการโจมตี
      • Low (L) = ผู้โจมตีต้องการสิทธิ์ขั้นพื้นฐานระดับ “User” เพื่อใช้ประโยชน์จากช่องโหว่
      • High (H) = จำเป็นต้องมีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบหรือที่คล้ายกันเพื่อให้การโจมตีสำเร็จ
    4. User Interaction | User จำเป็นต้องทำอะไรหรือมีส่วนร่วมในการใช้ประโยชน์จากช่องโหว่หรือไม่
      • None (N) = ไม่จำเป็นต้องใช้ User โต้ตอบ
      • Required (R) = User ต้องดำเนินการจนเสร็จเพื่อให้การโจมตีสำเร็จ เช่น User ต้องติดตั้งโปรแกรมให้เสร็จ เป็นต้น
    5. Scope | การพิจารณาว่าช่องโหว่ในระบบหรือส่วนประกอบหนึ่งสามารถส่งผลกระทบต่อระบบหรือส่วนประกอบอื่นได้หรือไม่
      • Changed (C) = ช่องโหว่ที่ถูกโจมตีสามารถส่งผลกระทบไปยังระบบอื่นได้
      • Unchanged (U) = ช่องโหว่ที่ถูกโจมตีนั้นจำกัดความเสียหายอยู่ที่แค่ระบบนั้นๆ ไม่กระจายไปยังระบบอื่นๆ
    6. Confidentiality Impact | การเปิดเผยข้อมูลที่ละเอียดอ่อนของผู้ใช้ทั้งที่ได้รับอนุญาตและไม่ได้รับอนุญาต
      • High (H) = ผู้โจมตีมีสามารถเข้าถึงได้เต็มที่
      • Low (L) = ผู้โจมตีสามารถเข้าถึงข้อมูลได้บางส่วน โดยไม่สามารถควบคุมสิ่งที่พวกเขาสามารถเข้าถึงได้โดยเฉพาะ.
        None (N) = ไม่มีข้อมูลใดที่สามารถเข้าถึงได้โดยผู้ใช้ที่ไม่ได้รับอนุญาต.
    7. Integrity Impact | ข้อมูลที่ได้รับการคุ้มครองถูกดัดแปลงหรือเปลี่ยนแปลงในทางใดทางหนึ่งหรือไม่
      • None (N) = ข้อมูลไม่มีการเปลี่ยนแปลงใดๆ.
      • Low (L) = ข้อมูลอาจถูกดัดแปลงหรือแก้ไข แต่ไม่มีผลกระทบร้ายแรงต่อระบบที่ได้รับการป้องกัน.
      • High (H) = ผู้โจมตีสามารถแก้ไขข้อมูลใดๆหรือทั้งหมดบนระบบเป้าหมาย ส่งผลให้สูญเสียความสมบูรณ์โดยสิ้นเชิง.
    8. Availability Impact | ข้อมูลจะต้องสามารถเข้าถึงได้ตามความจำเป็น หากการโจมตีทำให้ข้อมูลไม่พร้อมใช้งาน เช่น เมื่อระบบล่มหรือผ่านการโจมตี DDOS ความพร้อมใช้งานจะได้รับผลกระทบในทางลบ
      • None (N) = สามารถใช้งานข้อมูลได้ตลอดเวลา
      • Low (L) = ความพร้อมใช้งานมีเป็นระยะๆ
      • High (H) = มีการสูญเสียความพร้อมใช้งานของระบบหรือข้อมูลที่ได้รับผลกระทบโดยสิ้นเชิง
  2. Temporal Metrics
    สะท้อนถึงลักษณะของช่องโหว่ที่อาจเปลี่ยนแปลงได้ตลอดเวลา แต่ไม่เปลี่ยนแปลงในสภาพแวดล้อมของผู้ใช้ ซึ่งรวมถึงความสามารถในการแสวงหาผลประโยชน์ ระดับการแก้ไข และความเชื่อมั่นของรายงาน
  3. Environment Metric
    แสดงถึงลักษณะของช่องโหว่ที่เกี่ยวข้องและไม่ซ้ำกับสภาพแวดล้อมของผู้ใช้โดยเฉพาะ ซึ่งรวมถึงศักยภาพในความเสียหายของหลักประกัน การกระจายเป้าหมาย ข้อกำหนดด้านการรักษาความลับ ข้อกำหนดด้านความสมบูรณ์ และข้อกำหนดด้านความพร้อมใช้งาน

ระดับคะแนนของ CVSS

  • Low (0-3.9)
  • Medium (4-6.9)
  • High (7-8.9)
  • Critical (9-10)

CVSS V4.0 มีการปรับปรุงอะไรบ้าง

  1. ความเรียบง่ายและความชัดเจนที่เพิ่มขึ้น
    เป้าหมายของ CVSS เวอร์ชัน 4.0 คือการลดความซับซ้อนของกระบวนการให้คะแนนและขจัดความคลุมเครือโดยการให้คำแนะนำและคำจำกัดความที่ชัดเจนยิ่งขึ้นสำหรับหน่วยวัด เวอร์ชันนี้ปรับแต่งแนวคิดเรื่อง “ความซับซ้อนของการโจมตี” และ “ข้อกำหนดในการโจมตี” อย่างละเอียด ทำให้กระบวนการให้คะแนนมีความชัดเจนมากขึ้น การเปลี่ยนแปลงเหล่านี้ช่วยในการประเมินช่องโหว่ที่แม่นยำยิ่งขึ้น และรับประกันความเท่าเทียมกันในองค์กรต่างๆ
  2. ความสามารถในการปรับตัวและความยืดหยุ่นที่เพิ่มขึ้น
    CVSS เวอร์ชัน 4.0 นำเสนอ Metric ใหม่ๆ ที่หลากหลาย ช่วยให้องค์กรต่างๆ ปรับแต่งระบบการให้คะแนนตามความต้องการและสถานการณ์เฉพาะของตนได้ เวอร์ชันนี้มีตัวชี้วัดที่เกี่ยวข้องกับเทคโนโลยีการปฏิบัติงานและความปลอดภัย และสร้างความแตกต่างระหว่างการโต้ตอบของผู้ใช้เชิงรุกและเชิงโต้ตอบ ช่วยให้ประเมินช่องโหว่ได้ละเอียดยิ่งขึ้นในสถานการณ์ต่างๆ ความสามารถในการปรับตัวนี้นำไปสู่การแสดงความเสี่ยงที่แม่นยำยิ่งขึ้นสำหรับองค์กรเฉพาะ
  3. ปรับปรุงการบรรยายถึงความเสี่ยงในโลกแห่งความเป็นจริง
    CVSS v4.0 แสดงถึงความเสี่ยงที่แท้จริงของช่องโหว่ได้ดีขึ้น โดยจะพิจารณาปัจจัยเพิ่มเติม เช่น ความน่าจะเป็นของการโจมตี และผลที่ตามมาที่อาจเกิดขึ้นจากการโจมตีที่ประสบความสำเร็จ เวอร์ชันนี้เน้นการรวมข้อมูลภัยคุกคามและตัวชี้วัดด้านสิ่งแวดล้อมในการให้คะแนน ส่งผลให้การประเมินความเสี่ยงที่สมจริงยิ่งขึ้น การแนะนำแนวคิดใหม่ๆ เช่น “อัตโนมัติ” “การกู้คืน” และ “ความพยายามในการบรรเทาผลกระทบ” ช่วยเพิ่มความแตกต่างเล็กๆ น้อยๆ ให้กับความเข้าใจเกี่ยวกับช่องโหว่แต่ละจุด

เมื่อพิจารณาเปรียบเทียบ Metrics ระหว่าง CVSS V3.1 กับ CVSS V4.0

MITRE ATT&CK

ด้วยการรวมคะแนน CVSS เข้ากับเฟรมเวิร์ก ATT&CK ผู้ปฏิบัติงานด้านความปลอดภัยสามารถเข้าใจช่องโหว่และเส้นทางการโจมตีที่อาจเกิดขึ้นซึ่งสามารถใช้เพื่อหาประโยชน์จากช่องโหว่เหล่านั้นได้ การบูรณาการนี้สามารถช่วยระบุช่องโหว่ที่มีแนวโน้มว่าจะถูกนำไปใช้ประโยชน์มากที่สุดโดยพิจารณาจากพฤติกรรมที่สังเกตได้ของผู้โจมตี และจัดลำดับความสำคัญของความพยายามในการแก้ไขตามลำดับ นอกจากนี้ ยังใช้ในการแจ้งมาตรการรักษาความปลอดภัยเชิงรุก เช่น การตามล่าหาภัยคุกคามและการวางแผนตอบสนองต่อเหตุการณ์ ซึ่งช่วยเพิ่มมาตรการรักษาความปลอดภัยทางไซเบอร์โดยรวมขององค์กร

บทสรุป

CVSS 4 เป็นการพัฒนามาจาก CVSS v3.1 จึงอาจมีการเปลี่ยนแปลงเพิ่มเติม ดังที่เราเห็นใน CVSS 2- > 3 ระยะเวลาในการดำเนินการค่อนข้างนาน ส่งผลกระทบต่อความปลอดภัยของแอปพลิเคชันที่ห่างกันมากและคลุมเครือ เนื่องจาก CVSS ดูเหมือนจะมุ่งเน้นไปที่โครงสร้างพื้นฐานและช่องโหว่ประเภท OT เป็นส่วนใหญ่ สถานที่ตั้ง บริบททางธุรกิจยังคงขาดหายไปหรือได้รับผลกระทบจากคะแนนของ CIA อย่างคลุมเครือ มีการปรับปรุงความยืดหยุ่นและการปรับเปลี่ยนคะแนนค่อนข้างมาก

ข้อมูลอ้างอิง