CVE (Common Vulnerabilities and Exposures)

CVE (Common Vulnerabilities and Exposures)

CVE คือระบบการตั้งชื่อที่เป็นมาตรฐานสากลสำหรับการกำหนดหมายเลขระบุตัวตนที่ไม่ซ้ำกัน (CVE-ID) ให้กับช่องโหว่ของซอฟต์แวร์ที่ถูกเปิดเผย โดยทำหน้าที่เป็นภาษากลางเพื่อให้ผู้ที่เกี่ยวข้องด้านความปลอดภัยสามารถอ้างอิงถึงช่องโหว่เหล่านั้นได้อย่างถูกต้องแม่นยำ

กลไกการตั้งชื่อช่องโหว่

"ช่องโหว่นั้น" หรือ "ไอ้ตัวที่เป็นของ Apache" — การสื่อสารที่คลุมเครือเช่นนี้ไม่สามารถใช้ในการรับมือด้านความปลอดภัยได้ CVE เป็นกลไกสากลที่ช่วยให้เหล่านักพัฒนา ผู้จำหน่ายซอฟต์แวร์ด้านความปลอดภัย ทีมปฏิบัติการ และหน่วยงานกำกับดูแล สามารถหารือเกี่ยวกับช่องโหว่เดียวกันได้อย่างถูกต้องแม่นยำ โดยการกำหนดหมายเลขระบุตัวตนที่ไม่ซ้ำกันให้กับช่องโหว่ที่เปิดเผยต่อสาธารณะ เช่น CVE-2024-12345

การดำเนินงานอยู่ภายใต้การดูแลของ MITRE ซึ่งเป็นองค์กรไม่แสวงหาผลกำไรในสหรัฐอเมริกา โดยมีผู้จำหน่ายและสถาบันวิจัยต่างๆ ทำหน้าที่เป็น CNA (CVE Numbering Authority) ซึ่งมีอำนาจในการออกหมายเลข ID ณ ปี 2024 มีองค์กรที่เป็น CNA มากกว่า 400 แห่ง ส่งผลให้ระยะเวลาตั้งแต่การรายงานช่องโหว่ไปจนถึงการได้รับ ID มีแนวโน้มสั้นลง

วิธีอ่าน CVE-ID

รูปแบบของ ID คือ CVE-YYYY-NNNNN โดยที่ YYYY คือปีที่ออกหมายเลข และ NNNNN คือลำดับเลข สิ่งที่ควรทราบคือ ปีที่ออกหมายเลขไม่ใช่ปีที่ค้นพบหรือปีที่เปิดเผยช่องโหว่ แต่เป็นปีที่มีการจอง ID ไว้ เนื่องจากมีช่วงเวลาที่เหลื่อมกันระหว่างการจองและการเปิดเผย จึงไม่ใช่เรื่องแปลกที่ CVE ซึ่งถูกจองไว้ในปี 2023 จะถูกเปิดเผยรายละเอียดในปี 2024

ตัว CVE-ID เองไม่ได้ระบุข้อมูลเกี่ยวกับระดับความรุนแรง ข้อมูลที่บ่งบอกระดับความรุนแรงคือคะแนน CVSS (Common Vulnerability Scoring System) ซึ่ง NVD (National Vulnerability Database) จะเป็นผู้กำหนดและเผยแพร่คะแนน CVSS ให้กับ CVE นั้นๆ จุดเด่นของ CVE คือการระบุถึงอินสแตนซ์ของช่องโหว่แต่ละรายการ ซึ่งแตกต่างจากการจัดหมวดหมู่แบบ OWASP Top 10

ความสัมพันธ์กับ CyberGym และการสแกนด้วย AI

CyberGym คือเกณฑ์มาตรฐาน (Benchmark) ที่ใช้ CVE ที่รู้จักกันดีมาเป็นโจทย์เพื่อวัดความสามารถในการจำลองการโจมตีของโมเดล AI โดยมีฐานข้อมูล CVE เป็นรากฐานสำคัญในการประเมิน ในขณะที่ช่องโหว่ที่ Claude Mythos ค้นพบใน Project Glasswing นั้นเป็นช่องโหว่แบบ Zero-day ที่ยังไม่มีการกำหนด CVE-ID ซึ่งจะถูกลงทะเบียนเป็น CVE ก็ต่อเมื่อผ่านกระบวนการ Responsible Disclosure แล้วเท่านั้น

การใช้ SBOM ร่วมกับ CVE ถือเป็นแนวทางที่มีประสิทธิภาพอย่างยิ่งในทางปฏิบัติ หากเราทราบความสัมพันธ์ของส่วนประกอบทั้งหมดในผลิตภัณฑ์ของตนเองผ่าน SBOM และทำการตรวจสอบทุกครั้งที่มีการเปิดเผย CVE ใหม่ เราจะสามารถตอบคำถามที่ว่า "ผลิตภัณฑ์ของเราได้รับผลกระทบจากช่องโหว่นี้หรือไม่?" ได้ภายในเวลาเพียงไม่กี่นาที ซึ่งความเร็วที่แตกต่างกันนี้ถือเป็นปัจจัยชี้ขาดในการรับมือเบื้องต้นต่อการโจมตีห่วงโซ่อุปทาน (Supply Chain Attack)

คำศัพท์ที่เกี่ยวข้อง

AI ROI (ผลตอบแทนจากการลงทุนด้าน AI)
AI สำหรับธุรกิจ

AI ROI (ผลตอบแทนจากการลงทุนด้าน AI)

AI ROI คือ ตัวชี้วัดที่ใช้วัดผลลัพธ์เชิงปริมาณของการปรับปรุงประสิทธิภาพการทำงานและการเพิ่มรายได้ที่ไ

AI พยากรณ์ความต้องการ (Demand Forecasting AI)
AI สำหรับธุรกิจ

AI พยากรณ์ความต้องการ (Demand Forecasting AI)

AI คาดการณ์ความต้องการ (Demand Forecasting AI) คือระบบที่วิเคราะห์ข้อมูลการขายในอดีตและปัจจัยภายนอกด

AI ออบเซอร์แวนบิลิตี้ (AI Observability)
AI สำหรับธุรกิจ

AI ออบเซอร์แวนบิลิตี้ (AI Observability)

แนวปฏิบัติในการดำเนินงานเพื่อติดตามและแสดงผลข้อมูลการทำงานของระบบ AI ที่ใช้งานจริงอย่างต่อเนื่อง ทั้

BPO (การจ้างภายนอกเพื่อดำเนินกระบวนการทางธุรกิจ)
AI สำหรับธุรกิจ

BPO (การจ้างภายนอกเพื่อดำเนินกระบวนการทางธุรกิจ)

BPO คือรูปแบบการ outsourcing ที่องค์กรมอบหมายกระบวนการทางธุรกิจเฉพาะด้านให้กับผู้ให้บริการภายนอกที่ม