Common Vulnerabilities and Exposures (CVE) เป็นระบบมาตรฐานสำหรับการระบุและเผยแพร่ช่องโหว่ด้านความปลอดภัยทางไซเบอร์ วัตถุประสงค์หลักคือเพื่ออำนวยความสะดวกในการแบ่งปันและแจกจ่ายข้อมูลเกี่ยวกับช่องโหว่เพื่อเปิดใช้งานกลยุทธ์การป้องกันที่ดีขึ้นและส่งเสริมการทำงานร่วมกันภายในชุมชนความปลอดภัยทางไซเบอร์
ประวัติและความเป็นมาของ CVE
แนวคิดของ CVE เกิดขึ้นในช่วงปลายทศวรรษ 1990 ภายในชุมชนความปลอดภัยของคอมพิวเตอร์ โดยส่วนใหญ่เป็นความคิดริเริ่มของ MITER Corporation ระบบนี้เปิดตัวในเดือนกันยายน พ.ศ. 2542 โดยมีรายการ CVE รายการแรก ซึ่งเป็นฐานข้อมูลของตัวระบุที่เป็นมาตรฐานสำหรับช่องโหว่ด้านความปลอดภัยทางไซเบอร์ที่ทราบ
วัตถุประสงค์ดั้งเดิมของ CVE คือการจัดหาภาษากลางสำหรับการสนทนาและแบ่งปันข้อมูลเกี่ยวกับช่องโหว่ ก่อนการเปิดตัว CVE ผู้จำหน่ายและนักวิจัยหลายรายใช้ชื่อและคำอธิบายที่แตกต่างกันสำหรับช่องโหว่เดียวกัน ทำให้เกิดความสับสนและการสื่อสารที่ผิดพลาด
ทำความเข้าใจกับ CVE
รายการ CVE แต่ละรายการประกอบด้วยหมายเลขประจำตัว คำอธิบาย และข้อมูลอ้างอิงสาธารณะอย่างน้อยหนึ่งรายการ หมายเลขประจำตัวเป็นไปตามรูปแบบเฉพาะ: CVE-YYYY-NNNNNN โดยที่ “YYYY” คือปีที่มีการกำหนด CVE ID หรือมีการเปิดเผยช่องโหว่ต่อสาธารณะ และ “NNNNNN” เป็นหมายเลขเฉพาะสำหรับช่องโหว่นั้น
ระบบ CVE ไม่ได้ให้ข้อมูลใดๆ เกี่ยวกับความรุนแรงหรือความเสี่ยงที่เกี่ยวข้องกับช่องโหว่นั้นๆ อย่างไรก็ตาม ข้อมูลนี้เป็นพื้นฐานที่องค์กรอื่นๆ เช่น National Vulnerability Database (NVD) สามารถแนบข้อมูลเมตาเพิ่มเติมได้ เช่น คะแนนความเสี่ยงหรือดัชนีความสามารถในการแสวงหาผลประโยชน์
โครงสร้างภายในและการทำงานของ CVE
ระบบ CVE ทำงานโดยการกำหนดตัวระบุเฉพาะให้กับช่องโหว่ที่ทราบทุกรายการ ตัวระบุนี้ช่วยให้ผู้ปฏิบัติงานด้านความปลอดภัยอ้างถึงช่องโหว่เฉพาะได้โดยใช้ภาษากลาง ซึ่งช่วยในการบรรเทาผลกระทบ
รหัส CVE ได้รับการร้องขอและกำหนดโดย CVE Numbering Authorities (CNA) CNA คือองค์กรจากทั่วโลกที่ได้ร่วมมือกับโปรแกรม CVE เพื่อกำหนด CVE ID ให้กับช่องโหว่ที่ส่งผลกระทบต่อผลิตภัณฑ์ภายในขอบเขตที่ชัดเจนและตกลงกัน
รายการ CVE ซึ่งดูแลโดย MITRE จะได้รับการอัปเดตด้วยรายการใหม่เหล่านี้ ฐานข้อมูลช่องโหว่ เช่น NVD จะดึงข้อมูลจากรายการ CVE เพื่อสร้างรายการช่องโหว่ที่มีรายละเอียดมากขึ้น
คุณสมบัติที่สำคัญของ CVE
- ตัวระบุมาตรฐาน: CVE ID แต่ละรายการอ้างอิงถึงช่องโหว่ที่ไม่ซ้ำกัน ซึ่งหลีกเลี่ยงความสับสนเมื่อพูดคุยหรือแบ่งปันข้อมูลเกี่ยวกับช่องโหว่
- ฐานข้อมูลที่เข้าถึงได้แบบสาธารณะ: รายชื่อ CVE เปิดเผยต่อสาธารณะโดยเสรี ซึ่งส่งเสริมความโปร่งใสและการทำงานร่วมกัน
- การยอมรับอย่างกว้างขวาง: CVE ID ถูกใช้กันอย่างแพร่หลายโดยผู้จำหน่ายและนักวิจัยด้านความปลอดภัยทางไซเบอร์ทั่วโลก ทำให้เป็นมาตรฐานที่ได้รับการยอมรับทั่วโลก
- ภาษากลาง: การใช้ตัวระบุทั่วไปช่วยปรับปรุงการประสานงานและการทำงานร่วมกันด้านความปลอดภัยทางไซเบอร์โดยจัดให้มีวิธีมาตรฐานในการหารือเกี่ยวกับจุดอ่อนของแต่ละบุคคล
ประเภทของ CVE
ไม่มีการจำแนกประเภทของ CVE อย่างเป็นทางการ แต่ช่องโหว่สามารถจำแนกตามเกณฑ์ที่แตกต่างกัน เช่น พื้นที่ที่ช่องโหว่ดังกล่าวส่งผลกระทบ (เช่น หน่วยความจำ ระบบปฏิบัติการ แอปพลิเคชัน) วิธีการหาประโยชน์จากช่องโหว่เหล่านี้ (เช่น จากระยะไกล ในพื้นที่) ) และผลกระทบที่เกิดขึ้น (เช่น ข้อมูลรั่วไหล ระบบล่ม)
ตัวอย่างเช่น เมื่อพิจารณาว่าช่องโหว่สามารถนำมาใช้ประโยชน์ได้อย่างไร เราสามารถมี:
| การใช้ประโยชน์ของเวกเตอร์ | คำอธิบาย |
|---|---|
| ท้องถิ่น | ผู้โจมตีต้องการการเข้าถึงทางกายภาพหรือสิทธิ์ผู้ใช้ภายในเพื่อใช้ประโยชน์จากช่องโหว่ |
| ติดกัน | ผู้โจมตีจะต้องสามารถเข้าถึงเครือข่ายเดียวกันกับระบบเป้าหมายเพื่อใช้ประโยชน์จากช่องโหว่ |
| ระยะไกล | ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่จากอินเทอร์เน็ตได้ |
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ใช้ CVE เพื่อระบุช่องโหว่ ประเมินผลกระทบ และสร้างกลยุทธ์การบรรเทาผลกระทบ อย่างไรก็ตาม ระบบนี้ก็ใช่ว่าจะปราศจากความท้าทาย โดยเฉพาะอย่างยิ่งระบบ CVE อาจช้าในการกำหนดตัวระบุให้กับช่องโหว่ใหม่ ทำให้เกิดช่องว่างในการครอบคลุม นอกจากนี้ เนื่องจาก CVE ไม่ได้ให้ข้อมูลความรุนแรงหรือความเสี่ยง องค์กรจึงต้องอาศัยทรัพยากรอื่นสำหรับข้อมูลนี้
เพื่อแก้ไขปัญหาเหล่านี้ ชุมชนความปลอดภัยทางไซเบอร์ได้พัฒนาเครื่องมือและทรัพยากรเสริม ตัวอย่างเช่น ฐานข้อมูลช่องโหว่แห่งชาติให้คะแนนความรุนแรงและข้อมูลเมตาเพิ่มเติมสำหรับ CVE แต่ละรายการ ในขณะที่องค์กรเช่น CERT/CC และ Zero Day Initiative มักจะกำหนดตัวระบุชั่วคราวให้กับช่องโหว่ใหม่ก่อนที่จะกำหนด CVE ID
เปรียบเทียบกับข้อกำหนดที่คล้ายกัน
| ภาคเรียน | คำอธิบาย | เปรียบเทียบกับ CVE |
|---|---|---|
| ซีวีเอสเอส | Common Vulnerability Scoring System (CVSS) มอบวิธีการในการจับลักษณะสำคัญของช่องโหว่และสร้างคะแนนตัวเลขที่แสดงถึงความรุนแรง | แม้ว่า CVE จะระบุช่องโหว่ CVSS จะให้คะแนนตามความรุนแรง |
| CWE | Common Weakness Enumeration (CWE) คือรายการจุดอ่อนด้านความปลอดภัยทั่วไปของซอฟต์แวร์ที่พัฒนาโดยชุมชน มันทำหน้าที่เป็นภาษากลางในการอธิบายจุดอ่อนเหล่านี้ | แม้ว่า CVE จะระบุช่องโหว่เฉพาะ CWE จะอธิบายประเภทของจุดอ่อนด้านความปลอดภัยที่อาจนำไปสู่ช่องโหว่ |
มุมมองในอนาคตและเทคโนโลยีที่เกี่ยวข้องกับ CVE
เนื่องจากภัยคุกคามความปลอดภัยทางไซเบอร์มีการพัฒนาอย่างต่อเนื่อง ระบบ CVE จึงต้องปรับตัวด้วยเช่นกัน การปรับปรุงระบบ CVE ในอนาคตอาจรวมถึงการตรวจจับและการรายงานช่องโหว่อัตโนมัติ ขอบเขตที่ขยายสำหรับ CNA และการบูรณาการกับเทคโนโลยีปัญญาประดิษฐ์ (AI) และการเรียนรู้ของเครื่อง (ML) สำหรับการวิเคราะห์เชิงคาดการณ์
พร็อกซีเซิร์ฟเวอร์และ CVE
พร็อกซีเซิร์ฟเวอร์ เช่นเดียวกับที่ OneProxy มอบให้ สามารถเป็นได้ทั้งเป้าหมายและเครื่องมือในบริบทของ CVE ในฐานะเป้าหมาย ช่องโหว่ในซอฟต์แวร์พร็อกซีเซิร์ฟเวอร์อาจได้รับ CVE ID ของตนเอง หากมีความเสี่ยงด้านความปลอดภัย ในฐานะเครื่องมือ คุณสามารถกำหนดค่าพร็อกซีเซิร์ฟเวอร์เพื่อลดผลกระทบของช่องโหว่บางอย่างได้ เช่น โดยการกรองการรับส่งข้อมูลที่เป็นอันตรายที่เกี่ยวข้องกับ CVE ที่รู้จัก
