การขาดแคลนเงินทุนเมื่อเร็วๆ นี้ได้เปิดเผยถึงความเปราะบางของโครงสร้างพื้นฐานการติดตามความเสี่ยงระดับโลก และความหมายของโครงสร้างพื้นฐานดังกล่าวต่อความยืดหยุ่นด้านความปลอดภัยทางไซเบอร์
เป็นเวลาเกือบ 25 ปีแล้วที่โปรแกรม Common Vulnerabilities and Exposures (CVE) ได้กลายมาเป็นแกนหลักของการจัดการความเสี่ยงระดับโลก โดยโปรแกรมดังกล่าวจะมอบตัวระบุความเสี่ยงสากลให้กับช่องโหว่ต่างๆ ช่วยให้องค์กรต่างๆ ทั่วโลกสามารถประเมินความเสี่ยง ประสานงานการตอบสนอง และลดความเสี่ยงได้
เสถียรภาพดังกล่าวสั่นคลอนในสัปดาห์นี้ เมื่อ MITRE ซึ่งเป็นผู้ดูแลโครงการ CVE มาอย่างยาวนาน ประกาศหยุดการให้เงินทุนกะทันหัน แม้ว่าการสนับสนุนฉุกเฉินในรูปแบบของการขยายสัญญา 11 เดือนจากหน่วยงานความมั่นคงทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) จะป้องกันไม่ให้เกิดการหยุดชะงักทันที แต่เหตุการณ์ดังกล่าวได้เผยให้เห็นความเปราะบางเชิงโครงสร้างในระบบนิเวศทางไซเบอร์ระดับโลก ซึ่งเรียกร้องให้มีการไตร่ตรองและดำเนินการอย่างเร่งด่วน
จุดล้มเหลวเพียงจุดเดียว
โปรแกรม CVE ทำหน้าที่เป็นภาษาที่ใช้ร่วมกันในอุตสาหกรรมสำหรับการเปิดเผยช่องโหว่ เมื่อนักวิจัยหรือองค์กรค้นพบช่องโหว่ใหม่ ช่องโหว่นั้นจะถูกส่งไปตรวจสอบ และหากผ่านการตรวจสอบแล้ว จะได้รับตัวระบุ CVE ที่เป็นมาตรฐาน ซึ่งทำให้สามารถเข้าใจลักษณะของภัยคุกคามได้อย่างรวดเร็ว ระบุว่าภัยคุกคามนั้นส่งผลกระทบต่อระบบของคุณหรือไม่ และจัดลำดับความสำคัญของความพยายามในการแก้ไขช่องโหว่
การใช้ CVE ID ฝังรากลึกอยู่ในเครื่องมือและเวิร์กโฟลว์ด้านความปลอดภัย โปรแกรมสแกนช่องโหว่ ระบบการจัดการข้อมูลและเหตุการณ์ด้านความปลอดภัย (SIEM) และแพลตฟอร์มความเสี่ยงของบุคคลที่สามต่างอาศัยข้อมูล CVE เพื่อให้ทำงานได้อย่างมีประสิทธิภาพ องค์กรต่าง ๆ ใช้ CVE เพื่อทำให้การตรวจจับ การให้คะแนน และการตอบสนองเป็นไปโดยอัตโนมัติ และเพื่อสื่อสารกันอย่างสม่ำเสมอระหว่างทีมและซัพพลายเออร์
หากโปรแกรม CVE ถูกหยุดลง ช่องโหว่ที่เพิ่งค้นพบใหม่ก็จะไม่อยู่ในรายการอีกต่อไป กระบวนการจัดการแพตช์อัตโนมัติอาจล้มเหลว กฎการตรวจจับอาจทำงานล้มเหลว และความพยายามในการตอบสนองต่อเหตุการณ์อาจล่าช้าหรือล้มเหลวได้ ภัยคุกคามนั้นไม่ใช่เชิงทฤษฎี แต่เป็นเพียงช่วงเวลาสั้นๆ เท่านั้น
ความแตกแยกและความสับสน
หากไม่มีหน่วยงานกลางอย่าง CVE เราเสี่ยงต่ออนาคตที่ไม่แน่นอน โดยมีฐานข้อมูลที่ไม่เป็นทางการจำนวนมาก ซึ่งแต่ละฐานข้อมูลมีรูปแบบการตั้งชื่อและตรรกะการจำแนกประเภทเป็นของตัวเอง ทำให้เกิดความสับสน การจัดวางเครื่องมือไม่ถูกต้อง และเกิดความล่าช้าในการจัดการเหตุการณ์
ผลกระทบแบบลูกโซ่จะรุนแรงเป็นพิเศษสำหรับ:
- ผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญเช่น การดูแลสุขภาพและสาธารณูปโภค ซึ่งโปรโตคอลการแก้ไขจะขึ้นอยู่กับระบบอัตโนมัติที่ได้รับการสนับสนุนจาก CVE
- SMEsที่ต้องพึ่งพาฟีดข้อมูลสาธารณะฟรีและเครื่องมืออัตโนมัติเพื่อจัดการความปลอดภัยเป็นอย่างมาก
- ทีมงานรักษาความปลอดภัยมีทรัพยากรไม่เพียงพอซึ่งอาจขาดความสามารถในการเปลี่ยนไปใช้ระบบอื่นอย่างรวดเร็ว
ปัญหาเชิงระบบ ไม่ใช่เหตุการณ์ที่เกิดขึ้นครั้งเดียว
นี่ไม่ใช่ครั้งแรกที่โครงสร้างพื้นฐานด้านความปลอดภัยทางไซเบอร์หลักแสดงสัญญาณของความตึงเครียด ช่องโหว่ Heartbleed ใน OpenSSL เมื่อปี 2014 เผยให้เห็นความเปราะบางที่คล้ายคลึงกัน โดยซอฟต์แวร์ที่สำคัญได้รับการดูแลโดยนักพัฒนาเพียงคนเดียวและมีเงินทุนเพียงเล็กน้อย เหตุการณ์ดังกล่าวทำให้ต้องสร้าง Core Infrastructure Initiative (CII) ขึ้นมาเพื่อรองรับโครงการโอเพ่นซอร์สที่สำคัญ
ขณะนี้ เพื่อตอบสนองต่อปัญหาการขาดแคลนเงินทุน CVE มูลนิธิ CVEจึงได้เปิดตัวโครงการเพื่อสนับสนุนเสถียรภาพและความเป็นอิสระในระยะยาวของโครงการ ซึ่งถือเป็นก้าวสำคัญ แต่ความสำเร็จในระยะยาวจะขึ้นอยู่กับความร่วมมือในระดับอุตสาหกรรมและการลงทุนที่สม่ำเสมอ
มีทางเลือกอื่นไหม?
มีทางเลือกสาธารณะและเชิงพาณิชย์สำหรับ CVE เช่นฐานข้อมูลช่องโหว่แห่งชาติ (NVD) ของ NIST และ VulDB แต่หลายทางเลือกเชื่อมโยงอย่างแน่นแฟ้นกับโปรแกรม CVE เองหรือขาดการสนับสนุนจากอุตสาหกรรมอย่างกว้างขวาง
ศูนย์ตอบสนองต่อเหตุการณ์คอมพิวเตอร์แห่งลักเซมเบิร์กได้วางตำแหน่ง GCVE ให้เป็นทางเลือกแบบกระจายอำนาจ โดยใช้ระบบการกำหนดหมายเลขในลักษณะเดียวกับโปรแกรม CVE แต่ไม่ต้องพึ่งพาระบบการแจกจ่ายบล็อกแบบรวมศูนย์หรือการบังคับใช้ตามนโยบายที่เข้มงวด อย่างไรก็ตาม ในขณะนี้ การกำกับดูแล ความน่าเชื่อถือ และความสามารถในการปรับขนาดยังคงเป็นปัญหาที่ยังไม่ได้รับการแก้ไข
ความเป็นจริงในระยะสั้นคือ: ในปัจจุบันยังไม่มีระบบ CVE ที่ชัดเจนที่จะมาแทนที่ได้ ความสามารถในการฟื้นตัวต้องมาจากการเสริมสร้างสิ่งที่มีอยู่ และการวางแผนสำหรับทางเลือกอื่นที่พร้อมสำหรับอนาคต
สิ่งที่องค์กรควรทำตอนนี้
ผู้นำด้านความปลอดภัยและไอทีควรใช้ช่วงเวลานี้เพื่อประเมินสถานการณ์:
- ประเมินการพึ่งพาข้อมูล CVE ในกระบวนการเครื่องมือ การแพตช์ และการรายงานความเสี่ยง
- ติดตามการพัฒนาต่างๆรอบๆ มูลนิธิ CVE และการเปลี่ยนแปลงที่อาจเกิดขึ้นในการกำกับดูแล
- ร่วมมือกับผู้จำหน่ายและหน่วยงานในอุตสาหกรรมที่กำหนดอนาคตของการติดตามช่องโหว่
มุมมองของ LRQA
ความไม่แน่นอนที่เกิดขึ้นกับโปรแกรม CVE เป็นการเตือนใจว่าแม้แต่องค์ประกอบที่ได้รับการยอมรับมากที่สุดของระบบนิเวศไซเบอร์ซีเคียวริตี้ก็ไม่สามารถมองข้ามได้ ในโลกที่มีความซับซ้อนเพิ่มขึ้นและระยะเวลาตอบสนองสั้นลง ความยืดหยุ่นขึ้นอยู่กับมากกว่าแค่เครื่องมือที่ดีเท่านั้น แต่ยังต้องมีข้อมูลเชิงลึกที่เชื่อถือได้ การรับประกันอย่างต่อเนื่อง และความสามารถในการปรับตัว
ที่ LRQA เราช่วยให้องค์กรต่างๆ เสริมสร้างความแข็งแกร่งให้กับแนวทางด้านความปลอดภัยทางไซเบอร์ผ่านกลุ่มบริการที่เชื่อมโยงกัน ตั้งแต่กลยุทธ์และการกำกับดูแลไปจนถึงการทดสอบความปลอดภัย การปฏิบัติตามข้อกำหนด การฝึกอบรม และการตรวจสอบภัยคุกคามตลอด 24 ชั่วโมงทุกวัน ไม่ว่าคุณจะกำลังประเมินความสามารถในการจัดการช่องโหว่ของคุณใหม่หรือกำลังมองหาวิธีฝังแนวทางที่เน้นความเสี่ยงและแข็งแกร่งยิ่งขึ้น เราก็สามารถช่วยคุณได้
หากต้องการหารือว่า LRQA สามารถสนับสนุนกลยุทธ์การรักษาความปลอดภัยทางไซเบอร์ของคุณได้อย่างไรโปรดติดต่อทีมงานของเรา