TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ภายในงานประชุม Black Hat Asia 2019 ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา Richard Bussiere, Technical Director ประจำ APAC ของ Tenable ระบุ การประเมินความเสี่ยงโดยใช้คะแนนจาก CVSS อาจไม่ดีเพียงพอ แนะนำเทคนิค Predictive Prioritization ซึ่งปรับคะแนนความเสี่ยงตามเหตุการณ์ที่เกิดขึ้นจริงในปัจจุบัน
การประเมินความเสี่ยงเป็นหนึ่งในกระบวนการที่สำคัญที่สุดด้านการบริหารจัดการความมั่นคงปลอดภัย โดยพื้นฐานนั้นความเสี่ยง (Risk) จะถูกประเมินจากภัยคุกคาม (Threat) ช่องโหว่ (Vulnerablity) และผลลัพธ์ที่ตามมา (Consequence) จากสถิติของ Ponemon ระบุว่า 48% ขององค์กรยังคงใช้กระบวนการแบบ Manual ในการตอบสนองต่อภัยคุกคามส่งผลให้ดำเนินการตอบสนองได้ช้า ในขณะที่มีเพียง 39% ที่นำ Threat Intelligence เข้ามาช่วยจัดอันดับความสำคัญของสินทรัพย์ที่จำเป็นต้องคุ้มครอง และมีเพียง 29% ที่ระบุว่าองค์กรของตนมีความสามารถในการติดตามการโจมตีบนช่องทางต่างๆ เช่น Cloud, Containers, IoT และ OT ขององค์กรอย่างเพียงพอ
Bussiere ระบุว่า หลายองค์กรนำคะแนน CVSS มาใช้เพื่อระบุความรุนแรงของช่องโหว่ในกระบวนการประเมินความเสี่ยง ซึ่งฟังดูแล้วก็เป็นเรื่องที่เหมาะสม อย่างไรก็ตาม ในปี 2018 ที่ผ่านมา มีช่องโหว่ที่มีคะแนน CVSS ระดับ Critical และ High มีปริมาณมากถึง 59% จึงเป็นเรื่องยากที่เราจะระบุถึงความสำคัญจริงๆ ของช่องโหว่เหล่านั้น ที่น่าตกใจคือ ปริมาณช่องโหว่และช่องโหว่ที่มีโค้ดโจมตีเผยแพร่ออกสู่สาธารณะมีแนวโน้มเพิ่งมากขึ้นในแต่ละปี อย่างในปี 2018 เองก็มีจำนวนช่องโหว่ใหม่ปริมาณมากถึง 16,500 ช่องโหว่ ซึ่ง 1,500 ช่องโหว่ในนั้นมีโค้ดโจมตี (Exploits) ให้นำไปทดลองใช้ได้ฟรี
ถึงแม้ว่าหลายองค์กรจะประเมินความเสี่ยงจากภัยคุกคาม (Threat) ช่องโหว่ (Vulnerablity) และธุรกิจที่ได้รับผลกระทบ (Business) เพื่อลดจำนวนช่องโหว่ที่องค์กรจำเป็นต้องรับ แต่ช่องโหว่เหล่านั้นก็ยังคงมีจำนวนมหาศาลอยู่ดี Tenable จึงได้นำเสนอเทคนิค Predictive Prioritization ซึ่งผสานรวม Research Insights, Threat Intelligence และ Vulnerability Score เพื่อช่วยจัดอันดับความสำคัญของช่องโหว่ โดยจะพิจารณาคะแนนจาก 7 คุณสมบัติ คือ Past Threat Pattern, CVSS, NVD, Past Hostility, Vulnerable Software, Exploit Code และ Past Threat Source ซึ่งจะทำการประเมินและอัปเดตทุกวันตามเหตุการณ์ที่เปลี่ยนไป เช่น เมื่อมีการค้นพบช่องโหว่ อาจมีการให้คะแนนตาม CVE คือ 6 คะแนน เมื่อมีโค้ด Exploit ถูกเผยแพร่สู่สาธารณะคะแนนจะเพิ่มขึ้นเป็น 8 คะแนน และเมื่อมีรายงานโจมตีเกิดขึ้นคะแนนกลายเป็น 10 คะแนน เป็นต้น เหล่านี้ส่งผลให้การประเมินความเสี่ยงของช่องโหว่มีความแม่นยำมากขึ้น ช่วยจัดอันดับความสำคัญของช่องโหว่ที่จำเป็นต้องรับมือก่อน และลดภาระของผู้ดูแลระบบรักษาความมั่นคงปลอดภัยลง
จากการปรับคะแนนของช่องโหว่ด้วยวิธีนี้ Bussiere ระบุว่าสามารถลดจำนวนช่องโหว่ที่ต้องจัดการจริงๆ ลงได้สูงสุดถึง 97%
