TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
หลังมีข่าวใหญ่มาให้แวดวง cybersecurity ว้าวุ่น ล่าสุด CISA ก็ได้ขยายสัญญาให้โปรแกรม CVE ไปอีก 11 เดือน เพียงไม่กี่ชั่วโมงก่อนสัญญาเก่าจะสิ้นสุดลง
เชื่อว่าทุกคนในด้าน cybersecurity คงรู้จักคำว่า cve กันอยู่แล้ว แต่สำหรับผู้ที่ไม่คุ้นเคย Common Vulnerabilities and Exposures ก็อธิบายได้ง่ายๆว่า cve ก็เป็นฐานเก็บข้อมูลช่องโหว่ของซอฟต์แวร์และฮาร์ดแวร์โดยมีการกำหนดเลข ID ให้ทุกคนอ้างอิงช่องโหว่ได้ตรงกัน เช่น CVE-2025-1234 เป็นต้น ประเด็นก็คือระบบอ้างอิงเหล่านี้มีค่ามากกว่าแค่ให้ทุกคนเข้าใจตรงกัน เพราะ Vendor ของโซลูชันด้านไอทียังอ้างอิงข้อมูลเหล่านี้ให้พวกท่านได้เห็นกันที่มาพร้อมกับวิธีแก้ไขและรายละเอียดด้วย ในการวางแผนแพตช์เองก็จะมีการลำดับความสำคัญของความรุนแรงเหล่านี้ ซึ่งเป็นกิจกรรมที่จำเป็นในการป้องกันระบบไอทีองค์กรและระเบียบข้อบังคับด้วย เอาแค่ว่าจะเขียนรายงานช่องโหว่อ้างอิงกับอะไรต่อก็ปวดหัวแล้ว ดังนั้นหาก CVE ไม่ได้ไปต่อเรียกได้ว่าวงการ cybersecurity นั้นวุ่นวายแน่
ประเด็นคือผู้ดูแลโปรแกรม cve ที่ชื่อว่า MITRE Corporation ต้องอาศัยเงินสนับสนุนจากรัฐบาลสหรัฐฯ ได้ออกข่าวว่าเมื่อวานนี้ (16 เม.ย. 2568) ถึงสัญญาที่จะหมดลงและยังไม่ได้มีการรับรองทุนต่อเลย นั่นก็เลยเป็นเหตุให้เกิดข่าวใหญ่ที่ต่างมีผู้เกี่ยวข้องและกูรูออกมาวิเคราะห์ให้ข้อมูลมากมาย สุดท้าย CISA ก็ดำเนินการด่วนยืดอายุโปรแกรมออกไปอีก 11 เดือน แต่นั่นก็หมายความว่านี่เป็นเพียงแค่การต่อลมหายใจชั่วคราว
มาถึงตอนนี้หลายฝ่ายเริ่มมองเห็นความไม่แน่นอนของระบบ cve กันแล้ว ทั้งๆที่สำคัญต่อระบบ cybersecurity ของโลก ก็เริ่มมีแนวคิดบางส่วนที่จะแยกโปรแกรม cve ออกมาเป็นองค์กรที่ไม่แสวงหาผลกำไรแยกจากรัฐบาลเพราะให้อิสระมากกว่าและดูยั่งยืนมากขึ้น อย่างไรก็ตามช่วงเวลา 11 เดือนต่อจากนี้ก็ต้องมาดูความเคลื่อนไหวที่ชัดเจนกัน แต่ที่แน่ๆ สมาชิกของ cve อย่างพวก Vendor เบอร์ใหญ่ก็คงไม่อยากให้โปรแกรมนี้ต้องจบลงเช่นกัน ซึ่งคงมีการพูดคุยเจรจาหาแนวคิดใหม่ต่อไป
เกร็ดเล็กเกร็ดน้อย : ผู้ที่สามารถออกเลข CVE ID ได้ต้องเป็นผู้มีสิทธิ์เป็น Numbering Authority ด้วยโดยมักเป็นบริษัทและหน่วยงานขนาดใหญ่ ซึ่งปัจจุบันมีทั้งหมด 453 ราย แต่ผู้ผลิตผลิตภัณฑ์ในโลกมีมากมาย แน่นอนว่าย่อมมีเจ้าของผลิตภัณฑ์รายเล็กๆ อีกมายที่ไม่ได้มีสิทธิ์ออก CVE ID ทำให้งานนั้นจะไปกองที่ MITRE แทน (credit : Incogito Lab)
ที่มา : https://www.securityweek.com/mitre-cve-program-gets-last-hour-funding-reprieve/ และ https://hackread.com/cve-program-online-cisa-temporary-mitre-extension/
