TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
เมื่อได้รับการแจ้งเตือนช่องโหว่ของระบบปฏิบัติการหรือซอฟต์แวร์ หลายคนมักจะเห็นอักษรย่อ CVSS พร้อมคะแนน 0 – 10 กำกับมาด้วย ซึ่งก็พอจะคาดเดาได้ว่าน่าจะเป็นระดับความอันตรายของช่องโหว่นั้นๆ แต่แท้จริงแล้วอักษรย่อ CVSS คืออะไร คิดคะแนนจากอะไร Kaspersky ได้ออกมาอธิบายแบบสั้นๆ เข้าใจได้ง่ายๆ ดังนี้
เมื่อค้นพบช่องโหว่บนระบบปฏิบัติการหรือแอปพลิเคชัน ผู้เชี่ยวชาญจะให้คะแนน 0 ถึง 10 ตามระดับของ Common Vulnerability Scoring System หรืออักษรย่อคือ CVSS ซึ่งตัวเลขคะแนนนี้จะช่วยให้องค์กรและผู้ใช้งานเข้าใจถึงระดับความอันตรายของช่องโหว่นั้นๆ ได้โดยง่าย โดยคะแนน CVSS จะคำนวณจากหลากหลายปัจจัย โดยหลักที่สำคัญประกอบด้วย
- ความยากง่ายในการเจาะช่องโหว่ (Exploitability Metrics) – แฮ็กเกอร์สามารถเจาะระบบผ่านช่องโหว่นี้ได้ง่ายเพียงใด
- ผลกระทบ (Impact Metrics) – ผลลัพธ์ที่เป็นไปได้ที่เกิดจากช่องโหว่นี้
- เหตุเกิดในโลกจริง (Temporal Metrics) – มีรายงานการโจมตีที่อาศัยช่องโหว่นี้แล้วหรือไม่ มีแพตช์ออกมาแล้วหรือยัง
ช่องโหว่ที่มีระดับความรุนแรงสูงสุดจะมีคะแนน CVSS ที่ระดับ 10 ในขณะที่ช่องโหว่ที่คุกคามเพียงเล็กน้อยหรือไม่เป็นภัยคุกคามเลยจะมีคะแนน CVSS ที่ระดับ 0 ส่วนช่องโหว่อื่นๆ ที่พบได้ทั่วไปก็จะมีคะแนน CVSS อยู่ระหว่าง 0 – 10
จำไว้เสมอว่า อย่ามองข้ามการแจ้งเตือนเรื่อง Security Update ไม่ว่าจะสำหรับระบบปฏิบัติการหรือซอฟต์แวร์ที่ใช้งานอยู่ นักพัฒนาและผู้ดูแลระบบควรจัดลำดับความสำคัญของช่องโหว่โดยเริ่มจากช่องโหว่ที่มีคะแนน CVSS ระดับสูงก่อน และพยายามอัปเดตแพตช์หรือหาทางแก้ไขให้เร็วที่สุดเท่าที่จะเป็นไปได้
ที่มา: Kaspersky Facebook
