TH

สินค้าและบริการ

Firewall Endpoint Detection (AV)& EDR Data Loss Prevention (DLP) Monitoring Log Management E-mail Gateway Cloudflare Total Solutions - Sangfor Onetrust Social Monitoring Service Back up Audio & Visual System Conference Room Wallix & Stromshill UPS CCTV Access Point Server Software Office Blancco Multi-Factor Authentication(MFA)

News Update

News Update

ยืดลมหายใจอีกหน่อย! CISA ขยายสัญญาให้ CVE Program ไปต่ออีก 11 เดือน

หลังมีข่าวใหญ่มาให้แวดวง cybersecurity ว้าวุ่น ล่าสุด CISA ก็ได้ขยายสัญญาให้โปรแกรม CVE ไปอีก 11 เดือน เพียงไม่กี่ชั่วโมงก่อนสัญญาเก่าจะสิ้นสุดลง

เชื่อว่าทุกคนในด้าน cybersecurity คงรู้จักคำว่า cve กันอยู่แล้ว แต่สำหรับผู้ที่ไม่คุ้นเคย Common Vulnerabilities and Exposures ก็อธิบายได้ง่ายๆว่า cve ก็เป็นฐานเก็บข้อมูลช่องโหว่ของซอฟต์แวร์และฮาร์ดแวร์โดยมีการกำหนดเลข ID ให้ทุกคนอ้างอิงช่องโหว่ได้ตรงกัน เช่น CVE-2025-1234 เป็นต้น ประเด็นก็คือระบบอ้างอิงเหล่านี้มีค่ามากกว่าแค่ให้ทุกคนเข้าใจตรงกัน เพราะ Vendor ของโซลูชันด้านไอทียังอ้างอิงข้อมูลเหล่านี้ให้พวกท่านได้เห็นกันที่มาพร้อมกับวิธีแก้ไขและรายละเอียดด้วย ในการวางแผนแพตช์เองก็จะมีการลำดับความสำคัญของความรุนแรงเหล่านี้ ซึ่งเป็นกิจกรรมที่จำเป็นในการป้องกันระบบไอทีองค์กรและระเบียบข้อบังคับด้วย เอาแค่ว่าจะเขียนรายงานช่องโหว่อ้างอิงกับอะไรต่อก็ปวดหัวแล้ว ดังนั้นหาก CVE ไม่ได้ไปต่อเรียกได้ว่าวงการ cybersecurity นั้นวุ่นวายแน่


ประเด็นคือผู้ดูแลโปรแกรม cve ที่ชื่อว่า MITRE Corporation ต้องอาศัยเงินสนับสนุนจากรัฐบาลสหรัฐฯ ได้ออกข่าวว่าเมื่อวานนี้ (16 เม.ย. 2568) ถึงสัญญาที่จะหมดลงและยังไม่ได้มีการรับรองทุนต่อเลย นั่นก็เลยเป็นเหตุให้เกิดข่าวใหญ่ที่ต่างมีผู้เกี่ยวข้องและกูรูออกมาวิเคราะห์ให้ข้อมูลมากมาย สุดท้าย CISA ก็ดำเนินการด่วนยืดอายุโปรแกรมออกไปอีก 11 เดือน แต่นั่นก็หมายความว่านี่เป็นเพียงแค่การต่อลมหายใจชั่วคราว

มาถึงตอนนี้หลายฝ่ายเริ่มมองเห็นความไม่แน่นอนของระบบ cve กันแล้ว ทั้งๆที่สำคัญต่อระบบ cybersecurity ของโลก ก็เริ่มมีแนวคิดบางส่วนที่จะแยกโปรแกรม cve ออกมาเป็นองค์กรที่ไม่แสวงหาผลกำไรแยกจากรัฐบาลเพราะให้อิสระมากกว่าและดูยั่งยืนมากขึ้น อย่างไรก็ตามช่วงเวลา 11 เดือนต่อจากนี้ก็ต้องมาดูความเคลื่อนไหวที่ชัดเจนกัน แต่ที่แน่ๆ สมาชิกของ cve อย่างพวก Vendor เบอร์ใหญ่ก็คงไม่อยากให้โปรแกรมนี้ต้องจบลงเช่นกัน ซึ่งคงมีการพูดคุยเจรจาหาแนวคิดใหม่ต่อไป

เกร็ดเล็กเกร็ดน้อย : ผู้ที่สามารถออกเลข CVE ID ได้ต้องเป็นผู้มีสิทธิ์เป็น Numbering Authority ด้วยโดยมักเป็นบริษัทและหน่วยงานขนาดใหญ่ ซึ่งปัจจุบันมีทั้งหมด 453 ราย แต่ผู้ผลิตผลิตภัณฑ์ในโลกมีมากมาย แน่นอนว่าย่อมมีเจ้าของผลิตภัณฑ์รายเล็กๆ อีกมายที่ไม่ได้มีสิทธิ์ออก CVE ID ทำให้งานนั้นจะไปกองที่ MITRE แทน

ที่มา : https://www.securityweek.com/mitre-cve-program-gets-last-hour-funding-reprieve/ และ https://hackread.com/cve-program-online-cisa-temporary-mitre-extension/

share :

This website Collects

To give you a better experience, by continuing to use our website, you are agreeing to the use of cookies and personal data as set out in our Privacy Policy | Terms and Conditions

Accept