ฐานข้อมูล CVE อาจหยุดให้บริการหลังจากวันนี้

17/4/2025 อัปเดตสถานการณ์ โครงการ CVE รอดชั่วคราว
CISA ยืดเวลาให้ทุนในโครงการ CVE ต่ออีก 11 เดือน หลังจากที่เมื่อวาน (16 เม.ย. 2025) โลกไซเบอร์ปั่นป่วนเมื่อสัญญาการสนับสนุนจากรัฐบาลสหรัฐฯ แก่ MITRE ซึ่งดูแลโครงการ CVE หมดอายุลงแบบไม่มีความชัดเจนว่าจะมีใครมารับช่วงต่อหรือไม่
ล่าสุด! CISA (หน่วยงานความมั่นคงทางไซเบอร์ของสหรัฐฯ) ประกาศ “ยืดอายุสัญญา” ให้ MITRE ดำเนินงานโครงการ CVE ต่อไปได้อีก 11 เดือน เป็นการซื้อเวลาเพื่อไม่ให้ระบบตรวจสอบและเผยแพร่ช่องโหว่ทั่วโลกต้องหยุดชะงัก
แต่... ยังไม่จบแค่นั้น! สมาชิกบอร์ด CVE หลายคนได้เริ่มเคลื่อนไหวเพื่อก่อตั้งองค์กรใหม่ในชื่อ "CVE Foundation" ซึ่งจะเป็นมูลนิธิไม่แสวงหากำไร เพื่อบริหารจัดการโครงการ CVE อย่างยั่งยืนและเป็นกลางในระยะยาว ลดการพึ่งพาทุนจากรัฐบาลรายเดียว (อย่างไรก็ตาม CVE Foundation ไม่ใช่ Official Action จากบอร์ดของ CVE ในปัจจุบัน แต่เป็นกลุ่มคนในบอร์ดที่พยายามผลักดันให้โครงการ CVE ยังอยู่ต่อไปได้ในระยะยาว)
ข่าวสำคัญวันนี้ (16/4/2025) เกี่ยวกับฐานข้อมูล CVE อาจหยุดให้บริการหลังจากวันนี้
CVE คืออะไร?
CVE (Common Vulnerabilities and Exposures) คือระบบกลางที่ใช้ระบุช่องโหว่ด้านความปลอดภัยที่ตรวจพบในระบบซอฟต์แวร์และฮาร์ดแวร์ ช่วยให้ทุกฝ่ายในแวดวงความปลอดภัย—ไม่ว่าจะเป็นนักวิจัย ทีม SOC หรือ Vendor—สามารถใช้หมายเลขอ้างอิงเดียวกันในการติดตามและจัดการช่องโหว่
ใครเป็นผู้ดูแล?
MITRE คือผู้ดำเนินการหลักของโปรแกรม CVE โดยได้รับทุนสนับสนุนจาก CISA และรัฐบาลสหรัฐฯ มาตั้งแต่ปี 1999
โดยการออกหมายเลข CVE ได้จะต้องเป็น CNA (CVE Numbering Authority) ปัจจุบันมีบริษัท/หน่วยงานที่เป็น CNA ทั้งหมด 453 CNA ซึ่งส่วนใหญ่จะเป็น Vendor ที่เป็นเจ้าของ Product นั้น ๆ ซึ่งพอเป็น Product ของบริษัทที่ไม่ได้ใหญ่มากก็จะไม่มี CNA ที่มาดูแลโดยตรง ดังนั้นภาระส่วนใหญ่ก็จะไปตกที่ CNA หลัก ก็คือ MITRE นั่นเอง
สถานการณ์ล่าสุด
สัญญาการดำเนินโครงการ CVE จะหมดอายุลงในวันที่ 16 เมษายน 2025 ซึ่งหมายความว่า:
- เว็บไซต์ CVE อาจไม่อัปเดตรายการช่องโหว่ใหม่อีกต่อไป
- การออกหมายเลข CVE สำหรับผู้ที่ไม่ใช่ CNA อาจถูกระงับ
- การจัดการโครงสร้างข้อมูล CVE และการตรวจสอบคุณภาพจะหยุดชะงัก
ผลกระทบที่อาจเกิดขึ้น
- ผลกระทบต่อโลกความมั่นคงไซเบอร์:
- การไม่มีหมายเลข CVE ใหม่อาจทำให้การแลกเปลี่ยนข้อมูลช่องโหว่เกิดความล่าช้า
- ระบบอัตโนมัติที่ใช้ฐานข้อมูล CVE เช่น SIEM, SOAR, XDR จะไม่สามารถอัปเดตข้อมูลภัยคุกคามล่าสุดได้
- การสื่อสารระหว่าง Vendor และลูกค้าในด้านช่องโหว่จะขาดความชัดเจน
- ผลกระทบทางธุรกิจ:
- Delay in Patch Management: บริษัทอาจไม่สามารถระบุหรือจัดลำดับความสำคัญของช่องโหว่ได้อย่างรวดเร็ว ส่งผลให้ระบบมีช่องโหว่เปิดนานขึ้น
- Loss of Compliance Readiness: องค์กรที่ต้องปฏิบัติตามมาตรฐาน เช่น ISO 27001, NIST, PCI DSS หรือ GDPR อาจเสี่ยงต่อการขาดความสามารถในการแสดงการจัดการช่องโหว่ที่เหมาะสม
- Trust Erosion: ลูกค้าหรือพาร์ทเนอร์อาจเริ่มตั้งคำถามกับระบบการจัดการความปลอดภัยขององค์กร หากไม่สามารถอ้างอิง CVE ได้อย่างเป็นทางการ
- Cost Increase: การประมวลผลและวิเคราะห์ช่องโหว่จะต้องพึ่งพาแหล่งข้อมูลอื่นหรือพัฒนาโซลูชันภายในเอง ทำให้ต้นทุนสูงขึ้นทั้งด้านเวลาและทรัพยากร
แล้วเราจะไปทางไหนต่อ?
ยังไม่มีคำตอบชัดเจนจากรัฐบาลสหรัฐฯ แต่การผลักดันให้โปรแกรม CVE ได้รับทุนต่อเนื่องหรือมีองค์กรใหม่เข้ามารับช่วงต่อถือเป็นเรื่องเร่งด่วนที่ทุกภาคส่วนควรให้ความสนใจ
สรุป
วิกฤตนี้ไม่ใช่แค่เรื่อง “ช่องโหว่” แต่เป็นเรื่อง “โครงสร้างพื้นฐานของความมั่นคงไซเบอร์” ที่ทุกธุรกิจพึ่งพา หากไม่มี CVE ที่เป็นกลางและเชื่อถือได้ จะกระทบทั้งด้านเทคนิค การปฏิบัติตามข้อกำหนด และความน่าเชื่อถือขององค์กร

News
OUR SERVICES
Get the help you need
Interested in our services or want to know more? Book a call through the website anytime — our team is happy to advise and answer all your questions.
Up Next

ARTICLES
Mar
28
2025
Black Kite คืออะไร? ทำไมองค์กรต้องใช้แพลตฟอร์ม Cyber Risk Rating ในการบริหาร Third-Party Risk
ในยุคที่การโจมตีทางไซเบอร์ไม่ได้จำกัดเพียงแค่อุปกรณ์หรือระบบขององค์กร แต่ยังลุกลามไปสู่เครือข่ายคู่ค้า (Supply Chain) การบริหารความเสี่ยงด้านไซเบอร์ที่เกิดจาก Third Party จึงเป็นเรื่องสำคัญที่ทุกองค์กรไม่ควรมองข้าม
READ MORE

ARTICLES
Mar
04
2021
ชำแหละ Zerologon (CVE-2020-1472)
สองสามวันที่ผ่านมานี้หลายคนอาจจะได้ยินเรื่องช่องโหว่ระดับความรุนแรงสูงมาก (CVSS v3 score เต็ม 10 ไม่มีหัก)
READ MORE

ARTICLES
Mar
01
2021
Take a deep breath with Heartbleed
สำหรับเรื่อง Heartbleed ผมขอเขียนให้กระชับที่สุดก็แล้วกันครับ
READ MORE

