ฐานข้อมูล CVE อาจหยุดให้บริการหลังจากวันนี้

17/4/2025 อัปเดตสถานการณ์ โครงการ CVE รอดชั่วคราว
CISA ยืดเวลาให้ทุนในโครงการ CVE ต่ออีก 11 เดือน หลังจากที่เมื่อวาน (16 เม.ย. 2025) โลกไซเบอร์ปั่นป่วนเมื่อสัญญาการสนับสนุนจากรัฐบาลสหรัฐฯ แก่ MITRE ซึ่งดูแลโครงการ CVE หมดอายุลงแบบไม่มีความชัดเจนว่าจะมีใครมารับช่วงต่อหรือไม่
ล่าสุด! CISA (หน่วยงานความมั่นคงทางไซเบอร์ของสหรัฐฯ) ประกาศ “ยืดอายุสัญญา” ให้ MITRE ดำเนินงานโครงการ CVE ต่อไปได้อีก 11 เดือน เป็นการซื้อเวลาเพื่อไม่ให้ระบบตรวจสอบและเผยแพร่ช่องโหว่ทั่วโลกต้องหยุดชะงัก
แต่... ยังไม่จบแค่นั้น! สมาชิกบอร์ด CVE หลายคนได้เริ่มเคลื่อนไหวเพื่อก่อตั้งองค์กรใหม่ในชื่อ "CVE Foundation" ซึ่งจะเป็นมูลนิธิไม่แสวงหากำไร เพื่อบริหารจัดการโครงการ CVE อย่างยั่งยืนและเป็นกลางในระยะยาว ลดการพึ่งพาทุนจากรัฐบาลรายเดียว (อย่างไรก็ตาม CVE Foundation ไม่ใช่ Official Action จากบอร์ดของ CVE ในปัจจุบัน แต่เป็นกลุ่มคนในบอร์ดที่พยายามผลักดันให้โครงการ CVE ยังอยู่ต่อไปได้ในระยะยาว)
ข่าวสำคัญวันนี้ (16/4/2025) เกี่ยวกับฐานข้อมูล CVE อาจหยุดให้บริการหลังจากวันนี้
CVE คืออะไร?
CVE (Common Vulnerabilities and Exposures) คือระบบกลางที่ใช้ระบุช่องโหว่ด้านความปลอดภัยที่ตรวจพบในระบบซอฟต์แวร์และฮาร์ดแวร์ ช่วยให้ทุกฝ่ายในแวดวงความปลอดภัย—ไม่ว่าจะเป็นนักวิจัย ทีม SOC หรือ Vendor—สามารถใช้หมายเลขอ้างอิงเดียวกันในการติดตามและจัดการช่องโหว่
ใครเป็นผู้ดูแล?
MITRE คือผู้ดำเนินการหลักของโปรแกรม CVE โดยได้รับทุนสนับสนุนจาก CISA และรัฐบาลสหรัฐฯ มาตั้งแต่ปี 1999
โดยการออกหมายเลข CVE ได้จะต้องเป็น CNA (CVE Numbering Authority) ปัจจุบันมีบริษัท/หน่วยงานที่เป็น CNA ทั้งหมด 453 CNA ซึ่งส่วนใหญ่จะเป็น Vendor ที่เป็นเจ้าของ Product นั้น ๆ ซึ่งพอเป็น Product ของบริษัทที่ไม่ได้ใหญ่มากก็จะไม่มี CNA ที่มาดูแลโดยตรง ดังนั้นภาระส่วนใหญ่ก็จะไปตกที่ CNA หลัก ก็คือ MITRE นั่นเอง
สถานการณ์ล่าสุด
สัญญาการดำเนินโครงการ CVE จะหมดอายุลงในวันที่ 16 เมษายน 2025 ซึ่งหมายความว่า:
- เว็บไซต์ CVE อาจไม่อัปเดตรายการช่องโหว่ใหม่อีกต่อไป
- การออกหมายเลข CVE สำหรับผู้ที่ไม่ใช่ CNA อาจถูกระงับ
- การจัดการโครงสร้างข้อมูล CVE และการตรวจสอบคุณภาพจะหยุดชะงัก
ผลกระทบที่อาจเกิดขึ้น
- ผลกระทบต่อโลกความมั่นคงไซเบอร์:
- การไม่มีหมายเลข CVE ใหม่อาจทำให้การแลกเปลี่ยนข้อมูลช่องโหว่เกิดความล่าช้า
- ระบบอัตโนมัติที่ใช้ฐานข้อมูล CVE เช่น SIEM, SOAR, XDR จะไม่สามารถอัปเดตข้อมูลภัยคุกคามล่าสุดได้
- การสื่อสารระหว่าง Vendor และลูกค้าในด้านช่องโหว่จะขาดความชัดเจน
- ผลกระทบทางธุรกิจ:
- Delay in Patch Management: บริษัทอาจไม่สามารถระบุหรือจัดลำดับความสำคัญของช่องโหว่ได้อย่างรวดเร็ว ส่งผลให้ระบบมีช่องโหว่เปิดนานขึ้น
- Loss of Compliance Readiness: องค์กรที่ต้องปฏิบัติตามมาตรฐาน เช่น ISO 27001, NIST, PCI DSS หรือ GDPR อาจเสี่ยงต่อการขาดความสามารถในการแสดงการจัดการช่องโหว่ที่เหมาะสม
- Trust Erosion: ลูกค้าหรือพาร์ทเนอร์อาจเริ่มตั้งคำถามกับระบบการจัดการความปลอดภัยขององค์กร หากไม่สามารถอ้างอิง CVE ได้อย่างเป็นทางการ
- Cost Increase: การประมวลผลและวิเคราะห์ช่องโหว่จะต้องพึ่งพาแหล่งข้อมูลอื่นหรือพัฒนาโซลูชันภายในเอง ทำให้ต้นทุนสูงขึ้นทั้งด้านเวลาและทรัพยากร
แล้วเราจะไปทางไหนต่อ?
ยังไม่มีคำตอบชัดเจนจากรัฐบาลสหรัฐฯ แต่การผลักดันให้โปรแกรม CVE ได้รับทุนต่อเนื่องหรือมีองค์กรใหม่เข้ามารับช่วงต่อถือเป็นเรื่องเร่งด่วนที่ทุกภาคส่วนควรให้ความสนใจ
สรุป
วิกฤตนี้ไม่ใช่แค่เรื่อง “ช่องโหว่” แต่เป็นเรื่อง “โครงสร้างพื้นฐานของความมั่นคงไซเบอร์” ที่ทุกธุรกิจพึ่งพา หากไม่มี CVE ที่เป็นกลางและเชื่อถือได้ จะกระทบทั้งด้านเทคนิค การปฏิบัติตามข้อกำหนด และความน่าเชื่อถือขององค์กร

News
บริการของเรา
ให้เราช่วยดูแลความปลอดภัยให้คุณ
หากท่านสนใจและต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับบริการของเรา สามารถนัดหมายเพื่อพูดคุยผ่านเว็บไซต์ได้ทันที ทีมงานยินดีให้คำปรึกษาและตอบทุกข้อสงสัยอย่างเต็มที่
Up Next

ARTICLES
Mar
28
2025
Black Kite คืออะไร? ทำไมองค์กรต้องใช้แพลตฟอร์ม Cyber Risk Rating ในการบริหาร Third-Party Risk
ในยุคที่การโจมตีทางไซเบอร์ไม่ได้จำกัดเพียงแค่อุปกรณ์หรือระบบขององค์กร แต่ยังลุกลามไปสู่เครือข่ายคู่ค้า (Supply Chain) การบริหารความเสี่ยงด้านไซเบอร์ที่เกิดจาก Third Party จึงเป็นเรื่องสำคัญที่ทุกองค์กรไม่ควรมองข้าม
READ MORE

ARTICLES
Mar
04
2021
ชำแหละ Zerologon (CVE-2020-1472)
สองสามวันที่ผ่านมานี้หลายคนอาจจะได้ยินเรื่องช่องโหว่ระดับความรุนแรงสูงมาก (CVSS v3 score เต็ม 10 ไม่มีหัก)
READ MORE

ARTICLES
Mar
01
2021
Take a deep breath with Heartbleed
สำหรับเรื่อง Heartbleed ผมขอเขียนให้กระชับที่สุดก็แล้วกันครับ
READ MORE

