Articles, Cyber Security

รู้จักโลกของช่องโหว่ไซเบอร์ให้ครบวงจร – ตั้งแต่ CVE, CVSS, CISA, MITRE

บทความนี้เหมาะกับใคร?

  • เจ้าของธุรกิจ / ผู้ดูแลระบบไอทีที่ต้องการเข้าใจเรื่อง “ช่องโหว่” แบบไม่ต้องอ่านเอกสารเทคนิคยาว ๆ
  • นิสิต–นักศึกษาที่กำลังค้นคว้าหัวข้อ Security Framework
  • ผู้ใช้งานทั่วไปที่อยากรู้ว่า “ทำไมสื่อไอทีชอบพูดถึง CVE, CVSS, CISA, MITRE”

อ่านจบภายใน ~7 นาที แล้วคุยกับทีมไซเบอร์ได้คล่องขึ้นทันที!

CVE & CVSS คืออะไร? – สองเพื่อนซี้ประจำวงการไซเบอร์

CVE

Common Vulnerabilities & Exposures

เป็น “ทะเบียนราษฎร์” ของช่องโหว่ – ทุกครั้งที่พบช่องโหว่ใหม่ จะมี เลขประจำตัว เช่น CVE‑2025‑12345

บัตรประชาชนของช่องโหว่

CVSS

Common Vulnerability Scoring System

เป็น “ระบบให้คะแนน” ความรุนแรง 0.0–10.0 (ยิ่งสูงยิ่งอันตราย) เพื่อช่วยจัดลำดับความสำคัญในการอุดช่องโหว่

เกรด GPA ของช่องโหว่

สรุปสั้นๆ

  • ถ้าไม่มี CVE → หาไม่เจอว่า “ช่องโหว่นี้ชื่ออะไร”
  • ถ้าไม่มี CVSS → ไม่รู้ว่าควรรีบแพตช์ตัวไหนก่อนหลัง

ทั้งคู่จึงขาดกันไม่ได้!!

ตัวอย่างให้เห็นภาพ

  • CVE‑2024‑6387 ได้คะแนน CVSS 9.8 (Critical) ✦ ทีม Security ต้องออกแพตช์ภายใน 24 ชม.

  • CVE‑2023‑9999 ได้คะแนน CVSS 3.1 (Low) ✦ อาจรอรวมแพตช์รายเดือน

CISA (Cybersecurity & Infrastructure Security Agency) คือ องครักษ์พิทักษ์โครงสร้างพื้นฐานของประเทศสหรัฐอเมริกา

CISA เป็น หน่วยงานรัฐบาลกลางของสหรัฐอเมริกา
สังกัดกระทรวงความมั่นคงแห่งมาตุภูมิ (DHS : Department of Homeland Security)CISA จัดตั้งเมื่อปี 2018 (ตาม CISA Act 2018)

 

ภารกิจหลัก 3 ข้อ ของ CISA

  • ปกป้อง Critical Infrastructure – ตั้งแต่ไฟฟ้า, น้ำประปา, ระบบสาธารณูปโปค,ระบบสื่อสารโทรคมนาคม, ระบบคมนาคมขนส่ง, ภาคอุตสาหกรรม, ภาคการเงิน, การบริการสาธารณสุข, ภาคการศึกษา, ไปจนถึงระบบเลือกตั้ง
  • แจ้งเตือนช่องโหว่ร้ายแรง – ออก “KEV Catalog” รวมรายการ Known‑Exploited Vulnerabilities ที่รัฐบาลกลาง บังคับ ให้หน่วยงานแพตช์ภายในเวลาที่กำหนด
  • ตอบสนองเหตุการณ์ (Incident Response) – ส่งทีม “ฮอตชอท” ลงพื้นที่เมื่อเกิดการโจมตีขนาดใหญ่

CISA ได้งบประมาณตรงจาก สภาคองเกรส ผ่าน DHS (ปีงบ 2024 ประมาณ $3 พันล้าน)

 

โปรเจ็กต์เด่นของ CISA

  • Shields Up – แคมเปญเตือนภัยไซเบอร์ช่วงสงครามรัสเซีย‑ยูเครน
  • Ransomware Guide – คู่มือจัดการแรนซัมแวร์แบบฟรี ๆ ดาวน์โหลดได้ทุกคน
  • KEV Catalog (Known Exploited Vulnerabilities)

MITRE คือใคร?

MITRE มาจากคำว่า MIT Research Engineering สมัยทำโครงการให้กองทัพอากาศสหรัฐฯ
MITRE เป็นองค์กรไม่แสวงหากำไร (Non‑profit) ก่อตั้งเมื่อปี 1958

 

บทบาทหลักของ MITRE

  • บริหาร CVE Program: คือผู้จัดการรายการ CVE ทั่วโลกอย่างเป็นทางการ
    (มี CVE Numbering Authority – CNA กว่า 100 องค์กรร่วมกันออกหมายเลข CVE)
  • พัฒนา Framework สำคัญ ๆ เช่น
    • ATT&CK Framework (พฤติกรรมการโจมตี)
    • CWE (Common Weakness Enumeration)

 

เกี่ยวกับ CVE และ CVSS 

  • CVE : MITRE ดูแลการ จัดตั้ง/ออกเลข CVE ให้กับช่องโหว่ใหม่ ๆ
  • CVSS : MITRE ไม่ได้สร้าง CVSS เอง — คนสร้างคือ FIRST.org
    แต่ MITRE ใช้ CVSS มาประเมินความรุนแรงของ CVE ในหลายกรณี เพื่อประกอบข้อมูลให้กับคนใช้งาน

ดราม่าล่าสุดในเดือน เมษายน 2025 : MITRE ประกาศหยุดให้บริการ CVE, ต่อมาทาง CISA ต่อสัญญาในนาทีสุดท้าย

  • 15 เม.ย. 2025 – MITRE แจ้งว่า “สัญญารัฐบาลสำหรับบริหาร CVE/CWE จะหมดอายุวันที่ 16 เม.ย. และยังไม่ได้ต่อ”
  • ชุมชนไซเบอร์ปั่นป่วน – หากไม่มีคนออกเลข CVE → ช่องโหว่ใหม่จะถูกประกาศไม่เป็นทางการ, ระบบแพตช์‑รีพอร์ตทั้งวงการจะสะดุด
  • CISA รีบต่อสัญญา – คืนก่อนเส้นตาย CISA ขยายสัญญาให้ 11 เดือน เพื่อไม่ให้บริการหยุดชะงัก
  • ถือกำเนิด “CVE Foundation” – เสนอเป็นองค์กรอิสระ ลดการพึ่งงบประมาณรัฐบาลสหรัฐฯ ในระยะยาว