Yosry Barsoum รองประธาน MITRE ออกมาเตือนว่าเงินทุนของรัฐบาลสหรัฐฯ สำหรับโครงการ Common Vulnerabilities and Exposures (CVE) และ Common Weakness Enumeration (CWE) จะสิ้นสุดลงในวันที่ 16 เมษายน 2025 ซึ่งอาจส่งผลกระทบต่ออุตสาหกรรมการรักษาความปลอดภัยทางไซเบอร์ทั่วโลก
Common Vulnerabilities and Exposures (CVE) ซึ่งเป็นโครงการที่สำคัญที่สุดในสองโครงการนี้ได้รับการดูแลโดย MITRE โดยได้รับเงินทุนจากแผนกความปลอดภัยทางไซเบอร์แห่งชาติของกระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) ของสหรัฐอเมริกา โดย CVE มีความสำคัญอย่างยิ่งในการให้ความแม่นยำ ความชัดเจน และมาตรฐานร่วมกัน เมื่อมีการเปิดเผยข้อมูลเกี่ยวกับช่องโหว่ด้านความปลอดภัย
CVE Program ได้ถูกนำมาใช้กันอย่างแพร่หลายในเครื่องมือด้านความปลอดภัยทางไซเบอร์ต่าง ๆ รวมถึงระบบการจัดการช่องโหว่ และช่วยให้สามารถติดตามช่องโหว่ที่เพิ่งค้นพบทั้งหมดโดยใช้ CVE Identifiers (CVE IDs) ที่กำหนดโดย CVE Numbering Authorities (CNAs) ทั่วโลก โดยมี MITRE เป็น CVE Editor และ Primary CNA
CVE Program ยังช่วยหลีกเลี่ยงความสับสนที่เกิดจากการใช้ชื่อหลายชื่อสำหรับช่องโหว่ด้านความปลอดภัยรายการเดียว, ช่วยให้สามารถจัดทำแคตตาล็อกช่องโหว่ใหม่ ๆ ได้อย่างประสานกัน และช่วยให้ทีมงานด้านความปลอดภัยสามารถแชร์ข้อมูลได้ง่ายขึ้นผ่านคำแนะนำ, ฐานข้อมูลช่องโหว่ และทรัพยากรอื่น ๆ โดยใช้ระบบอ้างอิงมาตรฐาน
Yosry Barsoum ได้แจ้งในจดหมายที่ส่งถึงสมาชิกคณะกรรมการ CVE โดยระบุว่า “ในวันพุธที่ 16 เมษายน 2025 การจัดซื้อจัดจ้างปัจจุบันสำหรับ MITRE เพื่อพัฒนา, ดำเนินการ และปรับปรุง CVE และโครงการที่เกี่ยวข้องอื่น ๆ เช่น CWE จะสิ้นสุดลง รัฐบาลยังคงพยายามอย่างมากในการดำเนินบทบาทของ MITRE ต่อไปในการสนับสนุนโครงการดังกล่าว”
"หากเกิดการหยุดให้บริการ คาดว่าจะมีผลกระทบหลายประการต่อ CVE รวมถึงฐานข้อมูล และคำแนะนำด้านความเสี่ยงระดับชาติ, ผู้จำหน่ายเครื่องมือ, การปฏิบัติการตอบสนองเหตุการณ์ และโครงสร้างพื้นฐานที่สำคัญทุกประเภท"
ภายหลังจากดหมายดังกล่าวถูกเผยแพร่ทางออนไลน์ ผู้เชี่ยวชาญด้านความปลอดภัย และผู้นำใน cybersecurity community หลายคนได้แสดงความวิตกกังวลกับการที่โครงการจะยุติลงอย่างกะทันหัน และทุกคนจะไม่มีวิธีการที่เป็นมาตรฐานในการติดตามปัญหาความปลอดภัยใหม่ ๆ หากเซิร์ฟเวอร์ถูกปิดลง และการเข้าถึง API ของ CVE Numbering Authorities จะถูกตัดออก
Jean Easterly อดีตหัวหน้า CISA ระบุว่า ผลที่เกิดขึ้นทันทีคือการที่เครื่องมือ และกระบวนการด้านความปลอดภัยที่น่าเชื่อถือที่สุดไม่สามารถใช้งานได้ รวมถึงความพยายามในการประสานงานระดับโลกทั้งหมดก็จะประสบปัญหาเช่นเดียวกัน
Easterly เตือนบน LinkedIn ว่า "CVE อาจไม่ได้เป็นข่าวหน้าหนึ่ง แต่เป็นหนึ่งในเสาหลักที่สำคัญที่สุดของระบบรักษาความปลอดภัยทางไซเบอร์ยุคใหม่ หากสูญเสียระบบนี้ไปก็เหมือนกับการฉีกแคตตาล็อกการ์ดออกจากทุกไลบรารีในคราวเดียว ปล่อยให้ผู้ป้องกันความปลอดภัยทางไซเบอร์ ต้องจัดการกับความโกลาหลในขณะที่เหล่า Hacker จะสามารถใช้ประโยชน์จากช่องโหว่ได้อย่างเต็มที่"
“ภัยคุกคามทางไซเบอร์ไม่ได้หยุดอยู่แค่ที่ borders เท่านั้น เช่นเดียวกับการป้องกันประเทศ CVE เป็นภาษาที่ใช้กันทั่วโลกในการแบ่งปันข่าวกรอง และประสานงานการดำเนินการ หากละทิ้งสิ่งเหล่านี้ไป ทุกคนก็จะมองไม่เห็นอะไรเลย”
Casey Ellis ผู้ก่อตั้ง Bugcrowd บริษัทรักษาความปลอดภัยแบบ crowdsource ระบุเสริมว่า "CVE เป็นส่วนสำคัญในการจัดการความเสี่ยง การตอบสนองต่อเหตุการณ์ และความพยายามในการปกป้องโครงสร้างพื้นฐานที่สำคัญ การหยุดชะงักของบริการอย่างกะทันหันอาจกลายเป็นปัญหาความมั่นคงของชาติได้ในไม่ช้า"
อัปเดตวันที่ 16 เมษายน 2025
CISA ได้เปิดเผยว่า ขณะนี้ทางรัฐบาลสหรัฐฯ ได้ขยายเงินทุนของ MITRE เพื่อให้แน่ใจว่าไม่มีปัญหาต่อเนื่องกับโครงการ Common Vulnerabilities and Exposures (CVE) โดยจะมีการต่อสัญญาเพิ่มอีก 11 เดือน
นอกจากนี้ก่อนที่ CISA จะเผยแพร่การต่อสัญญาสนับสนุนเงินทุนโครงการ CVE กลุ่มสมาชิกคณะกรรมการ CVE ได้มีแผนที่จะประกาศเปิดตัว CVE Foundation ซึ่งเป็นองค์กรไม่แสวงหากำไรที่ก่อตั้งขึ้น เพื่อให้แน่ใจว่า CVE Program จะเป็นอิสระ โดยคำนึงถึงคำเตือนของ MITRE ที่ว่ารัฐบาลสหรัฐฯ อาจไม่ต่อสัญญาบริหารจัดการ CVE Program
ที่มา : bleepingcomputer
You must be logged in to post a comment.