แจ้งเตือนกรณี CISA เผยแพร่วิธีการ SSVC เพื่อจัดลำดับความสำคัญของช่องโหว่
-
แจ้งเตือนกรณี CISA เผยแพร่วิธีการ SSVC เพื่อจัดลำดับความสำคัญของช่องโหว่
เมื่อวันที่ 10 พฤศจิกายน 2565 Cybersecurity and Infrastructure Security Agency (CISA)[1] ได้เผยแพร่คู่มือเกี่ยวกับ Stakeholder-Specific Vulnerability Categorization (SSVC) [2] ซึ่งเป็นวิธีการจัดการช่องโหว่ จะประเมินช่องโหว่และจัดลำดับความสำคัญการแก้ไขช่องโหว่ โดยพิจารณาจากประโยชน์ที่ได้รับ ผลกระทบที่ส่งต่อความปลอดภัยและผลิตภัณฑ์ที่อาจจะได้รับผลกระทบในระบบเดียว ตามที่บล็อกโพสต์ของ Eric Goldstein ผู้ช่วยผู้บริหาร (EAD) Transforming the Vulnerability Management Landscape[3] ระบุเกี่ยวกับการนำระเบียบวิธีมาใช้ เช่น SSVC เป็นขั้นตอนสำคัญในการพัฒนาระบบนิเวศการจัดการช่องโหว่ รวมถึง แค็ตตาล็อก Known Exploited Vulnerabilities (KEV)[4]ของ CISA , คำแนะนำด้านความปลอดภัยที่เครื่องอ่านได้ Common Security Advisory Framework (CSAF) และ Vulnerability Exploitability eXchange (VEX) ซึ่งใช้ร่วมกับ SSVC จะลดหน้าต่างที่ผู้คุกคามทางไซเบอร์ต้องใช้ประโยชน์จากเครือข่ายเหล่านี้ เป็นต้น
ทั้งนี้ CISA สนับสนุนให้องค์กรและผู้ใช้งานติดตามโพสต์บล็อกของ EAD Goldstein[5] และใช้แหล่งข้อมูลต่อไปนี้บนหน้าเว็บ SSVC, โครงสร้างการตัดสินใจ SSVC ของ CISA, คำแนะนำ SSVC เกี่ยวกับการใช้ SSVC และแผนผังการตัดสินใจ SSVC, SSVC Calculator สำหรับจัดลำดับความสำคัญของการตอบสนองช่องโหว่ในสภาพแวดล้อมขององค์กรที่เกี่ยวข้อง ดูรายละเอียดเพิ่มเติมได้ที่ https://www.cisa.gov/uscert/ncas/current-activity/2022/11/10/cisa-releases-ssvc-methodology-prioritize-vulnerabilities
อ้างอิง
1.https://www.cisa.gov/uscert/ncas/current-activity/2022/11/10/cisa-releases-ssvc-methodology-prioritize-vulnerabilities
2.https://www.cisa.gov/ssvc
3.https://www.cisa.gov/blog/2022/11/10/transforming-vulnerability-management-landscape
4.https://www.cisa.gov/known-exploited-vulnerabilities
5.https://www.cisa.gov/blog/2022/11/10/transforming-vulnerability-management-landscapeสามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand