คะแนน CVSS คืออะไร?

เมื่อมีการประกาศช่องโหว่ด้านความปลอดภัยในระบบคอมพิวเตอร์ออกสู่สาธารณะ เรามักจะเห็นตัวเลขคะแนน CVSS พ่วงต่อท้ายมาด้วยเสมอ ซึ่งคะแนน CVSS นั้นเป็นส่วนสำคัญที่จะทำให้ทราบถึงความรุนแรงของช่องโหว่ คะแนนที่ว่านี้เป็นอย่างไร ช่องโหว่ที่มีความเสี่ยงสูงเกิดจากปัจจัยอะไรบ้าง

Common Vulnerability Scoring System หรือ คะแนน CVSS คือ มาตรฐานการชี้วัดความรุนแรงของช่องโหว่ด้านความปลอดภัยของระบบคอมพิวเตอร์ โดยคะแนนชี้วัดความรุนแรงตั้งแต่ 0-10 คะแนนเพื่อเป็นจุดเปรียบเทียบระหว่างช่องโหว่และจัดลำดับความสำคัญในการแก้ไขช่องโหว่

โดยสามารถแปลผลคะแนนได้ดังนี้

CVSS 3.1 Ratings

ความรุนแรงของช่องโหว่ระดับวิกฤต (Critical)

ช่องโหว่ที่ได้รับคะแนน CVSS ตั้งแต่ 9.0 -10.0 ถือว่าได้ว่าเป็นช่องโหว่ที่มีความรุนแรงระดับวิกฤต ต้องเร่งแก้ไขโดยด่วน มีความเสี่ยงสูงที่จะโดนโจมตีได้ง่าย และเสี่ยงต่อการถูกเข้าควบคุมระบบได้ทั้งหมด และยังไม่มีวิธีการแก้ไข

ความรุนแรงของช่องโหว่ระดับสูง (High)

ช่องโหว่ที่ได้รับคะแนน CVSS ตั้งแต่ 7.8 – 8.9 ถือว่าได้ว่าเป็นช่องโหว่ที่มีความรุนแรงระดับสูง ต้องเร่งแก้ไข มีความเสี่ยงสูงที่จะโดนโจมตีได้ง่าย และเสี่ยงต่อการถูกเข้าควบคุมระบบ แต่อาจจะมีปัจจัยอื่น ๆ ที่ทำให้คะแนนความรุนแรงน้อยกว่าระดับวิกฤต

ความรุนแรงของช่องโหว่ระดับปานกลาง (Medium)

ช่องโหว่ที่ได้รับคะแนน CVSS ตั้งแต่ 4.0 – 6.9 ถือว่าได้ว่าเป็นช่องโหว่ที่มีความรุนแรงระดับปานกลาง เป็นช่องโหว่ที่ต้องใช้เวลาในการเจาะระบบ อาจจะไม่สามารถเข้าถึงได้ทันที แต่ก็เป็นช่องโหว่ที่ต้องแก้ไขเพราะหากถูกโจมตีได้ ก็จะสร้างความเสียหายเช่นกัน

ความรุนแรงของช่องโหว่ระดับต่ำ (Low)

ช่องโหว่ที่ได้รับคะแนน CVSS ตั้งแต่ 0.1 – 3.9 ถือว่าได้ว่าเป็นช่องโหว่ที่มีความรุนแรงระดับต่ำ ช่องโหว่ระดับนี้ ผู้โจมตีอาจจะยังไม่สามารถโจมตี หรือใช้ประโยชน์จากช่องโหว่ได้ อย่างไรก็ตามหากพบช่องโหว่แล้วก็ควรสร้างความมั่นคงปลอดภัยให้ระบบคอมพิวเตอร์ เนื่องจากช่องโหว่ประเภทนี้อาจจะพัฒนาเป็นช่องโหว่ที่มีระดับความรุนแรงสูงขึ้นได้

ความรุนแรงของช่องโหว่แต่ละระดับอาจจะแตกต่างกันไป คะแนนเท่ากันแต่ความรุนแรงอาจจะไม่เหมือนกัน เนื่องจากมีหลายปัจจัยที่ถูกนำมาคำนวณก่อนจะถูกประกาศออกมาเป็นคะแนน CVSS

การคำนวนคะแนน CVSS

คะแนน CVSS เกิดจากการคำนวณปัจจัยหลายๆอย่าง โดยแบ่งออกเป็น Basic, Temporal และ Environmental ซึ่งทั้ง 3 ส่วนเป็นองค์ประกอบสำคัญที่ใช้ในการคำนวน

การคำนวนคะแนน CVSS

https://www.balbix.com/insights/understanding-cvss-scores/

  1. Basic Metric group

เป็นปัจจัยพื้นฐานที่จะแสดงถึงลักษณะของช่องโหว่ ไม่คิดรวมด้านการเปลี่ยนแปลงตามกาลเวลา การใช้ประโยชน์จากช่องโหว่ในโลกความเป็นจริง หรือสภาพแวดล้อมต่าง ๆ ที่องค์กรได้จัดทำไว้เพื่อป้องกันการโจมตี โดยจะประเมินเฉพาะลักษณะของช่องโหว่จากองค์ประกอบคะแนนย่อย 3 รายการ ได้แก่ ความสามารถในการใช้ประโยชน์ ขอบเขตและผลกระทบ

  1. 1 ความสามารถในการใช้ประโยชน์จากช่องโหว่ (Exploitability)

เป็นการประเมินระดับความรุนแรงที่สะท้อนถึงปัจจัยต่าง ๆ ที่ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ได้ โดยประเมินจาก 4 องค์ประกอบย่อยได้แก่ ปัจจัยด้านการโจมตี ความซับซ้อนในการโจมตี สิทธิ์ที่จำเป็น และการโต้ตอบของผู้ใช้

    • ปัจจัยด้านการโจมตี (Attack Vector)

คะแนนในส่วนนี้จะแตกต่างกันไปตามระดับการเข้าถึงที่จำเป็นเพื่อใช้ประโยชน์จากช่องโหว่ โดยคะแนนจะสูงขึ้นเมื่อการใช้ประโยชน์จากช่องโหว่ สามารถดำเนินการได้จากระยะไกล (เช่นภายนอกเครือข่ายของบริษัท) และคะแนนส่วนนี้จะต่ำลง หากมีการแสดงตัวตน เช่น การยืนยันตัวตนผ่านอุปกรณ์โดยตรง หรือการเข้าถึงศูนย์ข้อมูลส่วนตัวด้วย Local Network หรือเป็นการโจมตีที่ต้องเข้ามายังเครือข่ายภายในแล้วถึงจะดำเนินการได้

    • ปัจจัยด้านการความซับซ้อนในโจมตี (Attack Complexity)

คะแนนในส่วนนี้จะแตกต่างกันไปตามปัจจัยที่อยู่นอกเหนือการควบคุมของผู้โจมตีซึ่งจำเป็นต้องใช้ ในการโจมตีช่องโหว่ โดยคะแนนจะสูงขึ้นตามความพยายามในการโจมตี กล่าวคือหากผู้โจมตีต้องหาข้อมูล หรือองค์ประกอบอื่น ๆ เพื่อใช้ในการโจมตี เช่น การขโมยคีย์ลับที่ใช้ร่วมกันหรือการโจมตีที่ต้องมีคนกลาง คะแนนจะสูงกว่าการโจมตีที่ไม่ต้องใช้ความพยายามเพิ่มเติม

    • สิทธิ์ที่จำเป็น (Privileges Required)

คะแนนในส่วนนี้จะแตกต่างกันไปตามสิทธิ์ที่ผู้โจมตีจำเป็นต้องใช้โจมตีช่องโหว่ เช่น ช่องโหว่ที่ต้องใช้สิทธิ์ระดับผู้ดูแลระบบในการโจมตีจะมีคะแนนสูงกว่าช่องโหว่ที่ไม่ต้องมีการตรวจสอบสิทธิ์หรือเพิ่มสิทธิ์ในส่วนของผู้โจมตี

    • การตอบโต้ของผู้ใช้ (User Interaction)

คะแนนในส่วนนี้จะแตกต่างกันไปตามจำนวนผู้เข้าร่วมที่เต็มใจหรือไม่เจตนาแต่ถูกใช้เป็นเครื่องมือ เพื่อทำให้การโจมตีสำเร็จ คะแนนจะสูงขึ้นเมื่อผู้โจมตีสามารถทำงานได้โดยอัตโนมัติโดยไม่ต้องมีผู้ใช้คนอื่นเข้าร่วม

  1. 2 ขอบเขต (Scope)

เป็นการประเมินระดับความรุนแรงจากขอบเขตของการถูกโจมตีที่จะกระทบต่อส่วนอื่น ๆ ได้หรือไม่ นอกจากนั้นยังรวมถึงขอบเขตความสามารถในการเข้าถึงและใช้ประโยชน์จากระบบหลังจากโจมตีช่องโหว่เข้ามาได้อีกด้วย โดยคะแนนจะสูงขึ้นเมื่อเกิดผลกระทบที่ขยายความเสียหาย และกระทบต่อส่วนอื่น ๆ ในระบบ

  1. 3 ผลกระทบ (Impact)

เป็นการประเมินระดับความรุนแรงจากผลกระทบจะประเมินจากผลลัพธ์ที่แท้จริง หากผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ที่เป็นปัญหาได้สำเร็จ โดยมีองค์ประกอบในการประเมิน 3 รายการ ได้แก่ การรักษาความลับ ความสมบูรณ์และความพร้อมใช้งาน

    • การรักษาความลับ (Confidentiality)

คะแนนในส่วนนี้จะแตกต่างกันไปตามจำนวนข้อมูลที่ผู้โจมตีสามารถเข้าถึงได้ โดยคะแนนจะสูงขึ้นตามจำนวนข้อมูลทั้งหมดในระบบที่ถูกเข้าถึงและได้รับผลกระทบ

    • ความสมบูรณ์ (Integrity)

คะแนนในส่วนนี้จะแตกต่างกันไปตามความสามารถของผู้โจมตีในการแก้ไขหรือเปลี่ยนแปลงข้อมูลในระบบที่ได้รับผลกระทบ หากสามารถแก้ไขข้อมูลได้สมบูรณ์หรือเป็นผลอย่างรุนแรงคะแนนจะยิ่งสูงขึ้น

    • ความพร้อมใช้งาน (Availability)

คะแนนในส่วนนี้จะแตกต่างกันไปตามการสูญเสียความพร้อมใช้งานของระบบที่ถูกโจมตี โดย คะแนนจะสูงขึ้นหากระบบไม่สามารถเข้าถึงได้อีกต่อไปหรือผู้ใช้ที่ได้รับอนุญาตไม่สามารถใช้งานได้

  1. CVSS Temporal Metrics

เป็นการประเมินระดับความรุนแรงของช่องโหว่ที่เปลี่ยนแปลงไปตามกาลเวลา โดยจะวัดจากการถูกโจมตีช่องโหว่ในปัจจุบัน ความสามารถในการใช้ประโยชน์จากช่องโหว่ในปัจจุบัน ตลอดจนความพร้องในการแก้ไข เช่นแพตซ์ (Patch) เป็นต้น โดยจะประเมินช่องโหว่จากองค์ประกอบคะแนนย่อย 3 รายการ ได้แก่ Exploit Code Maturity, Remediation Level และ Report Confidence.

    • Exploit Code Maturity

คะแนนในส่วนนี้จะไม่ถูกให้ความสำคัญจนกว่าจะพบวิธีการโจมตี หรือวิธีการใช้ประโยชน์จากช่องโหว่ได้อย่างเสถียรและถูกใช้งานในวงกว้างขึ้น เมื่อถึงตอนนั้นคะแนนในส่วนนี้จะสูงขึ้น

    • ระดับการแก้ไข (Remediation Level)

คะแนนในส่วนนี้จะสูงในช่วงที่ยังไม่มีวิธีการแก้ไข เมื่อเวลาผ่านไปมีวิธีการแก้ไขปัญหาชั่วคราว ตลอดจนการออกแพตซ์อย่างเป็นทางการ คะแนนในส่วนนี้จะลดลงตามลำดับ

    • รายงานความเชื่อมั่น (Report Confidence)

ในส่วนนี้จะวัดระดับความเชื่อมั่นในการมีอยู่ของช่องโหว่ และรายงานรายละเอียดเกี่ยวกับช่องโหว่ ซึ่งอีกนัยถึงก็สามารถสะท้อนให้เห็นถึงความรู้ทางด้านเทคนิกของผู้โจมตีได้อีกด้วย

  1. CVSS Environmental Metrics

ในส่วนนี้จะเป็นการประเมินสภาพแวดล้อมของแต่ละองค์กรที่ได้มีการกำหนดนโยบายความปลอดภัยภายในองค์กรไว้ โดยคะแนน CVSS พื้นฐานจะสามารถเปลี่ยนแปลงเพิ่มขึ้น หรือลดลงแตกต่างกันไปตามสภาพแวดล้อมของแต่ละองค์กร มีปัจจัยที่ประเมินเพิ่มเติมดังนี้

    • Security Requirements

ในส่วนนี้องค์กรจะต้องประเมินถึงผลกระทบจากช่องโหว่ โดยคะแนนในส่วนนี้จะสูงขึ้นเมื่อมีแนวโน้มส่งผลร้ายแรงต่อการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของระบบหากโดนโจมตี

    • Modified Base Metrics

ในส่วนนี้องค์กรสามารถกำหนดนโยบายด้านความปลอดภัยต่าง ๆ เพื่อป้องกัน หรือบรรเทาผลกระทบที่อาจเกิดขึ้นจากช่องโหว่ โดยสามารถเลือกปรับการตั้งค่า กำหนดนโยบายด้านความปลอดภัยได้จากลักษณะพื้นฐานของช่องโหว่ เช่นช่องโหว่สามารถถูกโจมตีได้จากระยะไกล องค์กรสามารถกำหนดนโยบายการเชื่อมต่อในการเข้าถึงระบบจากระยะไกล เช่น มีการยืนยันตัวตนแบบหลายตัวแปร (Multifactor Authentication) หรือเข้าใช้งานผ่านการ VPN เป็นต้น ก็จะสามารถช่วยลดความเสี่ยง หรือบรรเทาความรุนแรงจากช่องโหว่นั้นได้

คะแนน CVSS ที่ประกาศต่อสาธารณะเป็นเพียงคะแนนพื้นฐานที่แสดงให้เห็นถึงความรุนแรงของช่องโหว่เท่านั้น แต่ไม่ได้สะท้อนถึงระดับความเสี่ยง ความรุนแรง ในสภาพแวดล้อมของระบบภายในองค์กรของคุณ เปรียบเสมือนการกล่าวว่า ไวรัสโควิด 19 อันตรายนะ แต่เมื่อติดเชื้อในร่างกายของคนที่สมบูรณ์แข็งแรง ย่อมส่งผลกระทบน้อยกว่าคนที่มีโรคแทรกซ้อน ดังนั้นเพื่อให้การนำไปใช้มีประสิทธิภาพสูงสุดทีมรักษาความปลอดภัยต้องรู้จักวิธีการป้องกัน หรือจัดการกับความเสี่ยงเหล่านี้

ที่มาอ้างอิง

https://www.balbix.com/insights/understanding-cvss-scores/

https://www.first.org/cvss/specification-document

บริการ Security