คะแนน CVSS คืออะไร?
เมื่อมีการประกาศช่องโหว่ด้านความปลอดภัยในระบบคอมพิวเตอร์ออกสู่สาธารณะ เรามักจะเห็นตัวเลขคะแนน CVSS พ่วงต่อท้ายมาด้วยเสมอ ซึ่งคะแนน CVSS นั้นเป็นส่วนสำคัญที่จะทำให้ทราบถึงความรุนแรงของช่องโหว่ คะแนนที่ว่านี้เป็นอย่างไร ช่องโหว่ที่มีความเสี่ยงสูงเกิดจากปัจจัยอะไรบ้าง
Common Vulnerability Scoring System หรือ คะแนน CVSS คือ มาตรฐานการชี้วัดความรุนแรงของช่องโหว่ด้านความปลอดภัยของระบบคอมพิวเตอร์ โดยคะแนนชี้วัดความรุนแรงตั้งแต่ 0-10 คะแนนเพื่อเป็นจุดเปรียบเทียบระหว่างช่องโหว่และจัดลำดับความสำคัญในการแก้ไขช่องโหว่
โดยสามารถแปลผลคะแนนได้ดังนี้
ความรุนแรงของช่องโหว่ระดับวิกฤต (Critical)
ช่องโหว่ที่ได้รับคะแนน CVSS ตั้งแต่ 9.0 -10.0 ถือว่าได้ว่าเป็นช่องโหว่ที่มีความรุนแรงระดับวิกฤต ต้องเร่งแก้ไขโดยด่วน มีความเสี่ยงสูงที่จะโดนโจมตีได้ง่าย และเสี่ยงต่อการถูกเข้าควบคุมระบบได้ทั้งหมด และยังไม่มีวิธีการแก้ไข
ความรุนแรงของช่องโหว่ระดับสูง (High)
ช่องโหว่ที่ได้รับคะแนน CVSS ตั้งแต่ 7.8 – 8.9 ถือว่าได้ว่าเป็นช่องโหว่ที่มีความรุนแรงระดับสูง ต้องเร่งแก้ไข มีความเสี่ยงสูงที่จะโดนโจมตีได้ง่าย และเสี่ยงต่อการถูกเข้าควบคุมระบบ แต่อาจจะมีปัจจัยอื่น ๆ ที่ทำให้คะแนนความรุนแรงน้อยกว่าระดับวิกฤต
ความรุนแรงของช่องโหว่ระดับปานกลาง (Medium)
ช่องโหว่ที่ได้รับคะแนน CVSS ตั้งแต่ 4.0 – 6.9 ถือว่าได้ว่าเป็นช่องโหว่ที่มีความรุนแรงระดับปานกลาง เป็นช่องโหว่ที่ต้องใช้เวลาในการเจาะระบบ อาจจะไม่สามารถเข้าถึงได้ทันที แต่ก็เป็นช่องโหว่ที่ต้องแก้ไขเพราะหากถูกโจมตีได้ ก็จะสร้างความเสียหายเช่นกัน
ความรุนแรงของช่องโหว่ระดับต่ำ (Low)
ช่องโหว่ที่ได้รับคะแนน CVSS ตั้งแต่ 0.1 – 3.9 ถือว่าได้ว่าเป็นช่องโหว่ที่มีความรุนแรงระดับต่ำ ช่องโหว่ระดับนี้ ผู้โจมตีอาจจะยังไม่สามารถโจมตี หรือใช้ประโยชน์จากช่องโหว่ได้ อย่างไรก็ตามหากพบช่องโหว่แล้วก็ควรสร้างความมั่นคงปลอดภัยให้ระบบคอมพิวเตอร์ เนื่องจากช่องโหว่ประเภทนี้อาจจะพัฒนาเป็นช่องโหว่ที่มีระดับความรุนแรงสูงขึ้นได้
ความรุนแรงของช่องโหว่แต่ละระดับอาจจะแตกต่างกันไป คะแนนเท่ากันแต่ความรุนแรงอาจจะไม่เหมือนกัน เนื่องจากมีหลายปัจจัยที่ถูกนำมาคำนวณก่อนจะถูกประกาศออกมาเป็นคะแนน CVSS
การคำนวนคะแนน CVSS
คะแนน CVSS เกิดจากการคำนวณปัจจัยหลายๆอย่าง โดยแบ่งออกเป็น Basic, Temporal และ Environmental ซึ่งทั้ง 3 ส่วนเป็นองค์ประกอบสำคัญที่ใช้ในการคำนวน
https://www.balbix.com/insights/understanding-cvss-scores/
- Basic Metric group
เป็นปัจจัยพื้นฐานที่จะแสดงถึงลักษณะของช่องโหว่ ไม่คิดรวมด้านการเปลี่ยนแปลงตามกาลเวลา การใช้ประโยชน์จากช่องโหว่ในโลกความเป็นจริง หรือสภาพแวดล้อมต่าง ๆ ที่องค์กรได้จัดทำไว้เพื่อป้องกันการโจมตี โดยจะประเมินเฉพาะลักษณะของช่องโหว่จากองค์ประกอบคะแนนย่อย 3 รายการ ได้แก่ ความสามารถในการใช้ประโยชน์ ขอบเขตและผลกระทบ
- 1 ความสามารถในการใช้ประโยชน์จากช่องโหว่ (Exploitability)
เป็นการประเมินระดับความรุนแรงที่สะท้อนถึงปัจจัยต่าง ๆ ที่ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ได้ โดยประเมินจาก 4 องค์ประกอบย่อยได้แก่ ปัจจัยด้านการโจมตี ความซับซ้อนในการโจมตี สิทธิ์ที่จำเป็น และการโต้ตอบของผู้ใช้
-
- ปัจจัยด้านการโจมตี (Attack Vector)
คะแนนในส่วนนี้จะแตกต่างกันไปตามระดับการเข้าถึงที่จำเป็นเพื่อใช้ประโยชน์จากช่องโหว่ โดยคะแนนจะสูงขึ้นเมื่อการใช้ประโยชน์จากช่องโหว่ สามารถดำเนินการได้จากระยะไกล (เช่นภายนอกเครือข่ายของบริษัท) และคะแนนส่วนนี้จะต่ำลง หากมีการแสดงตัวตน เช่น การยืนยันตัวตนผ่านอุปกรณ์โดยตรง หรือการเข้าถึงศูนย์ข้อมูลส่วนตัวด้วย Local Network หรือเป็นการโจมตีที่ต้องเข้ามายังเครือข่ายภายในแล้วถึงจะดำเนินการได้
-
- ปัจจัยด้านการความซับซ้อนในโจมตี (Attack Complexity)
คะแนนในส่วนนี้จะแตกต่างกันไปตามปัจจัยที่อยู่นอกเหนือการควบคุมของผู้โจมตีซึ่งจำเป็นต้องใช้ ในการโจมตีช่องโหว่ โดยคะแนนจะสูงขึ้นตามความพยายามในการโจมตี กล่าวคือหากผู้โจมตีต้องหาข้อมูล หรือองค์ประกอบอื่น ๆ เพื่อใช้ในการโจมตี เช่น การขโมยคีย์ลับที่ใช้ร่วมกันหรือการโจมตีที่ต้องมีคนกลาง คะแนนจะสูงกว่าการโจมตีที่ไม่ต้องใช้ความพยายามเพิ่มเติม
-
- สิทธิ์ที่จำเป็น (Privileges Required)
คะแนนในส่วนนี้จะแตกต่างกันไปตามสิทธิ์ที่ผู้โจมตีจำเป็นต้องใช้โจมตีช่องโหว่ เช่น ช่องโหว่ที่ต้องใช้สิทธิ์ระดับผู้ดูแลระบบในการโจมตีจะมีคะแนนสูงกว่าช่องโหว่ที่ไม่ต้องมีการตรวจสอบสิทธิ์หรือเพิ่มสิทธิ์ในส่วนของผู้โจมตี
-
- การตอบโต้ของผู้ใช้ (User Interaction)
คะแนนในส่วนนี้จะแตกต่างกันไปตามจำนวนผู้เข้าร่วมที่เต็มใจหรือไม่เจตนาแต่ถูกใช้เป็นเครื่องมือ เพื่อทำให้การโจมตีสำเร็จ คะแนนจะสูงขึ้นเมื่อผู้โจมตีสามารถทำงานได้โดยอัตโนมัติโดยไม่ต้องมีผู้ใช้คนอื่นเข้าร่วม
- 2 ขอบเขต (Scope)
เป็นการประเมินระดับความรุนแรงจากขอบเขตของการถูกโจมตีที่จะกระทบต่อส่วนอื่น ๆ ได้หรือไม่ นอกจากนั้นยังรวมถึงขอบเขตความสามารถในการเข้าถึงและใช้ประโยชน์จากระบบหลังจากโจมตีช่องโหว่เข้ามาได้อีกด้วย โดยคะแนนจะสูงขึ้นเมื่อเกิดผลกระทบที่ขยายความเสียหาย และกระทบต่อส่วนอื่น ๆ ในระบบ
- 3 ผลกระทบ (Impact)
เป็นการประเมินระดับความรุนแรงจากผลกระทบจะประเมินจากผลลัพธ์ที่แท้จริง หากผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ที่เป็นปัญหาได้สำเร็จ โดยมีองค์ประกอบในการประเมิน 3 รายการ ได้แก่ การรักษาความลับ ความสมบูรณ์และความพร้อมใช้งาน
-
- การรักษาความลับ (Confidentiality)
คะแนนในส่วนนี้จะแตกต่างกันไปตามจำนวนข้อมูลที่ผู้โจมตีสามารถเข้าถึงได้ โดยคะแนนจะสูงขึ้นตามจำนวนข้อมูลทั้งหมดในระบบที่ถูกเข้าถึงและได้รับผลกระทบ
-
- ความสมบูรณ์ (Integrity)
คะแนนในส่วนนี้จะแตกต่างกันไปตามความสามารถของผู้โจมตีในการแก้ไขหรือเปลี่ยนแปลงข้อมูลในระบบที่ได้รับผลกระทบ หากสามารถแก้ไขข้อมูลได้สมบูรณ์หรือเป็นผลอย่างรุนแรงคะแนนจะยิ่งสูงขึ้น
-
- ความพร้อมใช้งาน (Availability)
คะแนนในส่วนนี้จะแตกต่างกันไปตามการสูญเสียความพร้อมใช้งานของระบบที่ถูกโจมตี โดย คะแนนจะสูงขึ้นหากระบบไม่สามารถเข้าถึงได้อีกต่อไปหรือผู้ใช้ที่ได้รับอนุญาตไม่สามารถใช้งานได้
- CVSS Temporal Metrics
เป็นการประเมินระดับความรุนแรงของช่องโหว่ที่เปลี่ยนแปลงไปตามกาลเวลา โดยจะวัดจากการถูกโจมตีช่องโหว่ในปัจจุบัน ความสามารถในการใช้ประโยชน์จากช่องโหว่ในปัจจุบัน ตลอดจนความพร้องในการแก้ไข เช่นแพตซ์ (Patch) เป็นต้น โดยจะประเมินช่องโหว่จากองค์ประกอบคะแนนย่อย 3 รายการ ได้แก่ Exploit Code Maturity, Remediation Level และ Report Confidence.
-
- Exploit Code Maturity
คะแนนในส่วนนี้จะไม่ถูกให้ความสำคัญจนกว่าจะพบวิธีการโจมตี หรือวิธีการใช้ประโยชน์จากช่องโหว่ได้อย่างเสถียรและถูกใช้งานในวงกว้างขึ้น เมื่อถึงตอนนั้นคะแนนในส่วนนี้จะสูงขึ้น
-
- ระดับการแก้ไข (Remediation Level)
คะแนนในส่วนนี้จะสูงในช่วงที่ยังไม่มีวิธีการแก้ไข เมื่อเวลาผ่านไปมีวิธีการแก้ไขปัญหาชั่วคราว ตลอดจนการออกแพตซ์อย่างเป็นทางการ คะแนนในส่วนนี้จะลดลงตามลำดับ
-
- รายงานความเชื่อมั่น (Report Confidence)
ในส่วนนี้จะวัดระดับความเชื่อมั่นในการมีอยู่ของช่องโหว่ และรายงานรายละเอียดเกี่ยวกับช่องโหว่ ซึ่งอีกนัยถึงก็สามารถสะท้อนให้เห็นถึงความรู้ทางด้านเทคนิกของผู้โจมตีได้อีกด้วย
- CVSS Environmental Metrics
ในส่วนนี้จะเป็นการประเมินสภาพแวดล้อมของแต่ละองค์กรที่ได้มีการกำหนดนโยบายความปลอดภัยภายในองค์กรไว้ โดยคะแนน CVSS พื้นฐานจะสามารถเปลี่ยนแปลงเพิ่มขึ้น หรือลดลงแตกต่างกันไปตามสภาพแวดล้อมของแต่ละองค์กร มีปัจจัยที่ประเมินเพิ่มเติมดังนี้
-
- Security Requirements
ในส่วนนี้องค์กรจะต้องประเมินถึงผลกระทบจากช่องโหว่ โดยคะแนนในส่วนนี้จะสูงขึ้นเมื่อมีแนวโน้มส่งผลร้ายแรงต่อการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของระบบหากโดนโจมตี
-
- Modified Base Metrics
ในส่วนนี้องค์กรสามารถกำหนดนโยบายด้านความปลอดภัยต่าง ๆ เพื่อป้องกัน หรือบรรเทาผลกระทบที่อาจเกิดขึ้นจากช่องโหว่ โดยสามารถเลือกปรับการตั้งค่า กำหนดนโยบายด้านความปลอดภัยได้จากลักษณะพื้นฐานของช่องโหว่ เช่นช่องโหว่สามารถถูกโจมตีได้จากระยะไกล องค์กรสามารถกำหนดนโยบายการเชื่อมต่อในการเข้าถึงระบบจากระยะไกล เช่น มีการยืนยันตัวตนแบบหลายตัวแปร (Multifactor Authentication) หรือเข้าใช้งานผ่านการ VPN เป็นต้น ก็จะสามารถช่วยลดความเสี่ยง หรือบรรเทาความรุนแรงจากช่องโหว่นั้นได้
คะแนน CVSS ที่ประกาศต่อสาธารณะเป็นเพียงคะแนนพื้นฐานที่แสดงให้เห็นถึงความรุนแรงของช่องโหว่เท่านั้น แต่ไม่ได้สะท้อนถึงระดับความเสี่ยง ความรุนแรง ในสภาพแวดล้อมของระบบภายในองค์กรของคุณ เปรียบเสมือนการกล่าวว่า ไวรัสโควิด 19 อันตรายนะ แต่เมื่อติดเชื้อในร่างกายของคนที่สมบูรณ์แข็งแรง ย่อมส่งผลกระทบน้อยกว่าคนที่มีโรคแทรกซ้อน ดังนั้นเพื่อให้การนำไปใช้มีประสิทธิภาพสูงสุดทีมรักษาความปลอดภัยต้องรู้จักวิธีการป้องกัน หรือจัดการกับความเสี่ยงเหล่านี้
ที่มาอ้างอิง
https://www.balbix.com/insights/understanding-cvss-scores/
https://www.first.org/cvss/specification-document
