EUVD คืออะไร? สหภาพยุโรปเปิดตัวฐานข้อมูลช่องโหว่ไซเบอร์อย่างเป็นทางการ

EUเปิดตัวฐานข้อมูล CVE ของตนเองอย่างเป็นทางการ ฐานข้อมูลช่องโหว่แห่งสหภาพยุโรป (EUVD)

วันนี้ หน่วยงานความมั่นคงปลอดภัยไซเบอร์ของยุโรป  สำนักงานสหภาพยุโรปด้านความมั่นคงปลอดภัยไซเบอร์ (ENISA)  ได้ประกาศเปิดตัวโครงการริเริ่มฐานข้อมูลช่องโหว่ใหม่ นั่นคือ ฐานข้อมูลช่องโหว่แห่งสหภาพยุโรป (EUVD) อย่างเป็นทางการ ฐานข้อมูลช่องโหว่ที่รอคอยกันมานานนี้ได้รับการพัฒนาขึ้นภายหลังการประกาศใช้ข้อสั่งการ NIS2 (NIS2 Directive) ในเดือนธันวาคม ปี 2022

แม้ว่าฐานข้อมูลช่องโหว่แห่งสหภาพยุโรป (EUVD) จะอยู่ระหว่างการพัฒนามาสักระยะหนึ่งแล้ว แต่ก็ได้เข้าสู่ช่วงทดสอบเบต้า (beta testing) ในกลางเดือนเมษายน ปี 2025 การเปิดตัวครั้งนี้เกิดขึ้นในช่วงเวลาแห่งความไม่แน่นอนเกี่ยวกับการดำเนินงานโครงการ CVE ของ MITRE ซึ่งเพิ่งได้รับการขยายเวลาดำเนินการต่อไปอีกเพียง 11 เดือนอย่างฉิวเฉียด ทำให้เกิดคำถามเกี่ยวกับอนาคตในระยะยาวของโครงการนี้

ในด้านการทำงาน คาดว่า EUVD จะมีลักษณะคล้ายคลึงกับฐานข้อมูลช่องโหว่แห่งชาติของสหรัฐอเมริกา (NVD) ซึ่งเป็นส่วนเสริมข้อมูล CVE แต่ก็ประสบปัญหาในการดำเนินการให้ทันกับปริมาณช่องโหว่ที่รายงานเข้ามาซึ่งเพิ่มขึ้นอย่างรวดเร็ว

ฐานข้อมูลนี้จะให้ข้อมูลที่รวบรวมไว้ เชื่อถือได้ และนำไปปฏิบัติได้ เช่น มาตรการลดผลกระทบ และสถานะการถูกใช้ประโยชน์จากช่องโหว่ความมั่นคงปลอดภัยไซเบอร์ที่ส่งผลกระทบต่อผลิตภัณฑ์และบริการเทคโนโลยีสารสนเทศและการสื่อสาร (ICT)

Henna Virkkunen รองประธานบริหารคณะกรรมาธิการยุโรปด้านอธิปไตยทางเทคโนโลยี ความมั่นคง และประชาธิปไตย กล่าวว่า: “ฐานข้อมูลช่องโหว่ของสหภาพยุโรปถือเป็นก้าวสำคัญในการเสริมสร้างความมั่นคงและความยืดหยุ่นของยุโรป ด้วยการรวบรวมข้อมูลช่องโหว่ที่เกี่ยวข้องกับตลาดยุโรป เรากำลังยกระดับมาตรฐานความมั่นคงปลอดภัยไซเบอร์ ทำให้ผู้มีส่วนได้ส่วนเสียทั้งภาครัฐและเอกชนสามารถปกป้องพื้นที่ดิจิทัลที่เราใช้ร่วมกันได้อย่างมีประสิทธิภาพและมีอิสระมากขึ้น”

Juhan Lepassaar ผู้อำนวยการบริหารของ ENISA กล่าวว่า: “ENISA บรรลุหมุดหมายสำคัญด้วยการดำเนินการตามข้อกำหนดด้านฐานข้อมูลช่องโหว่จากข้อสั่งการ NIS2 ขณะนี้ สหภาพยุโรปมีเครื่องมือที่จำเป็นซึ่งออกแบบมาเพื่อปรับปรุงการจัดการช่องโหว่และความเสี่ยงที่เกี่ยวข้องได้อย่างมาก ฐานข้อมูลนี้รับประกันความโปร่งใสแก่ผู้ใช้ผลิตภัณฑ์และบริการ ICT ที่ได้รับผลกระทบทั้งหมด และจะเป็นแหล่งข้อมูลที่มีประสิทธิภาพในการค้นหามาตรการลดผลกระทบ”

ทำไมต้องมีฐานข้อมูลช่องโหว่ของยุโรป?
วัตถุประสงค์ของ EUVD คือเพื่อให้แน่ใจว่ามีการเชื่อมโยงข้อมูลที่เปิดเผยต่อสาธารณะจากหลายแหล่งในระดับสูง เช่น จากทีม CSIRT, ผู้จำหน่าย รวมถึงฐานข้อมูลที่มีอยู่เดิม เพื่อให้บรรลุวัตถุประสงค์นี้ แพลตฟอร์มดังกล่าวจึงสร้างขึ้นบนแนวทางแบบองค์รวม ในฐานะฐานข้อมูลที่เชื่อมโยงกัน EUVD ช่วยให้การวิเคราะห์ดีขึ้นและอำนวยความสะดวกในการเชื่อมโยงความสัมพันธ์ของช่องโหว่ต่างๆ โดยการสนับสนุนซอฟต์แวร์โอเพนซอร์ส Vulnerability-Lookup ซึ่งจะช่วยเพิ่มประสิทธิภาพการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์

ดังนั้น EUVD จึงเป็นแหล่งข้อมูลที่น่าเชื่อถือ โปร่งใสกว่า และกว้างขวางยิ่งขึ้น ทั้งยังช่วยปรับปรุงการตระหนักรู้ในสถานการณ์ (situational awareness) พร้อมทั้งจำกัดการเผชิญหน้ากับภัยคุกคาม

EUVD เหมาะสำหรับใคร?
ฐานข้อมูลนี้เปิดให้สาธารณชนทั่วไปเข้าถึงเพื่อตรวจสอบข้อมูลที่เกี่ยวข้องกับช่องโหว่ที่ส่งผลกระทบต่อผลิตภัณฑ์และบริการด้านไอที นอกจากนี้ยังมุ่งเป้าไปที่ซัพพลายเออร์ของระบบเครือข่ายและสารสนเทศ และหน่วยงานที่ใช้บริการของพวกเขา ข้อมูลที่บันทึกไว้ใน EUVD ยังมีไว้สำหรับหน่วยงานระดับชาติที่มีอำนาจ เช่น เครือข่าย CSIRT ของสหภาพยุโรป ตลอดจนบริษัทเอกชนและนักวิจัย

มันทำงานอย่างไร?
ข้อมูลที่รวบรวมไว้ในฐานข้อมูลจะแสดงผ่านแดชบอร์ด EUVD นำเสนอแดชบอร์ด 3 มุมมอง ได้แก่ สำหรับช่องโหว่ร้ายแรง สำหรับช่องโหว่ที่ถูกใช้ประโยชน์แล้ว และสำหรับช่องโหว่ที่ประสานงานโดยสหภาพยุโรป รายการช่องโหว่ที่ประสานงานโดยสหภาพยุโรป (EU Coordinated Vulnerabilities) จะแสดงรายการช่องโหว่ที่ประสานงานโดยทีม CSIRT ของยุโรป และรวมถึงสมาชิกของเครือข่าย CSIRT ของสหภาพยุโรป

ข้อมูลช่องโหว่ที่รวบรวมและอ้างอิงมาจากฐานข้อมูลโอเพนซอร์ส มีการเพิ่มข้อมูลเพิ่มเติมผ่านคำแนะนำและประกาศแจ้งเตือนที่ออกโดยทีม CSIRT ระดับชาติ แนวทางการลดผลกระทบและการแพตช์ที่เผยแพร่โดยผู้จำหน่าย พร้อมด้วยเครื่องหมายระบุช่องโหว่ที่ถูกใช้ประโยชน์แล้ว ระเบียนข้อมูลของ EUVD อาจประกอบด้วย

• คำอธิบายของช่องโหว่

• ผลิตภัณฑ์ ICT หรือบริการ ICT ที่ได้รับผลกระทบ และ/หรือเวอร์ชันที่ได้รับผลกระทบ, ระดับความรุนแรงของช่องโหว่ และวิธีการที่อาจถูกใช้ประโยชน์

• ข้อมูลเกี่ยวกับแพตช์ที่เกี่ยวข้องที่มีอยู่ หรือคำแนะนำจากหน่วยงานที่มีอำนาจ รวมถึงทีม CSIRT ซึ่งมุ่งเป้าไปที่ผู้ใช้เกี่ยวกับวิธีการลดความเสี่ยง

บทบาทของ ENISA ในระบบนิเวศของช่องโหว่
เพื่อให้เป็นไปตามข้อกำหนดของข้อสั่งการ NIS2 นั้น ENISA ได้ริเริ่มความร่วมมือกับองค์กรต่างๆ ทั้งในสหภาพยุโรปและระดับสากล รวมถึงโครงการ CVE ของ MITRE ขณะนี้ ENISA กำลังติดต่อกับ MITRE เพื่อทำความเข้าใจเกี่ยวกับผลกระทบและขั้นตอนต่อไปหลังจากการประกาศเรื่องเงินทุนสนับสนุนโครงการ Common Vulnerabilities and Exposures (CVE) ข้อมูล CVE, ข้อมูลที่ผู้จำหน่าย ICT ให้มาผ่านการเปิดเผยข้อมูลช่องโหว่ผ่านคำแนะนำ และข้อมูลที่เกี่ยวข้อง เช่น บัญชีรายการช่องโหว่ที่ถูกใช้ประโยชน์แล้ว (Known Exploited Vulnerability Catalogue) ของ CISA จะถูกโอนเข้าสู่ EUVD โดยอัตโนมัติ สิ่งนี้จะสำเร็จได้ด้วยการสนับสนุนจากประเทศสมาชิกที่ได้กำหนดนโยบายการเปิดเผยช่องโหว่อย่างมีการประสานงาน (Coordinated Vulnerability Disclosure - CVD) ในระดับชาติ และได้กำหนดให้หนึ่งในทีม CSIRT ของตนเป็นผู้ประสานงาน ซึ่งท้ายที่สุดจะทำให้ EUVD เป็นแหล่งข้อมูลที่น่าเชื่อถือสำหรับการเพิ่มการตระหนักรู้ในสถานการณ์ภายในสหภาพยุโรป

ในฐานะผู้มีอำนาจในการกำหนดหมายเลข CVE (CVE Numbering Authority - CNA) นั้น ENISA สามารถลงทะเบียนช่องโหว่และสนับสนุนการเปิดเผยช่องโหว่ได้ตั้งแต่เดือนมกราคม 2024 โดยเกี่ยวข้องกับ

• ช่องโหว่ในผลิตภัณฑ์ไอทีที่ทีม CSIRT ของสหภาพยุโรปค้นพบด้วยตนเอง และ

• ช่องโหว่ที่รายงานไปยังทีม CSIRT ของสหภาพยุโรปเพื่อการเปิดเผยอย่างมีการประสานงาน ตราบใดที่ช่องโหว่เหล่านั้นไม่ได้อยู่ในขอบเขตความรับผิดชอบของผู้มีอำนาจในการกำหนดหมายเลข CVE รายอื่น

ความแตกต่างระหว่าง EUVD และแพลตฟอร์มการรายงานแบบรวมศูนย์ของ CRA
การแจ้งเตือนช่องโหว่ที่ถูกใช้ประโยชน์อย่างจริงจัง (actively exploited vulnerabilities) จะกลายเป็นข้อบังคับสำหรับผู้ผลิตภายในเดือนกันยายน 2026 กระบวนการแจ้งเตือนนี้จะใช้กับช่องโหว่ที่ส่งผลกระทบต่อผลิตภัณฑ์ฮาร์ดแวร์และซอฟต์แวร์ที่มีส่วนประกอบดิจิทัล แพลตฟอร์มการรายงานแบบรวมศูนย์ (Single Reporting Platform - SRP) ที่กำหนดไว้ในพระราชบัญญัติความยืดหยุ่นทางไซเบอร์ (Cyber Resilience Act - CRA) จะเป็นเครื่องมือที่ใช้สำหรับวัตถุประสงค์ดังกล่าว สิ่งสำคัญคือต้องเน้นว่า SRP นั้นแตกต่างจาก EUVD ที่จัดตั้งขึ้นโดยข้อสั่งการ NIS2

ข้อมูลบริบท

การเปิดเผยช่องโหว่อย่างมีการประสานงาน (Coordinated Vulnerability Disclosure - CVD)

CVD สามารถอธิบายได้ว่าเป็นรูปแบบการเปิดเผยช่องโหว่ที่พยายามจำกัดภัยคุกคามจากการใช้ประโยชน์จากช่องโหว่ โดยทำให้แน่ใจว่าช่องโหว่จะถูกเปิดเผยต่อสาธารณะหลังจากที่ฝ่ายที่รับผิดชอบได้รับเวลาที่เพียงพอในการพัฒนาการแก้ไข, แพตช์ หรือจัดหามาตรการลดผลกระทบ

โครงการ Common Vulnerabilities and Exposures (CVE)

ภารกิจของโครงการ CVE คือการระบุ, กำหนด และจัดหมวดหมู่ช่องโหว่ความมั่นคงปลอดภัยไซเบอร์ที่เปิดเผยต่อสาธารณะ จะมี CVE Record หนึ่งรายการสำหรับแต่ละช่องโหว่ในแคตตาล็อก ช่องโหว่ต่างๆ จะถูกค้นพบ จากนั้นจึงได้รับการกำหนดหมายเลขและเผยแพร่โดยองค์กรต่างๆ ทั่วโลกที่เป็นพันธมิตรกับโครงการ CVE พันธมิตรจะเผยแพร่ CVE Records เพื่อสื่อสารคำอธิบายช่องโหว่ที่สอดคล้องกัน ผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยไซเบอร์ใช้ CVE Records เพื่อให้แน่ใจว่าพวกเขากำลังพูดถึงปัญหาเดียวกัน และเพื่อประสานงานความพยายามในการจัดลำดับความสำคัญและแก้ไขช่องโหว่

ผู้มีอำนาจในการกำหนดหมายเลข CVE (CVE Numbering Authorities - CNAs)

CNAs คือองค์กรที่รับผิดชอบในการกำหนดหมายเลข CVE ID ให้กับช่องโหว่อย่างสม่ำเสมอ และสำหรับการสร้างและเผยแพร่ข้อมูลเกี่ยวกับช่องโหว่ใน CVE Record ที่เกี่ยวข้อง CNA แต่ละแห่งมีขอบเขตความรับผิดชอบเฉพาะสำหรับการระบุและเผยแพร่ช่องโหว่ ปัจจุบัน ENISA ได้รับอนุญาตให้กำหนดตัวระบุ CVE (CVE IDs) และเผยแพร่ CVE Records สำหรับช่องโหว่ที่ค้นพบโดยหรือรายงานไปยังทีม CSIRT ของสหภาพยุโรป ซึ่งสอดคล้องกับบทบาทผู้ประสานงานที่กำหนดไว้

กรอบการทำงานสำหรับคำแนะนำด้านความปลอดภัยทั่วไป (Common Security Advisory Framework - CSAF)

CSAF เป็นมาตรฐานสำหรับคำแนะนำด้านความปลอดภัยที่เครื่องสามารถอ่านได้ รูปแบบที่เป็นมาตรฐานสำหรับการนำเข้าข้อมูลคำแนะนำเกี่ยวกับช่องโหว่ดังกล่าวนี้ช่วยลดความซับซ้อนของกระบวนการคัดแยกและแก้ไขสำหรับเจ้าของสินทรัพย์ โดยการเผยแพร่คำแนะนำด้านความปลอดภัยโดยใช้ CSAF ผู้จำหน่ายจะลดเวลาที่องค์กรต่างๆ ต้องใช้ในการทำความเข้าใจผลกระทบต่อองค์กรและขับเคลื่อนการแก้ไขอย่างทันท่วงที

ที่มา https://www.linkedin.com/pulse/eu-officially-launches-its-own-cve-database-european-wqnae/

สอบถามหรือปรึกษาเพิ่มเติมได้ที่
💬Line: @monsteronline
☎️Tel: 02-026-6664
📩Email: sales@mon.co.th