ช่องโหว่ (ความปลอดภัยของคอมพิวเตอร์)

Q: ข้อมูลสำคัญเกี่ยวกับ ช่องโหว่ (ความปลอดภัยของคอมพิวเตอร์)

ในด้าน ความปลอดภัยทางคอมพิวเตอร์ ช่อง โหว่ หมายถึง ข้อบกพร่องหรือจุดอ่อนในการออกแบบ การใช้งาน หรือการจัดการระบบ ซึ่งผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์เพื่อบุกรุกความปลอดภัยของระบบได้

ในด้านความปลอดภัยทางคอมพิวเตอร์ช่องโหว่หมายถึง ข้อบกพร่องหรือจุดอ่อนในการออกแบบ การใช้งาน หรือการจัดการระบบ ซึ่งผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์เพื่อบุกรุกความปลอดภัยของระบบได้

ถึงแม้ผู้ดูแลระบบจะพยายามอย่างเต็มที่เพื่อให้ทุกอย่างถูกต้องสมบูรณ์ แต่แทบทุกฮาร์ดแวร์และซอฟต์แวร์ก็ยังมีข้อบกพร่องที่ทำให้ระบบทำงานไม่เป็นไปตามที่คาดหวัง หากข้อบกพร่องนั้นอาจทำให้ผู้โจมตีสามารถเข้าถึงความลับ ความสมบูรณ์หรือความพร้อมใช้งานของทรัพยากรระบบได้ ก็ถือว่าเป็นช่องโหว่ การ พัฒนาซอฟต์แวร์ ที่ไม่ปลอดภัย รวมถึงปัจจัยด้านการออกแบบ เช่น ความซับซ้อน สามารถเพิ่มความเสี่ยงของช่องโหว่ได้

การจัดการช่องโหว่ประกอบด้วยการระบุระบบและจัดลำดับความสำคัญของระบบที่สำคัญที่สุด การสแกนหาช่องโหว่ และการดำเนินการเพื่อรักษาความปลอดภัยของระบบ โดยทั่วไปแล้ว การจัดการช่องโหว่เป็นการผสมผสานระหว่างการแก้ไข การลดผลกระทบ และการยอมรับ

ช่องโหว่สามารถให้คะแนนความรุนแรงตามระบบการให้คะแนนช่องโหว่ทั่วไป (CVSS) และเพิ่มลงในฐานข้อมูลช่องโหว่ เช่น ฐานข้อมูล ช่องโหว่และการเปิดเผยทั่วไป (CVE) ณ เดือนเมษายน พ.ศ. 2569 มีช่องโหว่มากกว่า 327,000 รายการที่ได้รับการบันทึกไว้ในฐานข้อมูล CVE ^{[ 1 ]}

ช่องโหว่จะเริ่มต้นขึ้นเมื่อมีการนำช่องโหว่นั้นเข้าไปในฮาร์ดแวร์หรือซอฟต์แวร์ ช่องโหว่นั้นจะเปิดใช้งานและสามารถถูกโจมตีได้เมื่อซอฟต์แวร์หรือฮาร์ดแวร์ที่มีช่องโหว่นั้นทำงานอยู่ ช่องโหว่อาจถูกค้นพบโดยผู้ดูแลระบบ ผู้จำหน่าย หรือบุคคลที่สามการเปิดเผยช่องโหว่ ต่อสาธารณะ (ผ่านการแก้ไขหรือวิธีอื่น ๆ) เกี่ยวข้องกับความเสี่ยงที่เพิ่มขึ้นของการถูกโจมตี เนื่องจากผู้โจมตีสามารถใช้ความรู้นี้เพื่อโจมตีระบบที่มีอยู่ก่อนที่จะมีการติดตั้งแพทช์ ช่องโหว่จะสิ้นสุดลงในที่สุดเมื่อระบบได้รับการแก้ไขหรือถูกถอดออกจากระบบ

สาเหตุ

แม้ว่าผู้ดูแลระบบจะพยายามอย่างเต็มที่แล้วก็ตาม ฮาร์ดแวร์และซอฟต์แวร์เกือบทั้งหมดก็ยังมีบั๊กอยู่^{[ 2 ]}หากบั๊กก่อให้เกิดความเสี่ยงด้านความปลอดภัย จะเรียกว่าช่องโหว่^{[ 3 ]}^{[ 4 ]}^{[ 5 ]}มักมีการออกแพตช์ซอฟต์แวร์เพื่อแก้ไขช่องโหว่ที่ระบุ แต่ ช่องโหว่ แบบ Zero-dayก็ยังคงมีโอกาสถูกโจมตีได้^{[ 6 ]}ช่องโหว่มีความแตกต่างกันในความสามารถที่จะถูกโจมตีโดยผู้ไม่ประสงค์ดี และความเสี่ยงที่แท้จริงขึ้นอยู่กับลักษณะของช่องโหว่รวมถึงมูลค่าของระบบโดยรอบ^{[ 7 ]}แม้ว่าช่องโหว่บางอย่างจะใช้ได้เฉพาะสำหรับการโจมตีแบบปฏิเสธการให้บริการ เท่านั้น แต่ช่องโหว่ที่อันตรายกว่านั้นจะอนุญาตให้ผู้โจมตีทำการแทรกโค้ดโดยที่ผู้ใช้ไม่รู้ตัว^{[ 3 ]} มีเพียงช่องโหว่ส่วนน้อยเท่านั้นที่อนุญาตให้มีการยกระดับสิทธิ์ซึ่งโดยทั่วไปแล้วจำเป็นสำหรับการโจมตีที่รุนแรงกว่า^{[ 8 ]}หากไม่มีช่องโหว่ การโจมตีโดยทั่วไปจะไม่สามารถเข้าถึงได้^{[ 9 ]}เป็นไปได้เช่นกันที่มัลแวร์จะถูกติดตั้งโดยตรงโดยไม่ต้องใช้ช่องโหว่ ผ่านทางวิศวกรรมสังคมหรือการรักษาความปลอดภัยทางกายภาพ ที่ไม่ดี เช่น ประตูที่ไม่ได้ล็อคหรือพอร์ตที่เปิดโล่ง^{[ 10 ]}

ปัจจัยการออกแบบ

ช่องโหว่ต่างๆ อาจรุนแรงขึ้นได้จากปัจจัยด้านการออกแบบที่ไม่ดี เช่น:

ความซับซ้อน: ระบบขนาดใหญ่และซับซ้อนจะเพิ่มโอกาสในการเกิดข้อผิดพลาดและจุดเข้าถึงที่ไม่ได้ตั้งใจ^{[ 11 ]}
ความคุ้นเคย: การใช้โค้ด ซอฟต์แวร์ ระบบปฏิบัติการ และ/หรือฮาร์ดแวร์ทั่วไปที่รู้จักกันดี จะเพิ่มโอกาสที่ผู้โจมตีจะมีหรือสามารถค้นหาความรู้และเครื่องมือเพื่อใช้ประโยชน์จากช่องโหว่ได้^{[ 12 ]}อย่างไรก็ตาม การใช้ซอฟต์แวร์ที่รู้จักกันดี โดยเฉพาะซอฟต์แวร์ฟรีและโอเพนซอร์สมาพร้อมกับข้อดีของการมีแพตช์ซอฟต์แวร์ที่บ่อยขึ้นและเชื่อถือได้สำหรับช่องโหว่ที่ค้นพบ
การเชื่อมต่อ: ระบบใดๆ ที่เชื่อมต่อกับอินเทอร์เน็ตสามารถเข้าถึงและถูกบุกรุกได้การตัดการเชื่อมต่อระบบจากอินเทอร์เน็ตอาจมีประสิทธิภาพอย่างยิ่งในการป้องกันการโจมตี แต่ก็ไม่สามารถทำได้เสมอไป^{[ 13 ]}
ซอฟต์แวร์และฮาร์ดแวร์ รุ่นเก่า มีความเสี่ยงเพิ่มขึ้นตามธรรมชาติ^{[ 14 ]}ผู้ดูแลระบบควรพิจารณาอัปเกรดจากระบบรุ่นเก่า แต่บ่อยครั้งที่มีค่าใช้จ่ายและเวลาหยุดทำงาน สูงเกินไป

ปัจจัยการพัฒนา

แนวทาง การพัฒนาซอฟต์แวร์ที่ไม่ดีอาจส่งผลต่อโอกาสในการนำช่องโหว่มาสู่ฐานโค้ด การขาดความรู้หรือการฝึกอบรมเกี่ยวกับการพัฒนาซอฟต์แวร์ที่ปลอดภัย แรงกดดันในการส่งมอบที่มากเกินไป หรือฐานโค้ดที่ซับซ้อนเกินไป ล้วนสามารถทำให้เกิดช่องโหว่และไม่ถูกตรวจพบได้ ปัจจัยเหล่านี้อาจรุนแรงขึ้นได้หากวัฒนธรรมองค์กร ไม่ได้ให้ความสำคัญกับความปลอดภัย ^{[ 15 ]}การตรวจสอบโค้ดที่ไม่เพียงพอยังอาจนำไปสู่การพลาดบั๊กได้ แต่ยังมี เครื่องมือ วิเคราะห์โค้ดแบบคงที่ที่สามารถใช้ในระหว่างกระบวนการตรวจสอบโค้ดเพื่อช่วยค้นหาช่องโหว่บางอย่างได้^{[ 16 ]}

DevOpsซึ่งเป็นเวิร์กโฟลว์การพัฒนาที่เน้นการทดสอบและการปรับใช้แบบอัตโนมัติเพื่อเร่งการปรับใช้ฟีเจอร์ใหม่ มักต้องการให้ผู้พัฒนาหลายคนได้รับสิทธิ์ในการเปลี่ยนแปลงการกำหนดค่า ซึ่งอาจนำไปสู่การรวมช่องโหว่โดยเจตนาหรือไม่เจตนา^{[ 17 ]}การแบ่งส่วนการพึ่งพา ซึ่งมักเป็นส่วนหนึ่งของเวิร์กโฟลว์ DevOps สามารถลดพื้นที่การโจมตีได้โดยการลดการพึ่งพาให้เหลือเพียงสิ่งที่จำเป็นเท่านั้น^{[ 18 ]}หาก ใช้ ซอฟต์แวร์เป็นบริการแทนที่จะใช้ฮาร์ดแวร์และซอฟต์แวร์ขององค์กรเอง องค์กรจะต้องพึ่งพาผู้ให้บริการคลาวด์ในการป้องกันช่องโหว่^{[ 19 ]}

การจำแนกประเภทฐานข้อมูลความเปราะบางแห่งชาติ

ฐานข้อมูลช่องโหว่แห่งชาติจำแนกช่องโหว่ออกเป็น 8 สาเหตุหลักที่อาจทับซ้อนกัน ได้แก่: ^{[ 20 ]}

ช่องโหว่ การตรวจสอบความถูกต้องของข้อมูลขาเข้าเกิดขึ้นเมื่อการตรวจสอบข้อมูลขา เข้า ไม่เพียงพอที่จะป้องกันไม่ให้ผู้โจมตีแทรกโค้ดที่เป็นอันตราย การโจมตีแบบ Buffer overflow , Buffer underflowและการ โจมตี แบบ Boundary conditionมักจะใช้ประโยชน์จากช่องโหว่ประเภทนี้^{[ 21 ]}
ช่องโหว่ การควบคุมการเข้าถึงทำให้ผู้โจมตีสามารถเข้าถึงระบบที่ควรจำกัดไว้สำหรับพวกเขา หรือดำเนินการยกระดับสิทธิ์ได้^{[ 21 ]}
เมื่อระบบไม่สามารถจัดการกับสภาวะพิเศษหรือไม่คาดคิดได้อย่างถูกต้อง ผู้โจมตีสามารถใช้ประโยชน์จากสถานการณ์ดังกล่าวเพื่อเข้าถึงระบบได้^{[ 22 ]}
ช่องโหว่ในการกำหนดค่าเกิดขึ้นเมื่อการตั้งค่าการกำหนดค่าทำให้เกิดความเสี่ยงต่อความปลอดภัยของระบบ ส่งผลให้เกิดข้อผิดพลาด เช่น ซอฟต์แวร์ที่ไม่ได้แก้ไข หรือสิทธิ์การเข้าถึงไฟล์ระบบที่ไม่จำกัดการเข้าถึงอย่างเพียงพอ^{[ 22 ]}
สภาวะการแข่งขัน —เมื่อจังหวะเวลาหรือปัจจัยภายนอกอื่นๆ เปลี่ยนแปลงผลลัพธ์และนำไปสู่ผลลัพธ์ที่ไม่สอดคล้องกันหรือไม่สามารถคาดเดาได้—อาจทำให้เกิดช่องโหว่ได้^{[ 22 ]}

ช่องโหว่ตามส่วนประกอบ

ฮาร์ดแวร์

ข้อบกพร่องด้านความปลอดภัยที่จงใจสร้างขึ้นสามารถเกิดขึ้นได้ในระหว่างหรือหลังการผลิต และทำให้วงจรรวมไม่ทำงานตามที่คาดหวังภายใต้สถานการณ์เฉพาะบางอย่าง การทดสอบหาข้อบกพร่องด้านความปลอดภัยในฮาร์ดแวร์ค่อนข้างยากเนื่องจากมีเวลาจำกัดและความซับซ้อนของชิปในศตวรรษที่ 21 ^{[ 23 ]}ในขณะที่โลกาภิวัตน์ของการออกแบบและการผลิตได้เพิ่มโอกาสให้ผู้กระทำความผิดสามารถนำข้อบกพร่องเหล่านี้เข้ามาได้^{[ 24 ]}

ระบบปฏิบัติการ

แม้ว่าช่องโหว่ของระบบปฏิบัติการจะแตกต่างกันไปตามระบบปฏิบัติการที่ใช้ แต่ปัญหาทั่วไปคือ ข้อบกพร่อง ในการยกระดับสิทธิ์ที่ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลได้มากกว่าที่ควรได้รับอนุญาต ระบบปฏิบัติการ โอเพนซอร์สเช่นLinuxและAndroidมีซอร์สโค้ด ที่เข้าถึงได้โดยเสรี และอนุญาตให้ทุกคนมีส่วนร่วม ซึ่งอาจทำให้เกิดช่องโหว่ได้ อย่างไรก็ตาม ช่องโหว่เดียวกันนี้ก็เกิดขึ้นในระบบปฏิบัติการที่เป็นกรรมสิทธิ์ เช่นระบบปฏิบัติการ Microsoft Windowsและ Apple เช่นกัน ^[²⁵^]ผู้จำหน่ายระบบปฏิบัติการที่มีชื่อเสียงทั้งหมดจะออกแพตช์เป็นประจำ^[²⁶^]

แอปพลิเคชันไคลเอ็นต์-เซิร์ฟเวอร์

แอปพลิเคชันไคลเอ็นต์-เซิร์ฟเวอร์จะถูกดาวน์โหลดลงในคอมพิวเตอร์ของผู้ใช้ปลายทางและโดยทั่วไปจะได้รับการอัปเดตน้อยกว่าแอปพลิเคชันเว็บ ต่างจากแอปพลิเคชันเว็บตรงที่แอปพลิเคชันไคลเอ็นต์-เซิร์ฟเวอร์โต้ตอบโดยตรงกับระบบปฏิบัติการของผู้ใช้ ช่องโหว่ทั่วไปในแอปพลิเคชันเหล่านี้ได้แก่: ^{[ 27 ]}

ข้อมูลที่ไม่ได้เข้ารหัสซึ่งจัดเก็บถาวรหรือส่งผ่านเครือข่ายนั้นค่อนข้างง่ายสำหรับผู้โจมตีที่จะขโมย^{[ 27 ]}
การยึดครองกระบวนการเกิดขึ้นเมื่อผู้โจมตีเข้าควบคุมกระบวนการคอมพิวเตอร์^{ที่ มีอยู่}^[²⁷ ]

แอปพลิเคชันบนเว็บ

แอปพลิเคชันเว็บทำงานบนเว็บไซต์หลายแห่ง เนื่องจากโดยเนื้อแท้แล้วมีความปลอดภัยน้อยกว่าแอปพลิเคชันอื่นๆ จึงเป็นแหล่งที่มาหลักของการละเมิดข้อมูลและเหตุการณ์ด้านความปลอดภัยอื่นๆ^{[ 28 ]}^{[ 29 ]}ซึ่งอาจรวมถึง:

ความล้มเหลว ในการตรวจสอบสิทธิ์และการอนุญาตทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่ควรจำกัดไว้เฉพาะผู้ใช้ที่เชื่อถือได้^{[ 28 ]}^{[ 30 ]}
ช่องโหว่ด้านตรรกะทางธุรกิจเกิดขึ้นเมื่อโปรแกรมเมอร์ไม่ได้พิจารณากรณีที่ไม่คาดคิดที่อาจเกิดขึ้นในตรรกะทางธุรกิจ

การโจมตีที่ใช้เพื่อเจาะช่องโหว่ในเว็บแอปพลิเคชัน ได้แก่:

การโจมตีแบบ Cross-site scripting (XSS) ช่วยให้ผู้โจมตีสามารถแทรกและเรียกใช้มัลแวร์ที่ใช้JavaScript ได้ เมื่อการตรวจสอบอินพุตไม่เพียงพอที่จะปฏิเสธโค้ดที่ถูกแทรก^[²⁸^] XSS สามารถคงอยู่ได้ เมื่อผู้โจมตีบันทึกมัลแวร์ไว้ในฟิลด์ข้อมูลและเรียกใช้เมื่อโหลดข้อมูล นอกจากนี้ยังสามารถโหลดได้โดยใช้ ลิงก์ URL ที่เป็นอันตราย (XSS แบบสะท้อน) ^[²⁸^] ผู้โจมตียังสามารถแทรกโค้ดที่เป็นอันตรายลงใน โมเดลออบเจ็กต์โดเมนได้อีกด้วย^[³¹^]
การโจมตี แบบ SQL injectionและการโจมตีที่คล้ายกันจะจัดการคำสั่งค้นหาฐานข้อมูลเพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต^{[ 31 ]}
การโจมตีแบบ Command injectionเป็นรูปแบบหนึ่งของการโจมตีแบบ code injection โดยที่ผู้โจมตีจะวางมัลแวร์ไว้ในฟิลด์ข้อมูลหรือกระบวนการ ผู้โจมตีอาจสามารถควบคุมเซิร์ฟเวอร์ทั้งหมดได้^{[ 31 ]}
การปลอมแปลงคำขอข้ามไซต์ (CSRF) คือการสร้างคำขอไคลเอ็นต์ที่ดำเนินการที่เป็นอันตราย เช่น ผู้โจมตีเปลี่ยนข้อมูลประจำตัวของผู้ใช้^{[ 31 ]}
การปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์นั้นคล้ายกับ CSRF แต่คำขอจะถูกปลอมแปลงจากฝั่งเซิร์ฟเวอร์และมักจะใช้ประโยชน์จากสิทธิพิเศษที่เพิ่มขึ้นของเซิร์ฟเวอร์^{[ 31 ]}
ช่องโหว่ตรรกะทางธุรกิจเกิดขึ้นเมื่อโปรแกรมเมอร์ไม่พิจารณากรณีที่ไม่คาดคิดที่เกิดขึ้นในตรรกะทางธุรกิจ^{[ 32 ]}

อนุกรมวิธาน

ข้อบกพร่องด้านความปลอดภัยโดยทั่วไปจะแบ่งออกเป็นหมวดหมู่กว้างๆ จำนวนไม่มากนัก ซึ่งรวมถึง: ^{[ 33 ]}

ความปลอดภัยของหน่วยความจำ (เช่นข้อผิดพลาดบัฟเฟอร์โอเวอร์โฟลว์และ ข้อผิดพลาด ตัวชี้ที่ชี้ไปยังตำแหน่งที่ไม่ถูกต้อง )
เงื่อนไขการแข่งขัน
การจัดการข้อมูลเข้าและข้อมูลออกที่ปลอดภัย
การใช้งานAPI อย่างไม่ถูกต้อง
การจัดการกรณีการใช้งานที่ไม่เหมาะสม
การจัดการข้อยกเว้นที่ไม่เหมาะสม
การรั่วไหลของทรัพยากรมักเกิดจากแต่ไม่เสมอไป คือ การจัดการข้อผิดพลาดที่ไม่เหมาะสม
ประมวลผลสตริงอินพุตเบื้องต้นก่อนที่จะตรวจสอบว่ายอมรับได้หรือไม่

การจัดการ

มีหลักฐานเพียงเล็กน้อยเกี่ยวกับประสิทธิผลและความคุ้มค่าของมาตรการป้องกันการโจมตีทางไซเบอร์ที่แตกต่างกัน^{[ 34 ]}แม้ว่าการประเมินความเสี่ยงของการโจมตีจะไม่ใช่เรื่องง่าย แต่เวลาเฉลี่ยในการเจาะระบบและต้นทุนที่คาดการณ์ไว้สามารถนำมาพิจารณาเพื่อกำหนดลำดับความสำคัญในการแก้ไขหรือบรรเทาช่องโหว่ที่ระบุ และพิจารณาว่าคุ้มค่าหรือไม่ที่จะดำเนินการดังกล่าว^{[ 35 ]}แม้ว่าการให้ความสำคัญกับความปลอดภัยจะช่วยลดความเสี่ยงของการโจมตีได้ แต่การบรรลุความปลอดภัยที่สมบูรณ์แบบสำหรับระบบที่ซับซ้อนนั้นเป็นไปไม่ได้ และมาตรการรักษาความปลอดภัยหลายอย่างมีต้นทุนหรือข้อเสียด้านการใช้งานที่ไม่สามารถยอมรับได้^{[ 36 ]}ตัวอย่างเช่น การลดความซับซ้อนและฟังก์ชันการทำงานของระบบนั้นมีประสิทธิภาพในการลด พื้นที่ การโจมตี^{[ 37 ]}

การจัดการช่องโหว่ที่ประสบความสำเร็จมักเกี่ยวข้องกับการแก้ไข (การปิดช่องโหว่) การบรรเทา (การเพิ่มความยากลำบากและลดผลกระทบของการโจมตี) และการยอมรับความเสี่ยงที่เหลืออยู่บ้าง บ่อยครั้งที่ใช้กลยุทธ์การป้องกันเชิงลึก เพื่อสร้างกำแพงป้องกันการโจมตีหลายชั้น ^{[ 38 ]}บางองค์กรสแกนหาเฉพาะช่องโหว่ที่มีความเสี่ยงสูงสุดเท่านั้น เนื่องจากวิธีนี้ช่วยให้สามารถจัดลำดับความสำคัญได้ในกรณีที่ขาดทรัพยากรในการแก้ไขช่องโหว่ทุกรายการ^{[ 39 ]} การเพิ่มค่าใช้จ่ายมีแนวโน้มที่จะให้ผลตอบแทนที่ลดลง^{[ 35 ]}

การแก้ไข

การแก้ไขจะช่วยแก้ไขช่องโหว่ เช่น โดยการดาวน์โหลดแพตช์ซอฟต์แวร์^{[ 40 ]} โดย ทั่วไปแล้ว เครื่องสแกนช่องโหว่จะไม่สามารถตรวจจับช่องโหว่แบบ zero-day ได้ แต่จะมีประสิทธิภาพมากกว่าในการค้นหาช่องโหว่ที่รู้จักโดยอิงจากฐานข้อมูล ระบบเหล่านี้สามารถค้นหาช่องโหว่ที่รู้จักบางส่วนและแนะนำวิธีแก้ไข เช่น การติดตั้งแพตช์^{[ 41 ]}^{[ 42 ]}อย่างไรก็ตาม ระบบเหล่านี้มีข้อจำกัด รวมถึงผลลัพธ์ที่เป็นเท็จ^{[ 40 ]}

ช่องโหว่สามารถถูกใช้ประโยชน์ได้ก็ต่อเมื่อช่องโหว่นั้นทำงานอยู่เท่านั้น กล่าวคือ ซอฟต์แวร์ที่มีช่องโหว่นั้นฝังอยู่กำลังทำงานอยู่บนระบบ^{[ 43 ]}ก่อนที่โค้ดที่มีช่องโหว่จะถูกกำหนดค่าให้ทำงานบนระบบ โค้ดนั้นจะถือว่าเป็นพาหะ^{[ 44 ]}ช่องโหว่ที่แฝงอยู่สามารถทำงานได้ แต่ไม่ได้ทำงานอยู่ในขณะนี้ ซอฟต์แวร์ที่มีช่องโหว่ที่แฝงอยู่และช่องโหว่ที่เป็นพาหะบางครั้งสามารถถอนการติดตั้งหรือปิดใช้งานได้ ซึ่งจะช่วยขจัดความเสี่ยง^{[ 45 ]}ช่องโหว่ที่ทำงานอยู่ หากแยกแยะออกจากประเภทอื่น ๆ สามารถจัดลำดับความสำคัญสำหรับการแก้ไขได้^{[ 43 ]}

การลดช่องโหว่คือมาตรการที่ไม่ปิดช่องโหว่ แต่ทำให้การใช้ประโยชน์หรือการลดผลกระทบของการโจมตีทำได้ยากขึ้น^{[ 46 ]}การลดพื้นที่การโจมตีโดยเฉพาะอย่างยิ่งสำหรับส่วนต่างๆ ของระบบที่มี สิทธิ์เข้าถึง ระดับรูท (ผู้ดูแลระบบ) และการปิดโอกาสในการใช้ประโยชน์จากสิทธิ์พิเศษเป็นกลยุทธ์ทั่วไปในการลดความเสียหายที่การโจมตีทางไซเบอร์อาจก่อให้เกิดได้^{[ 40 ]}หากไม่มีแพตช์สำหรับซอฟต์แวร์ของบุคคลที่สาม อาจสามารถปิดใช้งานซอฟต์แวร์ชั่วคราวได้^{[ 47 ]}

การทดสอบ

การทดสอบการเจาะระบบพยายามเข้าสู่ระบบผ่านช่องโหว่เพื่อดูว่าระบบไม่ปลอดภัยหรือไม่^{[ 48 ]}หากการทดสอบการเจาะระบบล้มเหลว ก็ไม่ได้หมายความว่าระบบจะปลอดภัยเสมอไป^{[ 49 ]}การทดสอบการเจาะระบบบางอย่างสามารถดำเนินการได้ด้วยซอฟต์แวร์อัตโนมัติที่ทดสอบกับช่องโหว่ที่มีอยู่สำหรับช่องโหว่ที่รู้จัก^{[ 50 ]} การทดสอบการเจาะระบบอื่นๆ ดำเนินการโดยแฮกเกอร์ที่ได้รับการฝึกฝน บริษัทหลายแห่งนิยมว่าจ้างงานนี้จากภายนอก เนื่องจากเป็นการจำลองการโจมตีจากบุคคลภายนอก^{[ 49 ]}

วงจรชีวิตของช่องโหว่

วงจรชีวิตของช่องโหว่เริ่มต้นขึ้นเมื่อมีการนำช่องโหว่เข้าสู่ฮาร์ดแวร์หรือซอฟต์แวร์^{[ 51 ]}การตรวจจับช่องโหว่สามารถทำได้โดยผู้จำหน่ายซอฟต์แวร์หรือโดยบุคคลที่สาม ในกรณีหลัง การเปิดเผยช่องโหว่ให้ผู้จำหน่ายทราบทันทีเพื่อให้สามารถแก้ไขได้นั้นถือว่ามีจริยธรรมมากที่สุด^{[ 52 ]}หน่วยงานรัฐบาลหรือหน่วยงานข่าวกรองซื้อช่องโหว่ที่ยังไม่ได้เปิดเผยต่อสาธารณะ และอาจนำไปใช้ในการโจมตี สะสม หรือแจ้งให้ผู้จำหน่ายทราบ^{[ 53 ]}ณ ปี 2013 กลุ่มFive Eyes (สหรัฐอเมริกา สหราชอาณาจักร แคนาดา ออสเตรเลีย และนิวซีแลนด์) ครองส่วนแบ่งตลาดส่วนใหญ่ และผู้ซื้อรายสำคัญอื่นๆ ได้แก่ รัสเซีย อินเดีย บราซิล มาเลเซีย สิงคโปร์ เกาหลีเหนือ และอิหร่าน^{[ 54 ]}กลุ่มอาชญากรก็ซื้อช่องโหว่เช่นกัน แม้ว่าโดยทั่วไปแล้วพวกเขาจะชอบชุดเครื่องมือโจมตีมากกว่า^{[ 55 ]}

แม้แต่ช่องโหว่ที่เป็นที่รู้จักในวงกว้างหรือได้รับการแก้ไขแล้ว ก็ยังสามารถถูกโจมตีได้เป็นเวลานาน^{[ 56 ]}^{[ 57 ]}การพัฒนาแพทช์รักษาความปลอดภัยอาจใช้เวลาหลายเดือน^{[ 58 ]}หรืออาจไม่มีการพัฒนาเลย^{[ 57 ]}แพทช์อาจส่งผลเสียต่อการทำงานของซอฟต์แวร์^{[ 57 ]}และผู้ใช้อาจต้องทดสอบแพทช์เพื่อยืนยันการทำงานและความเข้ากันได้^{[ 59 ]}องค์กรขนาดใหญ่อาจไม่สามารถระบุและแก้ไขส่วนประกอบที่จำเป็นทั้งหมดได้ ในขณะที่องค์กรขนาดเล็กและผู้ใช้ส่วนบุคคลอาจไม่ได้ติดตั้งแพทช์^{[ 57 ]}งานวิจัยชี้ให้เห็นว่าความเสี่ยงของการโจมตีทางไซเบอร์จะเพิ่มขึ้นหากช่องโหว่เป็นที่รู้จักในวงกว้างหรือมีการปล่อยแพทช์ออกมา^{[ 60 ]}อาชญากรไซเบอร์สามารถวิเคราะห์ย้อนกลับแพทช์เพื่อค้นหาช่องโหว่ที่ซ่อนอยู่และพัฒนาการโจมตี^{[ 61 ]}ซึ่งมักจะเร็วกว่าที่ผู้ใช้จะติดตั้งแพทช์^{[ 60 ]}

ช่องโหว่จะหมดความสำคัญเมื่อซอฟต์แวร์หรือเวอร์ชันที่มีช่องโหว่นั้นเลิกใช้งาน^{[ 52 ]}ซึ่งอาจใช้เวลานาน โดยเฉพาะอย่างยิ่งซอฟต์แวร์อุตสาหกรรมอาจไม่สามารถทดแทนได้แม้ว่าผู้ผลิตจะหยุดให้การสนับสนุนแล้วก็ตาม^{[ 62 ]}

การประเมิน การเปิดเผย และการสำรวจสินค้าคงคลัง

การประเมิน

มาตราส่วนที่ใช้กันทั่วไปในการประเมินความรุนแรงของช่องโหว่คือข้อกำหนดโอเพนซอร์สCommon Vulnerability Scoring System (CVSS) CVSS ประเมินความเป็นไปได้ในการใช้ประโยชน์จากช่องโหว่และทำให้ความลับของข้อมูล ความพร้อมใช้งาน และความสมบูรณ์ของข้อมูลเสียหาย นอกจากนี้ยังพิจารณาถึงวิธีการใช้ช่องโหว่และความซับซ้อนของการโจมตีที่จำเป็น ปริมาณการเข้าถึงที่จำเป็นสำหรับการโจมตีและว่าการโจมตีนั้นสามารถเกิดขึ้นได้โดยไม่ต้องมีการโต้ตอบจากผู้ใช้หรือไม่ ก็เป็นปัจจัยที่นำมาพิจารณาในคะแนนโดยรวมด้วย^{[ 63 ]}^{[ 64 ]}

การเปิดเผยข้อมูล

ผู้ที่ค้นพบช่องโหว่อาจเปิดเผยทันที ( การเปิดเผยอย่างครบถ้วน ) หรือรอจนกว่าจะมีการพัฒนาแพทช์ ( การเปิดเผยอย่างรับผิดชอบหรือการเปิดเผยแบบประสานงาน) แนวทางแรกได้รับการยกย่องในเรื่องความโปร่งใส แต่ข้อเสียคือความเสี่ยงต่อการโจมตีมีแนวโน้มที่จะเพิ่มขึ้นหลังจากการเปิดเผยโดยที่ยังไม่มีแพทช์^{[ 65 ]}ผู้จำหน่ายบางรายจ่ายเงินรางวัลให้กับผู้ที่รายงานช่องโหว่^{[ 66 ]}^{[ 67 ]}ไม่ใช่ทุกบริษัทที่จะตอบสนองในเชิงบวกต่อการเปิดเผย เนื่องจากอาจทำให้เกิดความรับผิดทางกฎหมายและค่าใช้จ่ายในการดำเนินงาน^{[ 68 ]} ไม่มีกฎหมายใดที่กำหนดให้ต้องเปิดเผยช่องโหว่^{[ 69 ]}หากบุคคลที่สามค้นพบช่องโหว่แต่ไม่เปิดเผยต่อผู้จำหน่ายหรือสาธารณชน จะเรียกว่าช่องโหว่แบบ Zero-dayซึ่งมักถูกพิจารณาว่าเป็นประเภทที่อันตรายที่สุดเนื่องจากมีวิธีการป้องกันน้อยกว่า^{[ 70 ]}

รายการช่องโหว่

ชุดข้อมูลช่องโหว่ที่ใช้กันทั่วไปมากที่สุดคือCommon Vulnerabilities and Exposures (CVE) ซึ่งดูแลโดยMitre Corporation [ ^{71 ] ณ}เดือนเมษายน 2026 มีรายการมากกว่า 327,000 รายการ^{[ 1 ]} ข้อมูลนี้ถูกแชร์ไปยังฐานข้อมูลอื่นๆ รวมถึง ฐานข้อมูลช่องโหว่แห่งชาติของสหรัฐอเมริกา[ ⁷¹^]ซึ่งแต่ละช่องโหว่จะได้รับคะแนนความเสี่ยงโดยใช้Common Vulnerability Scoring System (CVSS), Common Platform Enumeration (CPE) scheme และCommon Weakness Enumeration CVE และฐานข้อมูลอื่นๆ โดย ^{ทั่วไป}จะไม่ติดตามช่องโหว่ในผลิตภัณฑ์ซอฟต์แวร์เป็นบริการ^[⁴¹^]การส่ง CVE เป็นไปโดยสมัครใจสำหรับบริษัทที่ค้นพบช่องโหว่^[⁶⁹^]

ความรับผิด

โดยปกติแล้วผู้จำหน่ายซอฟต์แวร์จะไม่รับผิดชอบทางกฎหมายต่อค่าใช้จ่ายหากมีการใช้ช่องโหว่ในการโจมตี ซึ่งทำให้เกิดแรงจูงใจในการผลิตซอฟต์แวร์ที่ถูกกว่าแต่มีความปลอดภัยน้อยกว่า^{[ 72 ]}บางบริษัทอยู่ภายใต้กฎหมาย เช่นPCI , HIPAAและSarbanes-Oxleyซึ่งกำหนดข้อกำหนดทางกฎหมายเกี่ยวกับการจัดการช่องโหว่^{[ 73 ]}

ดูเพิ่มเติม

แหล่งที่มา

Ablon, Lillian; Bogart, Andy (2017). Zero Days, Thousands of Nights: The Life and Times of Zero-Day Vulnerabilities and Their Exploits (PDF) . Rand Corporation. ISBN 978-0-8330-9761-3.
Agrafiotis, Ioannis; Nurse, Jason RC; Goldsmith, Michael; Creese, Sadie; Upton, David (2018). "การจำแนกประเภทของภัยคุกคามทางไซเบอร์: การกำหนดผลกระทบของการโจมตีทางไซเบอร์และทำความเข้าใจวิธีการแพร่กระจาย"วารสารความปลอดภัยทางไซเบอร์ 4 ( 1). doi : 10.1093/cybsec/tyy006 . ISSN 2057-2085 .
ดาสวานี, นีล ; เอลบายาดี, มูดี (2021). การละเมิดครั้งใหญ่: บทเรียนด้านความปลอดภัยทางไซเบอร์สำหรับทุกคน . สำนักพิมพ์เอเพรส. ISBN 978-1-4842-6654-0.
การ์ก, ชิวี; บาลียัน, นิยาติ (2023) ช่องโหว่ระบบปฏิบัติการมือถือ: การวิเคราะห์เชิงปริมาณและเชิงคุณภาพ ซีอาร์ซี เพรส. ไอเอสบีเอ็น 978-1-000-92451-0.
Haber, Morey J.; Hibbert, Brad (2018). ช่องทางการโจมตีสินทรัพย์: การสร้างกลยุทธ์การจัดการช่องโหว่ที่มีประสิทธิภาพเพื่อปกป้ององค์กร . Apress. ISBN 978-1-4842-3627-7.
Libicki, Martin C.; Ablon, Lillian; Webb, Tim (2015). ปัญหาของฝ่ายจำเลย: การกำหนดเส้นทางสู่ความมั่นคงปลอดภัยทางไซเบอร์ (PDF) . Rand Corporation. ISBN 978-0-8330-8911-3.
Linkov, Igor; Kott, Alexander ( 2019). "แนวคิดพื้นฐานของความยืดหยุ่นทางไซเบอร์: บทนำและภาพรวม" ความยืดหยุ่นทางไซเบอร์ของระบบและเครือข่ายสำนักพิมพ์ Springer International Publishing หน้า 1–25 ISBN 978-3-319-77492-3.
Magnusson, Andrew (2020). การจัดการช่องโหว่เชิงปฏิบัติ: แนวทางเชิงกลยุทธ์ในการจัดการความเสี่ยงทางไซเบอร์สำนักพิมพ์ No Starch Press. ISBN 978-1-59327-989-9.
โอแฮร์โรว์, โรเบิร์ต (2013). Zero Day: ภัยคุกคามในโลกไซเบอร์ . สำนักพิมพ์ไดเวอร์ติชั่น. ISBN 978-1-938120-76-3.
เพิร์ลรอธ, นิโคล (2021). นี่คือวิธีที่พวกเขาบอกฉันว่าโลกจะจบลง: ผู้ชนะรางวัลหนังสือธุรกิจยอดเยี่ยมแห่งปี 2021 จาก FT และ McKinseyสำนักพิมพ์บลูมส์เบอรีISBN 978-1-5266-2983-8.
Salmani, Hassan (2018). วงจรดิจิทัลที่เชื่อถือได้: ช่องโหว่ของโทรจันฮาร์ดแวร์ การป้องกันและการตรวจจับ . Springer. ISBN 978-3-319-79081-7.
ซีแมน, จิม (2020). PCI DSS: คู่มือมาตรฐานความปลอดภัยข้อมูลแบบบูร ณาการ . สำนักพิมพ์ A. ISBN 978-1-4842-5808-8.
ชาร์ป, โรบิน (2024). บทนำสู่ความปลอดภัยทางไซเบอร์: ความท้าทายแบบสหวิทยาการ . สปริงเกอร์ เนเจอร์. ISBN 978-3-031-41463-3.
สโลน, โรเบิร์ต เอช.; วอร์เนอร์, ริชาร์ด (2019). ทำไมเราไม่ป้องกันให้ดีกว่านี้?: การละเมิดข้อมูล การจัดการความเสี่ยง และนโยบายสาธารณะ . สำนักพิมพ์ CRC. ISBN 978-1-351-12729-5.
Sood, Aditya; Enbody, Richard (2014). การโจมตีทางไซเบอร์แบบเจาะจงเป้าหมาย: การโจมตีหลายขั้นตอนที่ขับเคลื่อนด้วยช่องโหว่และมัลแวร์ Syngress. ISBN 978-0-12-800619-1.
สเตราท์, เบนจามิน (2023). คู่มือสำหรับนักวิจัยด้านช่องโหว่: คู่มือที่ครอบคลุมสำหรับการค้นพบ การรายงาน และการเผยแพร่ช่องโหว่ด้านความปลอดภัยสำนักพิมพ์แพคต์ISBN 978-1-80324-356-6.
โทอา, ไซมอน; กาฟิช, เมลิซา; คีสเบิร์ก, ปีเตอร์ (2024) ความรู้พื้นฐาน ด้านความสามารถในการรับมือทางไซเบอร์สปริงเกอร์เนเจอร์. ไอเอสบีเอ็น 978-3-031-52064-8.

ลิงก์ภายนอก

สื่อที่เกี่ยวข้องกับช่องโหว่ (ด้านคอมพิวเตอร์)ในวิกิมีเดียคอมมอนส์

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[

[

[ 27 ]

[ 28 ]

[ 29 ]

[ 30 ]

[

[ 32 ]

[ 33 ]

[ 34 ]

[ 35 ]

[ 36 ]

[ 37 ]

[ 38 ]

[ 39 ]

[ 40 ]

[ 41 ]

[ 42 ]

[ 43 ]

[ 44 ]

[ 45 ]

[ 46 ]

[ 47 ]

[ 48 ]

[ 49 ]

[ 50 ]

[ 51 ]

[ 52 ]

[ 53 ]

[ 54 ]

[ 55 ]

[ 56 ]

[ 57 ]

[ 58 ]

[ 59 ]

[ 60 ]

[ 61 ]

[ 62 ]

[ 63 ]

[ 64 ]

[ 65 ]

[ 66 ]

[ 67 ]

[ 68 ]

[ 69 ]

[ 70 ]

71 ] ณ

[ 72 ]

[ 73 ]