กระทรวงความมั่นคงสหรัฐฯ บังคับให้หน่วยงานรัฐต้องติดตั้งแพตช์แก้ไขช่องโหว่ภายใน 15 วันเพื่อลดความเสี่ยง 

3 พ.ค.62 (14:41 น.)
เปิดอ่าน 229 ครั้ง


เมื่อวันที่ 29 เมษายน 2562 กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐอเมริกา (The United States Department of Homeland Security หรือ DHS) ได้เผยแพร่ประกาศเงื่อนไขการแก้ปัญหาช่องโหว่ในระบบที่เข้าถึงได้จากอินเทอร์เน็ต (Vulnerability Remediation Requirements for Internet-Accessible Systems) โดยปรับข้อกำหนดให้หน่วยงานรัฐต้องติดตั้งแพตช์แก้ไขปัญหาช่องโหว่ด้านความมั่นคงปลอดภัยภายในเวลา 15 วันนับตั้งแต่ตรวจพบครั้งแรก ซึ่งระยะเวลานี้ถูกปรับให้สั้นลงจากเดิมที่เคยกำหนดไว้ 30 วัน

สาเหตุที่ทำให้ผู้ประสงค์ร้ายสามารถโจมตีระบบได้สำเร็จ ส่วนใหญ่มักเกิดจากผู้ใช้หรือผู้ดูแลระบบไม่ได้ติดตั้งแพตช์เพื่อแก้ไขปัญหาช่องโหว่ ถึงแม้ว่าแพตช์นั้นทางผู้พัฒนาจะเผยแพร่ออกมาเป็นเวลานานแล้วก็ตาม สาเหตุที่ระบบไม่ได้รับการติดตั้งแพตช์นั้นอาจเกิดได้จากหลายสาเหตุ เช่น ไม่มีผู้รับผิดชอบดูแล หรือยังไม่สามารถติดตั้งแพตช์ได้ทันทีเนื่องจากต้องมีกระบวนการทดสอบเพื่อให้แน่ใจว่าหลังจากติดตั้งแพตช์แล้วจะไม่มีปัญหากับระบบเดิมที่ใช้งานอยู่ อย่างไรก็ตาม ที่ผ่านมามีหลายเหตุการณ์ที่หน่วยงานใช้เหตุผลเรื่องการให้บริการเพื่อชะลอเวลาในการติดตั้งอัปเดต จนทำให้ระบบไม่ได้ถูกอัปเดตเป็นเวลานานหลายเดือนหรืออาจเป็นปีจนทำให้ถูกเจาะระบบได้สำเร็จในที่สุด

ทาง DHS ชี้แจงว่า ตามหลักแล้วแต่ละหน่วยงานต้องรับผิดชอบดูแลความมั่นคงปลอดภัยระบบของตนเอง การติดตั้งแพตช์แก้ไขช่องโหว่ควรทำให้เร็วที่สุดเท่าที่ทำได้ เพื่อลดความเสี่ยงและผลกระทบ เนื่องจากผู้ประสงค์ร้ายมีแนวโน้มที่จะโจมตีระบบภายในเวลาไม่นานหลังจากมีการเผยแพร่ข้อมูลช่องโหว่ โดยระหว่างที่ระบบยังไม่สามารถแพตช์ได้อาจพิจารณาใช้วิธีแก้ไขปัญหาเฉพาะหน้าหรือลดผลกระทบไปก่อน อย่างไรก็ตาม ทาง DHS จำเป็นต้องเร่งให้หน่วยงานภาครัฐประเมินผลกระทบและเตรียมความพร้อมในการติดตั้งแพตช์เพื่อป้องกันไม่ให้ระบบนั้นถูกละเลยจนไม่ได้แพตช์ช่องโหว่ ซึ่งความเสียหายและผลกระทบจากการที่ระบบถูกโจมตีอาจมากกว่าระยะเวลาที่ต้องใช้ในการทดสอบและติดตั้งแพตช์

ข้อกำหนดให้ติดตั้งแพตช์ภายใน 15 วันนี้มีผลเฉพาะกับช่องโหว่ระดับ critical ส่วนช่องโหว่ระดับ high หรือต่ำกว่านั้นอยู่ที่ระยะ 30 วัน โดยการบังคับนี้มีผลเฉพาะระบบที่เปิดให้สามารถเข้าถึงได้จากอินเทอร์เน็ต หากหน่วยงานไม่สามารถติดตั้งแพตช์ได้ทันต้องแจ้งรายงานให้สำนักงานความมั่นคงทางอินเทอร์เน็ตและโครงสร้างพื้นฐาน (Cybersecurity and Infrastructure Security Agency หรือ CISA) ทราบเพื่อประเมินและร่วมหาแนวทางการแก้ไข

ที่มา https://www.thaicert.or.th/newsbite/2019-05-01-01.html#2019-05-01-01

Cyber Domain - Royal Thai Air Force

ล่าสุด

ระวังมัลแวร์ Emotet ขโมยรหัสธนาคารออนไลน์ แพร่กระจายผ่าน Wi-Fi
17 ก.พ.63(เมื่อวาน) อ่าน 34 ครั้ง
Microsoft เตือนผู้ดูแล Exchange เร่งปิด SMBv1 ป้องกันมัลแวร์
14 ก.พ.63(5 วัน) อ่าน 35 ครั้ง
สหรัฐฯ เข้าจับแฮ็กเกอร์ชาวจีนกรณีแฮ็ก Equifax
11 ก.พ.63(7 วัน) อ่าน 21 ครั้ง
พบช่องโหว่ WhatsApp สามารถใช้เข้าถึงไฟล์ของระบบได้
8 ก.พ.63(11 วัน) อ่าน 16 ครั้ง
พบ Backdoor ในชิป HiSilicon คาดอุปกรณ์ DVR/NVR จำนวนมากตกอยู่ในความเสี่ยง
8 ก.พ.63(11 วัน) อ่าน 11 ครั้ง
วิธีการป้องกันภัยจากฟิชชิ่ง (Phishing)
6 ก.พ.63(12 วัน) อ่าน 63 ครั้ง
ประกาศบัญชีรายชื่อผู้ผ่านการเลือกสรรพนักงานราชการทั่วไป
5 ก.พ.63(13 วัน) อ่าน 140 ครั้ง
บริษัทความปลอดภัยไซเบอร์ตรวจสอบระบบไอทีสนามบิน 100 แห่ง มีเพียง 3 แห่งที่ผ่านมาตรฐาน
4 ก.พ.63(14 วัน) อ่าน 16 ครั้ง
ทวิตเตอร์พบคนร้ายใช้ API จับคู่เบอร์โทรศัพท์กับชื่อบัญชี
4 ก.พ.63(14 วัน) อ่าน 8 ครั้ง
พบช่องโหว่บน Microsoft Azure Stack เสี่ยงถูกแฮ็กเกอร์เข้าควบคุม Cloud Servers บนนั้นได้
4 ก.พ.63(14 วัน) อ่าน 8 ครั้ง
ระวังภัย พบมัลแวร์แพร่กระจายผ่านอีเมลโดยอ้างชื่อไวรัสโคโรน่า
3 ก.พ.63(15 วัน) อ่าน 13 ครั้ง
พบช่องโหว่บน Plugin Code Snippets บน WordPress แนะผู้ใช้ควรอัปเดต
30 ม.ค.63(19 วัน) อ่าน 14 ครั้ง
เผยกลเม็ด Phishing ใหม่ของคนร้ายกับบริการ Citibank
30 ม.ค.63(19 วัน) อ่าน 21 ครั้ง
เตือน! พบบั๊กทำ Windows 10 บูตไม่ขึ้นใน KB4528760
30 ม.ค.63(19 วัน) อ่าน 17 ครั้ง
Microsoft ออกเตือนช่องโหว่ Zero-day บน Internet Explorer ที่ถูกใช้โจมตีแล้ว
28 ม.ค.63(22 วัน) อ่าน 34 ครั้ง