ช่องโหว่ความปลอดภัยคอมพิวเตอร์มีความสำคัญไม่เท่ากัน ที่ผ่านมาระบบการจัดลำดับความสำคัญมักใช้ระบบคะแนน CVSS (Common Vulnerability Scoring System) ที่พิจารณาความเสี่ยงของช่องโหว่ตามความยากง่ายในการโจมตี และผลความเสียหายจาการโจมตี ตอนนี้นักวิจัยเสนอแนวทางใหม่ในการประเมินความเสี่ยงของช่องโหว่โดยอาศัยสภาพแวดล้อมการทำงานจริงเข้ามาคำนวณด้วย
ระบบคะแนน Non-Intrusive and Context-Based Vulnerability Scoring (NCVS) พิจารณาจากการติดตั้งระบบจริง เช่นซอฟต์แวร์บางตัวอาจจะติดตั้งไว้หลังไฟร์วอลล์หลายชั้น และผู้ใช้เข้าถึงผ่านเซิร์ฟเวอร์ตัวอื่นๆ แม้ช่องโหว่จะมีความเสี่ยงสูง แต่ในระบบจริงช่องโหว่ก็ไม่ได้สร้างอันตรายให้กับระบบสูงนัก
NCVS เสนอระบบสแกนเน็ตเวิร์คอัตโนมัติและหาความเชื่อมโยงของซอฟต์แวร์และฮาร์ดแวร์ จากนั้นจึงนำมาคิดคะแนนจากฐานข้อมูลช่องโหว่ ผู้วิจัยระบุว่าแนวทางนี้น่าจะช่วยให้ผู้ดูแลระบบจัดลำดับความสำคัญของแก้ไขหรือป้องกันช่องโหว่ต่างๆ ได้อย่างสมเหตุสมผลยิ่งขึ้น
ที่มา - The Register, ArXiv