Návrh metody pro hodnocení bezpečnostních zranitelností systémů
Loading...
Date
Authors
ORCID
Advisor
Referee
Mark
A
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií
Abstract
Práce se zabývá problematikou hodnocení bezpečnostních zranitelností. Cílem práce je vytvořit novou metodu hodnocení zranitelností, která bude lépe prioritizovat kritické zranitelnosti a reflektovat parametry, které v aktuálně využívaných metodách nejsou použity. Nejdříve popisuje současné metody, které se pro hodnocení zranitelností používají, a parametry, které jsou v jednotlivých metodách použity. První popsanou metodou je Common Vulnerability Scoring System, u které jsou popsané i všechny tři typy skóre, které tato metoda používá. Druhou analyzovanou metodou je OWASP Risk Rating Methodology. Druhá část je věnována návrhu vlastní metody, která má za cíl hodnotit zranitelnosti tak, aby bylo snadnější určit ty s vysokou prioritou. Metoda vychází ze třech skupin parametrů. První skupina popisuje technické hodnocení zranitelnosti, druhá vychází z požadavků na zajištění důvěrnosti, integrity a dostupnosti aktiva a třetí skupina parametrů hodnotí implementovaná protiopatření. Všechny tyto tři skupiny parametrů jsou pro prioritizaci důležité. Parametry popisující zranitelnost jsou rozděleny na stálé a aktuální, kdy mezi aktuální patří především informace ze služeb Threat Intelligence a náročnost exploitace. Parametry dopadu na důvěrnost, integritu a dostupnost jsou provázány s požadavky na zajištění těchto parametrů, neboli s prioritou aktiva, a dále s hodnocením protiopatření, která naopak zvyšují ochranu důvěrnosti, integrity a dostupnosti. Priorita aktiva a kvalita protiopatření se hodnotí na základě dotazníků, které jsou předloženy vlastníkům zkoumaných aktiv v rámci hodnocení zranitelností. V třetí části práce je navržená metoda srovnána s v současnosti velmi používanou metodou Common Vulnerability Scoring System. Na několika příkladech jsou ukázány silné stránky navržené metody, kdy je vidět efektivita prioritizace při zohlednění požadavků na zajištění důvěrnosti, integrity a dostupnosti a zvýšená ochrana těchto parametrů díky implementovaným protiopatřením. Metoda byla prakticky testována v laboratorním prostředí, kde byly na několika různých aktivech nasimulovány zranitelnosti. Tyto zranitelnosti byly ohodnoceny navrženou metodou, byla zohledněna priorita aktiva a kvalita protiopatření a vše bylo zahrnuto do výsledné priority zranitelností. V rámci tohoto testování bylo potvrzeno, že navržená metoda efektivněji prioritizuje zranitelnosti, které jsou jednoduše exploitovatelné, v poslední době často zneužívané a jsou přítomny na aktivech s minimální ochranou a vyšší prioritou.
The thesis deals with the assessment of security vulnerabilities. The aim of this work is to create a new method of vulnerability assessment, which will better prioritize critical vulnerabilities and reflect parameters that are not used in currently used methods. Firstly, it describes the common methods used to assess vulnerabilities and the parameters used in each method. The first described method is the Common Vulnerability Scoring System for which are described all three types of scores. The second analysed method is OWASP Risk Rating Methodology. The second part is devoted to the design of the own method, which aims to assess vulnerabilities that it is easier to identify those with high priority. The method is based on three groups of parameters. The first group describes the technical assessment of the vulnerability, the second is based on the requirements to ensure the confidentiality, integrity and availability of the asset and the third group of parameters evaluates the implemented security measures. All three groups of parameters are important for prioritization. Parameters describing the vulnerability are divided into permanent and up-to-date, where the most important up-to-date parameter are Threat Intelligence and easy of exploitation. The parameters of the impact on confidentiality, integrity and availability are linked to the priority of the asset, and to the evaluation of security measures, which increase the protection of confidentiality, integrity and availability. The priority of the asset and the quality of the countermeasures are assessed based on questionnaires, which are submitted to the owners of the examined assets as part of the vulnerability assessment. In the third part of the thesis, the method is compared with the currently widely used the Common Vulnerability Scoring System. The strengths of the proposed method are shown in several examples. The effectiveness of prioritization is based primarily on the priority of the asset and the security measures in place. The method was practically tested in a laboratory environment, where vulnerabilities were made on several different assets. These vulnerabilities were assessed using the proposed method, the priority of the asset and the quality of the measures were considered, and everything was included in the priority of vulnerability. This testing confirmed that the method more effectively prioritizes vulnerabilities that are easily exploitable, recently exploited by an attacker, and found on assets with minimal protection and higher priority.
The thesis deals with the assessment of security vulnerabilities. The aim of this work is to create a new method of vulnerability assessment, which will better prioritize critical vulnerabilities and reflect parameters that are not used in currently used methods. Firstly, it describes the common methods used to assess vulnerabilities and the parameters used in each method. The first described method is the Common Vulnerability Scoring System for which are described all three types of scores. The second analysed method is OWASP Risk Rating Methodology. The second part is devoted to the design of the own method, which aims to assess vulnerabilities that it is easier to identify those with high priority. The method is based on three groups of parameters. The first group describes the technical assessment of the vulnerability, the second is based on the requirements to ensure the confidentiality, integrity and availability of the asset and the third group of parameters evaluates the implemented security measures. All three groups of parameters are important for prioritization. Parameters describing the vulnerability are divided into permanent and up-to-date, where the most important up-to-date parameter are Threat Intelligence and easy of exploitation. The parameters of the impact on confidentiality, integrity and availability are linked to the priority of the asset, and to the evaluation of security measures, which increase the protection of confidentiality, integrity and availability. The priority of the asset and the quality of the countermeasures are assessed based on questionnaires, which are submitted to the owners of the examined assets as part of the vulnerability assessment. In the third part of the thesis, the method is compared with the currently widely used the Common Vulnerability Scoring System. The strengths of the proposed method are shown in several examples. The effectiveness of prioritization is based primarily on the priority of the asset and the security measures in place. The method was practically tested in a laboratory environment, where vulnerabilities were made on several different assets. These vulnerabilities were assessed using the proposed method, the priority of the asset and the quality of the measures were considered, and everything was included in the priority of vulnerability. This testing confirmed that the method more effectively prioritizes vulnerabilities that are easily exploitable, recently exploited by an attacker, and found on assets with minimal protection and higher priority.
Description
Citation
PECL, D. Návrh metody pro hodnocení bezpečnostních zranitelností systémů [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2020.
Document type
Document version
Date of access to the full text
Language of document
cs
Study field
Informační bezpečnost
Comittee
doc. Ing. Václav Zeman, Ph.D. (předseda)
doc. Ing. Miloš Orgoň, Ph.D. (místopředseda)
Ing. Zdeněk Martinásek, Ph.D. (člen)
Ing. Jan Mašek, Ph.D. (člen)
Ing. David Smékal (člen)
Mgr. Ing. Pavel Šeda (člen)
Date of acceptance
2020-06-16
Defence
Student prezentoval výsledky své práce a komise byla seznámena s posudky.
Dopňující otázky nebyly.
Student obhájil diplomovou práci a odpověděl na otázky členů komise a oponenta.
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení