PECL, D. Návrh metody pro hodnocení bezpečnostních zranitelností systémů [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2020.
Student pracoval převážně samostatně, většinu konzultací prováděl s konzultantem z externí firmy. Práce dosahuje výsoké odborné tak i formální úrovně. V teoretické části prácě student popisuje současné metody hodnocí. V praktické částí realizuje návrh vlastní metody a porovnává svoji metodu s současně využívanou metodou CVSSv3. Student splnil zadání v plném rozsahu, proto doporučuji práci k obhajobě z hodnocením A/95 bodů.
Hlavním cílem práce bylo navrhnout a implementovat novou metodu hodnocení zranitelností. V teoretické části student podrobně analyzoval současný stav problematiky a popsal dvě současně nejpoužívanější metody CVSSv3 a OWAPS. V praktické části student navrhnul vlastní metodu, která přináší v porovnání s používanými metodami několik výhod: metoda není tak složitá jako CVSS, ale bere v potaz důležité aktuální parametry zranitelnosti (př. Threat Intelligence, Exploitace, implementace protiopatření). Práce je celkově na velmi vysoké úrovni jak po formální stránce, tak po stránce odborné. Následující text shrnuje drobné nedostatky: v kapitole 3 měla být více popsána návaznost mezi metodami CVSS, OWASP a vlastní metodou. Co bylo hlavním cílem návrhu metody a proč. Minimalizovat složitost, zjednodušit implementaci nebo např. eliminovat zjištěný nedostatek v CVSS v podobě „aktuálních“ parametrů zranitelnosti. V kapitole Threat Intelligence (podkapitola 3.2.1) by bylo vhodné uvést zdroj stejně jako u předchozích parametrů (předpokládám [21,22]). Z mého pohledu by také bylo vhodnější kapitolu 4 dát jako podkapitolu kapitoly 3 (týká se také vlastního návrhu metody). V úvodu není definována zkratka triáda CIA, zkratka DMZ měla být rozepsána v textu (DeMilitarizovaná Zóna) - správná definice je např. pro NVD na str. 51. Za další nedostatek považuji nezobrazení alespoň číselné osy x u grafů zobrazených na obr. 5.1 (pro snadnější orientaci měly být zranitelnosti očíslovány a tedy i osa x 1 až 40). Chybná formulace str. 61 „které se by“. Pro dosažené výsledky by bylo vhodné zobrazit korelační koeficient k získání přímé podobnosti mezi výsledky CVSSv3 a vlastní metody. V praktické části byla metoda implementována a ověřena její funkčnost jak v produkčním prostředí, tak v laboratorním prostředí. Veškeré stanovené cíle práce byly tak splněny a navrhuji práci hodnotit známkou A.
eVSKP id 125988