Posudky závěrečné kvalifikační práce

Posudek vedoucího

Ondrák, Viktor

Cílem práce bylo prověřit úroveň zabezpečení webové aplikace hostované v cloudu MS AZURE při použití pouze nativních bezpečnostních služeb AZURE. Autor velmi dobře navrhl a realizoval testovací polygon v cloudovém prostředí a testovanou aplikaci a systém síťových útoků. Systematicky vyhodnotil výsledky testování včetně závěru. Práce by ještě mohla být doplněna doporučeními na další možnosti zabezpečení aplikací. Rozsah práce je nadstandardní, ale splnění cílů práce to oprávněně vyžadovalo. Autor práce prokázal široké teoretické znalosti a znalosti cloudu MS AZURE a schopnost tyto znalosti využít k praktickému použití. Cíl práce byl splněn, práci DOPORUČUJI k obhajobě a hodnotím stupněm VELMI DOBŘE. Doplňující otázky: 1. Jaké další bezpečnostní opatření byste navrhl nad rámec nativních služeb? 2. Doporučil byste využití cloudového prostředí Azure i pro menší firmy, než je Škoda Auto?

Dílčí hodnocení
Kritérium	Známka	Body	Slovní hodnocení
Splnění stanovených cílů	B
Zvolený postup řešení, adekvátnost použitých metod	B
Schopnost interpretovat dosažené výsledky a vyvozovat z nich závěry	C
Praktická využitelnost výsledků	B
Uspořádání práce, formální náležitosti, použitá terminologie a odborná jazyková úroveň	C
Práce s informačními zdroji, včetně citací	B

Navrhovaná známka: B

Posudek oponenta

Petr,, Svojanovský

1. Splnění stanovených cílů: Cíl práce je definován na straně 13 jako „Cílem této práce je prověřit efektivitu zabezpečení pomocí nativních služeb Azure a vyhodnotit smysluplnost nasazení těchto služeb pro zvýšení bezpečnosti dat za výhradního použití pravidel, které jsou připraveny společností Microsoft.“. Tento cíl je v předložené bakalářské práci splněn. 2. Zvolený postup řešení, adekvátnost použitých metod: Řešení je velice zdařilé a zároveň pracné a časově náročné pro autora práce. Nejprve byla navržena a implementována testovací architektura v prostředí Azure za pomoci předpřipravené zranitelné aplikace OWASP Juice Shop. Poté byly vedeny jednotlivé útoky na aplikaci z prostředí Kali linux a Burp Suite (lokální instalace ve VM na HW autora práce), který patří mezi základní výbavu každého penetračního testera a představuje standard v testování bezpečnosti webových aplikací. Namísto ručního testování mohl být použit automatický scanner zranitelností, například OpenVAS. Tím by však došlo ke zkreslení výsledků, protože by nebylo možné útoky ladit přesně tak, jak jsou uvedeny v návodu k OWASP Juice Shop. 3. Schopnost interpretovat dosažené výsledky a vyvozovat z nich závěry: Dosažená úspěšnost použité technologie Azure WAF pro detekci útoků byla v bakalářské práci jen 18 %. I autor práce v závěru přiznává: „Odpovědí na otázku, zda může zabezpečení v Azure pouze pomocí nativních služeb a přednastavených pravidel vyřešit problém nedostatečně zabezpečených aplikací, je tak jednoznačně: „ne““. Toto tvrzení je však v rozporu s praxí, kdy řada globálních firem (například Novartis, Adecco) na zabezpečení svých aplikací pomocí Azure WAF spoléhá. Autor v práci nenabízí čtenáři uspokojivé vysvětlení tohoto rozporu. Pokud by důvodem byla jenom přednastavená pravidla WAF, potom by pro zákazníky vyvstala otázka, zda vůbec nakoupit technologii s úspěšností 18 %, kterou je poté potřeba ještě značně upravit, aby byla vůbec použitelná v praxi. Odpověď, že použitá aplikace OWASP Juice Shop není postavena na technologiích Microsoft není dostatečná, neboť princip „http request response“ je na použité technologii nezávislý. Samozřejmě existují specifika pro jednotlivé vendory, ale například útok SQL injection bude vždy závislý zejména na dostatečném ošetření vstupu, a ne na použité databázi. 4. Praktická využitelnost výsledků: Cíl práce a zejména způsob jeho dosažení (penetrační testování webové aplikace chráněné Azure WAF) je aktuální a závažné téma, protože aplikace lokálních i globálních zákazníků (z pohledu společnosti Microsoft) se přesouvají do formy webových aplikací hostovaných v cloudu. Zároveň globálně existuje obrovská poptávka na levné a účinné zabezpečení těchto aplikací, a to i s ohledem na aktuální geopolitickou situaci ve světě. Předložená bakalářská práce tak mohla mít velký dopad na řešení otázky zabezpečení webových aplikací. Tento dopad je však snížen dosaženou úspěšností WAF a neuspokojivým zdůvodněním takového výsledku. Lze tak jen doufat, že autor bude v práci pokračovat, a navazující diplomová práce v angličtině tento dopad mít bude. 5. Struktura práce, použitá terminologie a odborná jazyková úroveň: Doporučený rozsah bakalářské práce je 40–50 stran včetně analýzy a teorie. Předkládaná práce svým rozsahem značně převyšuje doporučený rozsah. Teoretická východiska práce jsou popsána na šedesáti stranách, stejně tak jako řešení v kapitole 5. Teoretická východiska, zejména pak popis informační bezpečnosti dle norem a standardů, nemají příliš velkou spojitost s řešením práce v kapitole 5, kde je popisováno spíše penetrační testování webové aplikace, což je velice úzká oblast celého rámce bezpečnosti popsaného v úvodu. Použitá terminologie a odborná jazyková úroveň je na dobré úrovni. 6. Práce s informačními zdroji: Práce s informačními zdroji je dobrá a může zájemci o problematiku velice dobře posloužit k dalšímu studiu. Bakalářskou práci doporučuji k obhajobě.

Dílčí hodnocení
Kritérium	Známka	Body	Slovní hodnocení
Splnění stanovených cílů	A
Zvolený postup řešení, adekvátnost použitých metod	A
Schopnost interpretovat dosažené výsledky a vyvozovat z nich závěry	C
Praktická využitelnost výsledků	D
Struktura práce, použitá terminologie a odborná jazyková úroveň	B
Práce s informačními zdroji	A

Navrhovaná známka: B

Otázky

1. Pokud by byl autor BP v roli zákazníka, koupil by si technologii Azure WAF a spolehl by se na zajištění požadovaného stupně důvěrnosti informací, za které má byznysovou anebo právní zodpovědnost (například s ohledem na GDPR)?
2. Pokud se zákazník rozhodne pro technologii Azure WAF, co je potřeba učinit pro to, aby bylo dosaženo vyšší spolehlivosti, než jen 18 %? V práci je nastíněno, že jedním z důvodů pro nízkou schopnost detekce je využití pouze předpřipravených pravidel, dává však ekonomický smysl vytvářet svoje pravidla a dostat se s úspěšností nad alespoň 95 %?
3. Existuje ze strany Microsoftu „compatibility list“ webových technologií, které je schopen Azure WAF chránit? Pokud ano, jaké je vysvětlení toho, že jiné open source technologie chránit nelze? Pokud ne, jak lze vysvětlit úspěšnost detekce pouhých 18 %?
4. Pro test byla použita aplikace OWASP Juice Shop, kterou používají penetrační testeři pro svoje vzdělávání a přípravy na certifikace. OWASP Juice Shop tak obsahuje jednoduché zranitelnosti, které by u reálné aplikace zřejmě nebyly. Naopak by webová aplikace obsahovala „sofistikovanější“ zranitelnosti podle schopností web developera a případného penetračního testera. Je tato úvaha správná? Pokud ano, jak lze z tohoto pohledu nahlížet na oněch dosažených 18 % úspěšnosti detekce Azure WAF?
5. Standardní sazba za „člověkoden“ penetračního testera je 6000 Kč a tato sazba se postupem času snižuje. Jaká je, s ohledem na zabezpečení webové aplikace, vhodná kombinace použití penetračního testera a automatických technologií jako Azure WAF?