but.committee	doc. Ing. Václav Zeman, Ph.D. (předseda) doc. Ing. Miloš Orgoň, Ph.D. (místopředseda) doc. Ing. Zdeněk Martinásek, Ph.D. (člen) Ing. Jan Mašek, Ph.D. (člen) Ing. David Smékal (člen) RNDr. Ing. Pavel Šeda, Ph.D. (člen)	cs
but.defence	Student prezentoval výsledky své práce a komise byla seznámena s posudky. Dopňující otázky nebyly. Student obhájil diplomovou práci a odpověděl na otázky členů komise a oponenta.	cs
but.jazyk	čeština (Czech)
but.program	Informační bezpečnost	cs
but.result	práce byla úspěšně obhájena	cs
dc.contributor.advisor	Gerlich, Tomáš	cs
dc.contributor.author	Pecl, David	cs
dc.contributor.referee	Martinásek, Zdeněk	cs
dc.date.created	2020	cs
dc.description.abstract	Práce se zabývá problematikou hodnocení bezpečnostních zranitelností. Cílem práce je vytvořit novou metodu hodnocení zranitelností, která bude lépe prioritizovat kritické zranitelnosti a reflektovat parametry, které v aktuálně využívaných metodách nejsou použity. Nejdříve popisuje současné metody, které se pro hodnocení zranitelností používají, a parametry, které jsou v jednotlivých metodách použity. První popsanou metodou je Common Vulnerability Scoring System, u které jsou popsané i všechny tři typy skóre, které tato metoda používá. Druhou analyzovanou metodou je OWASP Risk Rating Methodology. Druhá část je věnována návrhu vlastní metody, která má za cíl hodnotit zranitelnosti tak, aby bylo snadnější určit ty s vysokou prioritou. Metoda vychází ze třech skupin parametrů. První skupina popisuje technické hodnocení zranitelnosti, druhá vychází z požadavků na zajištění důvěrnosti, integrity a dostupnosti aktiva a třetí skupina parametrů hodnotí implementovaná protiopatření. Všechny tyto tři skupiny parametrů jsou pro prioritizaci důležité. Parametry popisující zranitelnost jsou rozděleny na stálé a aktuální, kdy mezi aktuální patří především informace ze služeb Threat Intelligence a náročnost exploitace. Parametry dopadu na důvěrnost, integritu a dostupnost jsou provázány s požadavky na zajištění těchto parametrů, neboli s prioritou aktiva, a dále s hodnocením protiopatření, která naopak zvyšují ochranu důvěrnosti, integrity a dostupnosti. Priorita aktiva a kvalita protiopatření se hodnotí na základě dotazníků, které jsou předloženy vlastníkům zkoumaných aktiv v rámci hodnocení zranitelností. V třetí části práce je navržená metoda srovnána s v současnosti velmi používanou metodou Common Vulnerability Scoring System. Na několika příkladech jsou ukázány silné stránky navržené metody, kdy je vidět efektivita prioritizace při zohlednění požadavků na zajištění důvěrnosti, integrity a dostupnosti a zvýšená ochrana těchto parametrů díky implementovaným protiopatřením. Metoda byla prakticky testována v laboratorním prostředí, kde byly na několika různých aktivech nasimulovány zranitelnosti. Tyto zranitelnosti byly ohodnoceny navrženou metodou, byla zohledněna priorita aktiva a kvalita protiopatření a vše bylo zahrnuto do výsledné priority zranitelností. V rámci tohoto testování bylo potvrzeno, že navržená metoda efektivněji prioritizuje zranitelnosti, které jsou jednoduše exploitovatelné, v poslední době často zneužívané a jsou přítomny na aktivech s minimální ochranou a vyšší prioritou.	cs
dc.description.abstract	The thesis deals with the assessment of security vulnerabilities. The aim of this work is to create a new method of vulnerability assessment, which will better prioritize critical vulnerabilities and reflect parameters that are not used in currently used methods. Firstly, it describes the common methods used to assess vulnerabilities and the parameters used in each method. The first described method is the Common Vulnerability Scoring System for which are described all three types of scores. The second analysed method is OWASP Risk Rating Methodology. The second part is devoted to the design of the own method, which aims to assess vulnerabilities that it is easier to identify those with high priority. The method is based on three groups of parameters. The first group describes the technical assessment of the vulnerability, the second is based on the requirements to ensure the confidentiality, integrity and availability of the asset and the third group of parameters evaluates the implemented security measures. All three groups of parameters are important for prioritization. Parameters describing the vulnerability are divided into permanent and up-to-date, where the most important up-to-date parameter are Threat Intelligence and easy of exploitation. The parameters of the impact on confidentiality, integrity and availability are linked to the priority of the asset, and to the evaluation of security measures, which increase the protection of confidentiality, integrity and availability. The priority of the asset and the quality of the countermeasures are assessed based on questionnaires, which are submitted to the owners of the examined assets as part of the vulnerability assessment. In the third part of the thesis, the method is compared with the currently widely used the Common Vulnerability Scoring System. The strengths of the proposed method are shown in several examples. The effectiveness of prioritization is based primarily on the priority of the asset and the security measures in place. The method was practically tested in a laboratory environment, where vulnerabilities were made on several different assets. These vulnerabilities were assessed using the proposed method, the priority of the asset and the quality of the measures were considered, and everything was included in the priority of vulnerability. This testing confirmed that the method more effectively prioritizes vulnerabilities that are easily exploitable, recently exploited by an attacker, and found on assets with minimal protection and higher priority.	en
dc.description.mark	A	cs
dc.identifier.citation	PECL, D. Návrh metody pro hodnocení bezpečnostních zranitelností systémů [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2020.	cs
dc.identifier.other	125988	cs
dc.identifier.uri	http://hdl.handle.net/11012/189199
dc.language.iso	cs	cs
dc.publisher	Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií	cs
dc.rights	Standardní licenční smlouva - přístup k plnému textu bez omezení	cs
dc.subject	Aktivum	cs
dc.subject	bezpečnost	cs
dc.subject	CVSS	cs
dc.subject	dostupnost	cs
dc.subject	důvěrnost	cs
dc.subject	hodnocení zranitelnosti	cs
dc.subject	integrita	cs
dc.subject	OWASP	cs
dc.subject	priorita	cs
dc.subject	bezpečnostní protiopatření	cs
dc.subject	zranitelnost	cs
dc.subject	Asset	en
dc.subject	security	en
dc.subject	CVSS	en
dc.subject	availability	en
dc.subject	confidentiality	en
dc.subject	vulnerability assessment	en
dc.subject	integrity	en
dc.subject	OWASP	en
dc.subject	priority	en
dc.subject	security measure	en
dc.subject	vulnerability	en
dc.title	Návrh metody pro hodnocení bezpečnostních zranitelností systémů	cs
dc.title.alternative	Design of methodology for vulnerability assesment	en
dc.type	Text	cs
dc.type.driver	masterThesis	en
dc.type.evskp	diplomová práce	cs
dcterms.dateAccepted	2020-06-16	cs
dcterms.modified	2020-06-19-07:58:17	cs
eprints.affiliatedInstitution.faculty	Fakulta elektrotechniky a komunikačních technologií	cs
sync.item.dbid	125988	en
sync.item.dbtype	ZP	en
sync.item.insts	2025.03.26 14:23:27	en
sync.item.modts	2025.01.15 14:14:17	en
thesis.discipline	Informační bezpečnost	cs
thesis.grantor	Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. Ústav telekomunikací	cs
thesis.level	Inženýrský	cs
thesis.name	Ing.	cs

Návrh metody pro hodnocení bezpečnostních zranitelností systémů

Files

Original bundle

Collections