|
|
Návrh metody pro hodnocení bezpečnostních zranitelností systémů
Pecl, David ; Martinásek, Zdeněk (oponent) ; Gerlich, Tomáš (vedoucí práce)
Práce se zabývá problematikou hodnocení bezpečnostních zranitelností. Cílem práce je vytvořit novou metodu hodnocení zranitelností, která bude lépe prioritizovat kritické zranitelnosti a reflektovat parametry, které v aktuálně využívaných metodách nejsou použity. Nejdříve popisuje současné metody, které se pro hodnocení zranitelností používají, a parametry, které jsou v jednotlivých metodách použity. První popsanou metodou je Common Vulnerability Scoring System, u které jsou popsané i všechny tři typy skóre, které tato metoda používá. Druhou analyzovanou metodou je OWASP Risk Rating Methodology. Druhá část je věnována návrhu vlastní metody, která má za cíl hodnotit zranitelnosti tak, aby bylo snadnější určit ty s vysokou prioritou. Metoda vychází ze třech skupin parametrů. První skupina popisuje technické hodnocení zranitelnosti, druhá vychází z požadavků na zajištění důvěrnosti, integrity a dostupnosti aktiva a třetí skupina parametrů hodnotí implementovaná protiopatření. Všechny tyto tři skupiny parametrů jsou pro prioritizaci důležité. Parametry popisující zranitelnost jsou rozděleny na stálé a aktuální, kdy mezi aktuální patří především informace ze služeb Threat Intelligence a náročnost exploitace. Parametry dopadu na důvěrnost, integritu a dostupnost jsou provázány s požadavky na zajištění těchto parametrů, neboli s prioritou aktiva, a dále s hodnocením protiopatření, která naopak zvyšují ochranu důvěrnosti, integrity a dostupnosti. Priorita aktiva a kvalita protiopatření se hodnotí na základě dotazníků, které jsou předloženy vlastníkům zkoumaných aktiv v rámci hodnocení zranitelností. V třetí části práce je navržená metoda srovnána s v současnosti velmi používanou metodou Common Vulnerability Scoring System. Na několika příkladech jsou ukázány silné stránky navržené metody, kdy je vidět efektivita prioritizace při zohlednění požadavků na zajištění důvěrnosti, integrity a dostupnosti a zvýšená ochrana těchto parametrů díky implementovaným protiopatřením. Metoda byla prakticky testována v laboratorním prostředí, kde byly na několika různých aktivech nasimulovány zranitelnosti. Tyto zranitelnosti byly ohodnoceny navrženou metodou, byla zohledněna priorita aktiva a kvalita protiopatření a vše bylo zahrnuto do výsledné priority zranitelností. V rámci tohoto testování bylo potvrzeno, že navržená metoda efektivněji prioritizuje zranitelnosti, které jsou jednoduše exploitovatelné, v poslední době často zneužívané a jsou přítomny na aktivech s minimální ochranou a vyšší prioritou.
|
|
|
Zabezpečení mobilních zařízení s operačním systémem Android ve firemní sféře
Pecl, David ; Dvořák, Jan (oponent) ; Frolka, Jakub (vedoucí práce)
Práce se zabývá problematikou bezpečnosti operačního systému Android. Nejdříve popisuje základní architekturu systému a bezpečnostní mechanizmy, které můžeme v tomto systému najít. Ve druhé části se věnuje popisu hrozeb a útoků na zařízení s OS Android. Popisuje riziko, kterému je vystaven uživatel mobilního zařízení a dopad na bezpečnost zařízení, uživatele a dat, která jsou v zařízení obsažena. U každé hrozby i útoku je zmíněn způsob, jakým může být zařízení kompromitováno. Hrozby i útoky jsou ohodnoceny pomocí systému CVSS. Dále se věnuje problematice aktualizací na Androidu. V poslední části jsou popsány aplikace, které mohou být použity především ve firemním prostředí pro správu a zabezpečení mobilních zařízení s Androidem. Jsou zde popsány funkce těchto aplikací a proti jakým hrozbám nebo útokům poskytují ochranu. Dále jsou zde uvedeny příklady takových aplikací. V rámci práce je vytvořena laboratorní úloha pro demonstraci systémů pro správu mobilních zařízení, které se používají ve firemní sféře, a učební text formou prezentace jak pro přednášení, tak pro samostudium.
|
|
|
Návrh metody pro hodnocení bezpečnostních zranitelností systémů
Pecl, David ; Martinásek, Zdeněk (oponent) ; Gerlich, Tomáš (vedoucí práce)
Práce se zabývá problematikou hodnocení bezpečnostních zranitelností. Cílem práce je vytvořit novou metodu hodnocení zranitelností, která bude lépe prioritizovat kritické zranitelnosti a reflektovat parametry, které v aktuálně využívaných metodách nejsou použity. Nejdříve popisuje současné metody, které se pro hodnocení zranitelností používají, a parametry, které jsou v jednotlivých metodách použity. První popsanou metodou je Common Vulnerability Scoring System, u které jsou popsané i všechny tři typy skóre, které tato metoda používá. Druhou analyzovanou metodou je OWASP Risk Rating Methodology. Druhá část je věnována návrhu vlastní metody, která má za cíl hodnotit zranitelnosti tak, aby bylo snadnější určit ty s vysokou prioritou. Metoda vychází ze třech skupin parametrů. První skupina popisuje technické hodnocení zranitelnosti, druhá vychází z požadavků na zajištění důvěrnosti, integrity a dostupnosti aktiva a třetí skupina parametrů hodnotí implementovaná protiopatření. Všechny tyto tři skupiny parametrů jsou pro prioritizaci důležité. Parametry popisující zranitelnost jsou rozděleny na stálé a aktuální, kdy mezi aktuální patří především informace ze služeb Threat Intelligence a náročnost exploitace. Parametry dopadu na důvěrnost, integritu a dostupnost jsou provázány s požadavky na zajištění těchto parametrů, neboli s prioritou aktiva, a dále s hodnocením protiopatření, která naopak zvyšují ochranu důvěrnosti, integrity a dostupnosti. Priorita aktiva a kvalita protiopatření se hodnotí na základě dotazníků, které jsou předloženy vlastníkům zkoumaných aktiv v rámci hodnocení zranitelností. V třetí části práce je navržená metoda srovnána s v současnosti velmi používanou metodou Common Vulnerability Scoring System. Na několika příkladech jsou ukázány silné stránky navržené metody, kdy je vidět efektivita prioritizace při zohlednění požadavků na zajištění důvěrnosti, integrity a dostupnosti a zvýšená ochrana těchto parametrů díky implementovaným protiopatřením. Metoda byla prakticky testována v laboratorním prostředí, kde byly na několika různých aktivech nasimulovány zranitelnosti. Tyto zranitelnosti byly ohodnoceny navrženou metodou, byla zohledněna priorita aktiva a kvalita protiopatření a vše bylo zahrnuto do výsledné priority zranitelností. V rámci tohoto testování bylo potvrzeno, že navržená metoda efektivněji prioritizuje zranitelnosti, které jsou jednoduše exploitovatelné, v poslední době často zneužívané a jsou přítomny na aktivech s minimální ochranou a vyšší prioritou.
|
|
|
Zabezpečení mobilních zařízení s operačním systémem Android ve firemní sféře
Pecl, David ; Dvořák, Jan (oponent) ; Frolka, Jakub (vedoucí práce)
Práce se zabývá problematikou bezpečnosti operačního systému Android. Nejdříve popisuje základní architekturu systému a bezpečnostní mechanizmy, které můžeme v tomto systému najít. Ve druhé části se věnuje popisu hrozeb a útoků na zařízení s OS Android. Popisuje riziko, kterému je vystaven uživatel mobilního zařízení a dopad na bezpečnost zařízení, uživatele a dat, která jsou v zařízení obsažena. U každé hrozby i útoku je zmíněn způsob, jakým může být zařízení kompromitováno. Hrozby i útoky jsou ohodnoceny pomocí systému CVSS. Dále se věnuje problematice aktualizací na Androidu. V poslední části jsou popsány aplikace, které mohou být použity především ve firemním prostředí pro správu a zabezpečení mobilních zařízení s Androidem. Jsou zde popsány funkce těchto aplikací a proti jakým hrozbám nebo útokům poskytují ochranu. Dále jsou zde uvedeny příklady takových aplikací. V rámci práce je vytvořena laboratorní úloha pro demonstraci systémů pro správu mobilních zařízení, které se používají ve firemní sféře, a učební text formou prezentace jak pro přednášení, tak pro samostudium.
|
host ::
RSS.