|
|
Vývoj kalkulátoru pro hodnocení zranitelností
Ludes, Adam ; Švikruha, Patrik (oponent) ; Martinásek, Zdeněk (vedoucí práce)
Bakalářská práce se věnuje nově představenému způsobu hodnocení zranitelností, jeho srovnání s nejčastěji používanou metodou Common Vulnerability Scoring System (CVSS), analýze frameworku Vue.js a ostatních technologií použitých při implementaci a samotné implementaci nástroje sloužícímu k představení možností nově navržené metody.
|
|
|
Návrh metody pro hodnocení bezpečnostních zranitelností systémů
Pecl, David ; Martinásek, Zdeněk (oponent) ; Gerlich, Tomáš (vedoucí práce)
Práce se zabývá problematikou hodnocení bezpečnostních zranitelností. Cílem práce je vytvořit novou metodu hodnocení zranitelností, která bude lépe prioritizovat kritické zranitelnosti a reflektovat parametry, které v aktuálně využívaných metodách nejsou použity. Nejdříve popisuje současné metody, které se pro hodnocení zranitelností používají, a parametry, které jsou v jednotlivých metodách použity. První popsanou metodou je Common Vulnerability Scoring System, u které jsou popsané i všechny tři typy skóre, které tato metoda používá. Druhou analyzovanou metodou je OWASP Risk Rating Methodology. Druhá část je věnována návrhu vlastní metody, která má za cíl hodnotit zranitelnosti tak, aby bylo snadnější určit ty s vysokou prioritou. Metoda vychází ze třech skupin parametrů. První skupina popisuje technické hodnocení zranitelnosti, druhá vychází z požadavků na zajištění důvěrnosti, integrity a dostupnosti aktiva a třetí skupina parametrů hodnotí implementovaná protiopatření. Všechny tyto tři skupiny parametrů jsou pro prioritizaci důležité. Parametry popisující zranitelnost jsou rozděleny na stálé a aktuální, kdy mezi aktuální patří především informace ze služeb Threat Intelligence a náročnost exploitace. Parametry dopadu na důvěrnost, integritu a dostupnost jsou provázány s požadavky na zajištění těchto parametrů, neboli s prioritou aktiva, a dále s hodnocením protiopatření, která naopak zvyšují ochranu důvěrnosti, integrity a dostupnosti. Priorita aktiva a kvalita protiopatření se hodnotí na základě dotazníků, které jsou předloženy vlastníkům zkoumaných aktiv v rámci hodnocení zranitelností. V třetí části práce je navržená metoda srovnána s v současnosti velmi používanou metodou Common Vulnerability Scoring System. Na několika příkladech jsou ukázány silné stránky navržené metody, kdy je vidět efektivita prioritizace při zohlednění požadavků na zajištění důvěrnosti, integrity a dostupnosti a zvýšená ochrana těchto parametrů díky implementovaným protiopatřením. Metoda byla prakticky testována v laboratorním prostředí, kde byly na několika různých aktivech nasimulovány zranitelnosti. Tyto zranitelnosti byly ohodnoceny navrženou metodou, byla zohledněna priorita aktiva a kvalita protiopatření a vše bylo zahrnuto do výsledné priority zranitelností. V rámci tohoto testování bylo potvrzeno, že navržená metoda efektivněji prioritizuje zranitelnosti, které jsou jednoduše exploitovatelné, v poslední době často zneužívané a jsou přítomny na aktivech s minimální ochranou a vyšší prioritou.
|
|
| |
|
|
Nástroj pro snazší zabezpečení počítačů s OS Linux
Barabas, Maroš ; Hanáček, Petr (oponent) ; Vojnar, Tomáš (vedoucí práce)
Účelem práce je příblížit čtenáři nové přístupy při zjištování a odstraňování zranitelností v oblasti počítačové bezpečnosti a navrhnout nový systém na zlepšení bezpečnosti v počítačích s operačním systémem Linux. Tento systém má za úkol analyzovat vzdálené operační systémy a odhalit tím zranitelná místa, které můžou být následně odstraněné aplikováním existujících bezpečnostních standardů.
|
|
|
Vývoj kalkulátoru pro hodnocení zranitelností v Javascriptu
Škrhák, Pavel ; Fujdiak, Radek (oponent) ; Holasová, Eva (vedoucí práce)
Cílem práce je popsat známé metody hodnocení zranitelností, a provést jejich implementaci do webové aplikace využívající framework Vue.js. Práce popisuje dva systémy hodnocení zranitelností, a to CVSS (Common Vulnerability Scoring System) a OWASP (Open Web Application Security Project) Risk Rating Methodology. Jsou popsány jejich části, metriky a metody samotného výpočtu hodnocení. Následně jsou tyto systémy porovnány a jsou určeny jejich silné a slabé stránky. Práce dále hodnotí některé známe zranitelnosti pomocí těchto dvou metod hodnocení. Práce dále popisuje návrh frontendu a backendu webové aplikace. Pro frontend je využit framework Vue.js, který umožňuje tvorbu dynamických jednostránkových webových aplikací. Jsou navrhnuty komponenty a rozložení aplikace. Dále je proveden návrh vzhledu frontednové aplikace a jejích komponentů. Backend byl navrhnut tak, aby vyhovoval frameworku Djnago, který spolu s frameworkem django REST framework slouží k rychlému vytváření API (Application Programming Interface) komunikujícího s databází. Byl navrhnut model pro ukládání dat z frontendové aplikace. Následně práce popisuje samotnou implementaci této aplikace rozdělenou na frontend a backend. V backendu je popsána implementace API a databáze. Je popsána implementace samotného modelu, serializátoru a metod pro komunikaci s frontendovou aplikací. Ve frontendu je vytvořen vue router, který slouží k dynamické změně obsahu stránky, a poté již samotné komponenty, které slouží jako stavební bloky aplikace. Tyto komponenty obsahují tři části, a to strukturu, kód JavaScriptu a CSS (Cascading Sytle Sheets). Komponenty si mohou předávat data a volat funkce jiných komponentů. Poslední částí práce je testování aplikace samotné. Je otestována její funkčnost pomocí výpočtu skóre již hodnocených zranitelností a některých bodů OWASP ASVS (Application Security Verification Standart). Dále je otestována bezpečnost pomocí testu několika známých zranitelností, společně s testováním pomocí OWASP ASVS.
|
|
|
Analýza dat z automatických bezpečnostních scannerů
VODSTRČIL, Pavel
Tato bakalářská práce se zabývá zkoumáním a zpracováním reportů z automatických bezpečnostních skenerů. V začátku teoretické části je krátké seznámení se skenováním. Dále jsou rozebrány jednotlivé výstupy ze skenerů (reporty) a popis položek. V další části následuje seznámení s Common Vulnerability Scoring System, který je využíván v praktické části pro ohodnocování. Na konci první části jsou již uvedeny některé funkce vytvořené aplikace. Začátek praktické části je věnován návrhu databáze a vybranému frameworku pro tvorbu. Následuje seznámení s funkcemi aplikace a samotné možnosti zobrazení výsledků.
|
|
|
Vývoj kalkulátoru pro hodnocení zranitelností v Javascriptu
Škrhák, Pavel ; Fujdiak, Radek (oponent) ; Holasová, Eva (vedoucí práce)
Cílem práce je popsat známé metody hodnocení zranitelností, a provést jejich implementaci do webové aplikace využívající framework Vue.js. Práce popisuje dva systémy hodnocení zranitelností, a to CVSS (Common Vulnerability Scoring System) a OWASP (Open Web Application Security Project) Risk Rating Methodology. Jsou popsány jejich části, metriky a metody samotného výpočtu hodnocení. Následně jsou tyto systémy porovnány a jsou určeny jejich silné a slabé stránky. Práce dále hodnotí některé známe zranitelnosti pomocí těchto dvou metod hodnocení. Práce dále popisuje návrh frontendu a backendu webové aplikace. Pro frontend je využit framework Vue.js, který umožňuje tvorbu dynamických jednostránkových webových aplikací. Jsou navrhnuty komponenty a rozložení aplikace. Dále je proveden návrh vzhledu frontednové aplikace a jejích komponentů. Backend byl navrhnut tak, aby vyhovoval frameworku Djnago, který spolu s frameworkem django REST framework slouží k rychlému vytváření API (Application Programming Interface) komunikujícího s databází. Byl navrhnut model pro ukládání dat z frontendové aplikace. Následně práce popisuje samotnou implementaci této aplikace rozdělenou na frontend a backend. V backendu je popsána implementace API a databáze. Je popsána implementace samotného modelu, serializátoru a metod pro komunikaci s frontendovou aplikací. Ve frontendu je vytvořen vue router, který slouží k dynamické změně obsahu stránky, a poté již samotné komponenty, které slouží jako stavební bloky aplikace. Tyto komponenty obsahují tři části, a to strukturu, kód JavaScriptu a CSS (Cascading Sytle Sheets). Komponenty si mohou předávat data a volat funkce jiných komponentů. Poslední částí práce je testování aplikace samotné. Je otestována její funkčnost pomocí výpočtu skóre již hodnocených zranitelností a některých bodů OWASP ASVS (Application Security Verification Standart). Dále je otestována bezpečnost pomocí testu několika známých zranitelností, společně s testováním pomocí OWASP ASVS.
|
|
|
Vývoj kalkulátoru pro hodnocení zranitelností
Ludes, Adam ; Švikruha, Patrik (oponent) ; Martinásek, Zdeněk (vedoucí práce)
Bakalářská práce se věnuje nově představenému způsobu hodnocení zranitelností, jeho srovnání s nejčastěji používanou metodou Common Vulnerability Scoring System (CVSS), analýze frameworku Vue.js a ostatních technologií použitých při implementaci a samotné implementaci nástroje sloužícímu k představení možností nově navržené metody.
|
|
|
Návrh metody pro hodnocení bezpečnostních zranitelností systémů
Pecl, David ; Martinásek, Zdeněk (oponent) ; Gerlich, Tomáš (vedoucí práce)
Práce se zabývá problematikou hodnocení bezpečnostních zranitelností. Cílem práce je vytvořit novou metodu hodnocení zranitelností, která bude lépe prioritizovat kritické zranitelnosti a reflektovat parametry, které v aktuálně využívaných metodách nejsou použity. Nejdříve popisuje současné metody, které se pro hodnocení zranitelností používají, a parametry, které jsou v jednotlivých metodách použity. První popsanou metodou je Common Vulnerability Scoring System, u které jsou popsané i všechny tři typy skóre, které tato metoda používá. Druhou analyzovanou metodou je OWASP Risk Rating Methodology. Druhá část je věnována návrhu vlastní metody, která má za cíl hodnotit zranitelnosti tak, aby bylo snadnější určit ty s vysokou prioritou. Metoda vychází ze třech skupin parametrů. První skupina popisuje technické hodnocení zranitelnosti, druhá vychází z požadavků na zajištění důvěrnosti, integrity a dostupnosti aktiva a třetí skupina parametrů hodnotí implementovaná protiopatření. Všechny tyto tři skupiny parametrů jsou pro prioritizaci důležité. Parametry popisující zranitelnost jsou rozděleny na stálé a aktuální, kdy mezi aktuální patří především informace ze služeb Threat Intelligence a náročnost exploitace. Parametry dopadu na důvěrnost, integritu a dostupnost jsou provázány s požadavky na zajištění těchto parametrů, neboli s prioritou aktiva, a dále s hodnocením protiopatření, která naopak zvyšují ochranu důvěrnosti, integrity a dostupnosti. Priorita aktiva a kvalita protiopatření se hodnotí na základě dotazníků, které jsou předloženy vlastníkům zkoumaných aktiv v rámci hodnocení zranitelností. V třetí části práce je navržená metoda srovnána s v současnosti velmi používanou metodou Common Vulnerability Scoring System. Na několika příkladech jsou ukázány silné stránky navržené metody, kdy je vidět efektivita prioritizace při zohlednění požadavků na zajištění důvěrnosti, integrity a dostupnosti a zvýšená ochrana těchto parametrů díky implementovaným protiopatřením. Metoda byla prakticky testována v laboratorním prostředí, kde byly na několika různých aktivech nasimulovány zranitelnosti. Tyto zranitelnosti byly ohodnoceny navrženou metodou, byla zohledněna priorita aktiva a kvalita protiopatření a vše bylo zahrnuto do výsledné priority zranitelností. V rámci tohoto testování bylo potvrzeno, že navržená metoda efektivněji prioritizuje zranitelnosti, které jsou jednoduše exploitovatelné, v poslední době často zneužívané a jsou přítomny na aktivech s minimální ochranou a vyšší prioritou.
|
|
|
Nástroj pro snazší zabezpečení počítačů s OS Linux
Barabas, Maroš ; Hanáček, Petr (oponent) ; Vojnar, Tomáš (vedoucí práce)
Účelem práce je příblížit čtenáři nové přístupy při zjištování a odstraňování zranitelností v oblasti počítačové bezpečnosti a navrhnout nový systém na zlepšení bezpečnosti v počítačích s operačním systémem Linux. Tento systém má za úkol analyzovat vzdálené operační systémy a odhalit tím zranitelná místa, které můžou být následně odstraněné aplikováním existujících bezpečnostních standardů.
|
host ::
RSS.