1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Роботи студентів
  3. Магістр
  4. 125 — кібербезпека, Кібербезпека та захист інформації
Please use this identifier to cite or link to this item: http://elartu.tntu.edu.ua/handle/lib/48288
Title: Інтерпретація системи оцінки вразливостей, як методу для оцінки ризиків
Other Titles: Interpretation of a Vulnerability Assessment System as a method for Risk Evaluation
Authors: Ревура, Дмитро Степанович
Revura, Dmytro
Affiliation: ТНТУ ім. І. Пулюя, Факультет комп’ютерно-інформаційних систем і програмної інженерії, Кафедра кібербезпеки, м. Тернопіль, Україна
Bibliographic description (Ukraine): Ревура Д.С. Інтерпретація системи оцінки вразливостей, як методу для оцінки ризиків: робота на здобуття кваліфікаційного ступеня магістра: спец. 125 - Кібербезпека та захист інформації / наук. кер. Р. О. Козак. Тернопіль : Тернопільський національний технічний університет імені Івана Пулюя, 2024. 87 с.
Issue Date: 1-Jan-2025
Date of entry: 9-Mar-2025
Publisher: ТНТУ
Country (code): UA
Place of the edition/event: ТНТУ ім. І.Пулюя, ФІС, м. Тернопіль, Україна
Supervisor: Козак, Руслан Орестович
Kozak, Ruslan
Committee members: Приймак, Микола Володимирович
Pryimak, Mykola
Keywords: CVSS
ризик
risk
загроза
threat
вразливість
vulnerability
оцінка
assessment
нормалізація
normalization
управління ризиками
risk management
Abstract: Кваліфікаційна робота присвячена дослідженню можливості застосування системи оцінки вразливостей CVSS як методу для оцінки ризиків інформаційної безпеки. У роботі проведено огляд існуючих систем оцінки вразливостей і ризиків, включаючи аналіз підходів до оцінки ризиків та їх порівняння. Особливу увагу приділено комплексному аналізу системи CVSS 3.0, її базових метрик та потенціалу для оцінювання ризиків. У ході дослідження розроблено алгоритм, який забезпечує нормалізацію та масштабування показників CVSS для їхньої адаптації до матриці ризиків. Для перевірки методу проведено тестування на вразливостях. Отримані результати порівняно з експертними оцінками, що дозволило визначити точність і практичну застосовність запропонованого підходу. Результати роботи підтверджують, що запропонована методика дозволяє інтегрувати CVSS у процеси оцінки ризиків, забезпечуючи стандартизований і автоматизований підхід. Поєднання алгоритмічного підходу з експертним аналізом дозволяє підвищити точність оцінки ризиків, забезпечити стандартизовану звітність і оптимізувати використання ресурсів для реагування на виявлені вразливості. Запропонована методика є перспективною для великих організацій із високим рівнем автоматизації кіберзахисту та може слугувати основою для подальших досліджень у сфері управління ризиками. The qualification work is dedicated to the study of the applicability of the CVSS (Common Vulnerability Scoring System) as a method for assessing information security risks. The work includes a review of existing vulnerability and risk assessment systems, including an analysis of risk assessment approaches and their comparison. Special attention is paid to a comprehensive analysis of the CVSS 3.0 system, its base metrics, and its potential for risk evaluation. During the study, an algorithm was developed to normalize and scale CVSS metrics for adaptation to a risk matrix. To validate the method, testing was conducted on vulnerabilities. The obtained results were compared with expert evaluations, which allowed for determining the accuracy and practical applicability of the proposed approach. The results of the work confirm that the proposed methodology enables the integration of CVSS into risk assessment processes, providing a standardized and automated approach. Combining the algorithmic method with expert analysis enhances the accuracy of risk assessments, ensures standardized reporting, and optimizes resource allocation for addressing identified vulnerabilities. The proposed methodology is promising for large organizations with a high level of cybersecurity automation and can serve as a foundation for further research in the field of risk management.
Description: Інтерпретація системи оцінки вразливостей, як методу для оцінки ризиків // ОР «Магістр» // Ревура Дмитро Степанович // Тернопільський національний технічний університет імені Івана Пулюя, факультет комп’ютерно-інформаційних систем і програмної інженерії, кафедра кібербезпеки, група СБм-61 // Тернопіль, 2024 // С. 83, рис. – 9, табл. – 9 , кресл. – , додат. – 1.
Content: ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ, СИМВОЛІВ, ОДИНИЦЬ, СКОРОЧЕНЬ І ТЕРМІНІВ 7 ВСТУП 8 РОЗДІЛ 1 ОГЛЯД СИСТЕМ ОЦІНКИ ВРАЗЛИВОСТЕЙ ТА РИЗИКІВ 11 1.1 Поняття систем оцінки вразливостей 11 1.3 Підходи до оцінки ризиків 15 1.3.1 Якісний метод оцінки ризиків 18 1.3.2 Кількісний метод оцінки ризиків 20 1.3.3 Порівняльний аналіз методів 21 2 ПОТЕНЦІАЛ CVSS 3.0 ДЛЯ ОЦІНКИ РИЗИКІВ 24 2.1 Комплексний аналіз системи оцінки вразливостей CVSS 3.0 24 2.2 Аналіз літератури для інтерпретації 33 2.3 Нормалізація як метод інтерпретації CVSS 41 РОЗДІЛ 3 ІНТЕРПРЕТАЦІЯ CVSS ЯК МЕТОДУ ДЛЯ ОЦІНКИ РИЗИКІВ 47 3.1 Вхідні дані 47 3.1.1 Вразливості 47 3.1.2 Матриця ризиків 51 3.1.3 Оцінка вразливостей експерта з ризиків 58 3.2. Розробка алгоритму 60 3.3. Застосування та результати алгоритму 62 3.4. Порівняння результатів 65 3.5. Висновки та рекомендації 69 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ 71 4.1 Охорона праці 71 4.2 Здоровий спосіб життя людини та його вплив на професійну діяльність 73 ВИСНОВКИ 79 СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 81 Додаток А – Публікація 84
URI: http://elartu.tntu.edu.ua/handle/lib/48288
Copyright owner: © Ревура Дмитро Степанович, 2024
References (Ukraine): 1. WIVSS: A New Methodology for Scoring Information Systems Vulnerabilities. ResearchGate. [Електронний ресурс] Режим доступа: https://www.researchgate.net/publication/262241114_WIVSS_A_new_methodology_for_scoring_information_systems_vulnerabilities. (дата звернення: 03.10.2024).
2. CVSS (Common Vulnerability Scoring System): Definition and Overview. TechTarget. [Електронний ресурс]. Режим доступу: https://www.techtarget.com/searchsecurity/definition/CVSS-Common-Vulnerability-Scoring-System. (дата звернення: 03.10.2024).
3. CWSS Version 1.0.1. MITRE. [Електронний ресурс]. Режим доступу: https://cwe.mitre.org/cwss/cwss_v1.0.1.html. (дата звернення: 04.10.2024).
4. Threat Modeling with Microsoft DREAD. Satori Cyber. [Електронний ресурс]. Режим доступу: https://satoricyber.com/glossary/threat-modeling-with-microsoft-dread/. (дата звернення: 04.10.2024).
5. CVSS Version 4.0. FIRST Organization. [Електронний ресурс]. Режим доступу: https://www.first.org/cvss/v4-0/. (дата звернення: 26.12.2024).
6. Derkach, M., Skarga-Bandurova, I., Matiuk, D., & Zagorodna, N. (2022, December). Autonomous quadrotor flight stabilisation based on a complementary filter and a PID controller. In 2022 12th International Conference on Dependable Systems, Services and Technologies (DESSERT) (pp. 1-7). IEEE.
7. Understanding Inherent Risks in Cybersecurity. Computers & Security, Volume 123, 2023. р. 35–50.
8. ISO 27001: A Comprehensive Approach to Residual Risk Management. International Journal of Information Security and Policy, Volume 20, Issue 4, 2023. р. 275–290.
9. Mishko, O., Matiuk, D., & Derkach, M. (2024). Security of remote iot system management by integrating firewall configuration into tunneled traffic. Вісник Тернопільського національного технічного університету, 115(3), 122-129.
10. What is a Risk Assessment Matrix? AuditBoard. [Електронний ресурс]. Режим доступу: https://www.auditboard.com/blog/what-is-a-risk-assessment-matrix/. (дата звернення: 11.10.2024).
11. Lechachenko, T., Gancarczyk, T., Lobur, T., & Postoliuk, A. (2023). Cybersecurity Assessments Based on Combining TODIM Method and STRIDE Model for Learning Management Systems. In CITI (pp. 250-256).
12. Quantitative Risk Analysis in Cybersecurity: Methods and Models. IEEE Transactions on Risk Management, Volume 25, Issue 3, 2023. р. 350–370.
13. Tymoshchuk, D., Yasniy, O., Mytnyk, M., Zagorodna, N., Tymoshchuk, V., (2024). Detection and classification of DDoS flooding attacks by machine learning methods. CEUR Workshop Proceedings, 3842, pp. 184 - 195.
14. ТИМОЩУК, Д., & ЯЦКІВ, В. (2024). USING HYPERVISORS TO CREATE A CYBER POLYGON. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (3), 52-56.
15. CVSS Version 3.0 Specification Document. FIRST Organization. [Електронний ресурс]. Режим доступу: https://www.first.org/cvss/v3.0/specification-document. (дата звернення: 20.10.2024).
16. Tymoshchuk, D., & Yatskiv, V. (2024). Slowloris ddos detection and prevention in real-time. Collection of scientific papers «ΛΌГOΣ», (August 16, 2024; Oxford, UK), 171-176.
17. Yesin, V., Karpinski, M., Yesina, M., Vilihura, V., Kozak, R., & Shevchuk, R. (2023). Technique for Searching Data in a Cryptographically Protected SQL Database. Applied Sciences, 13(20), 11525.
18. IEEE FiCloud. "Normalization Framework for Vulnerability Risk Management in Cloud". Presented at the International Conference on Internet of Things and Cloud Technologies (FiCloud).
19. Lypa, B., Horyn, I., Zagorodna, N., Tymoshchuk, D., Lechachenko T., (2024). Comparison of feature extraction tools for network traffic data. CEUR Workshop Proceedings, 3896, pp. 1-11.
20. Tymoshchuk, V., Pakhoda, V., Dolinskyi, A., Karnaukhov, A., & Tymoshchuk, D. (2024). MODELLING CYBER THREATS AND EVALUATING THE PERFORMANCE OF INTRUSION DETECTION SYSTEMS. Grail of Science, (46), 636–641. https://doi.org/10.36074/grail-of-science.29.11.2024.081
21. Information Security Risk Assessment. ResearchGate. [Електронний ресурс]. Режим доступу: https://www.researchgate.net/publication/353436973_Information_Security_Risk_Assessment. (дата звернення: 04.11.2024).
22. ТИМОЩУК, Д., ЯЦКІВ, В., ТИМОЩУК, В., & ЯЦКІВ, Н. (2024). INTERACTIVE CYBERSECURITY TRAINING SYSTEM BASED ON SIMULATION ENVIRONMENTS. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (4), 215-220.
23. Lupenko, S., Orobchuk, O., Osukhivska, H., Xu, M., & Pomazkina, T. (2019, July). Methods and means of knowledge elicitation in Chinese Image Medicine for achieving the tasks of its ontological modeling. In 2019 IEEE 2nd Ukraine Conference on Electrical and Computer Engineering (UKRCON) (pp. 855-858). IEEE.
24. Порядок організації захисту інформації в інформаційно-телекомунікаційних системах. Законодавство України. [Електронний ресурс] Режим доступа: https://zakon.rada.gov.ua/laws/show/z0508-18#Text. (дата звернення: 20.11.2024).
25. НПАОП 0.00-7.15-18 Вимоги щодо безпеки та захисту здоров’я працівників під час роботи з екранними пристроями. Київ. 2018.
26. Вовк Ю. Я. Охорона праці в галузі. Навчальний посібник / Ю. Я. Вовк, І. П. Вовк – Тернопіль: ФОП Паляниця В.А. – 2015. – 172 с.
Content type: Master Thesis
Appears in Collections:125 — кібербезпека, Кібербезпека та захист інформації

Files in This Item:
File Description SizeFormat 
Bachelor_Thesis_SB-61_Revura_D_S_2024.pdf1,78 MBAdobe PDFView/Open
Show full item record


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.

Admin Tools