Chulalongkorn University Theses and Dissertations (Chula ETD)

เครื่องมือช่วยประเมินช่องโหว่ด้านความมั่นคงเพื่อการยกระดับเวอร์ชันของซอฟต์แวร์

Other Title (Parallel Title in Other Language of ETD)

Security Vulnerability Assessment Tool for Software Version Upgrade

Year (A.D.)

2016

Document Type

Thesis

First Advisor

ทวิตีย์ เสนีวงศ์ ณ อยุธยา

Faculty/College

Faculty of Engineering (คณะวิศวกรรมศาสตร์)

Degree Name

วิทยาศาสตรมหาบัณฑิต

Degree Level

ปริญญาโท

Degree Discipline

วิศวกรรมซอฟต์แวร์

DOI

10.58837/CHULA.THE.2016.989

Abstract

ซอฟต์แวร์ที่ติดตั้งในเครื่องคอมพิวเตอร์อาจจะมีช่องโหว่ที่ทำให้ผู้โจมตีสามารถเข้าถึงหรือใช้ประโยชน์จากคอมพิวเตอร์ได้ ซึ่งการป้องกันที่ดีที่สุดคือการยกระดับเวอร์ชันซอฟต์แวร์ เพื่อแก้ไขปัญหาต่างๆ ผู้ขายผลิตภัณฑ์ซอฟต์แวร์มักออกเวอร์ชันใหม่ๆ อยู่เป็นระยะเพื่อเพิ่มความสามารถของซอฟต์แวร์ แก้ไขข้อบกพร่อง หรือแก้ไขจุดอ่อนด้านความมั่นคง อย่างไรก็ตามการที่ผู้ดูแลระบบขององค์กรหรือผู้ใช้งานจะยกระดับเวอร์ชันซอฟต์แวร์ให้เป็นปัจจุบันทุก ๆ ซอฟต์แวร์เป็นเรื่องที่ทำได้ยาก เพราะมักเกิดความกังวลในปัญหาที่อาจตามมาหลังจากยกระดับเวอร์ชันซอฟต์แวร์ ดังนั้นในงานวิจัยนี้จึงเสนอเครื่องมือเพื่อประเมินความรุนแรงของช่องโหว่ในซอฟต์แวร์ที่ติดตั้งในคอมพิวเตอร์เปรียบเทียบกับซอฟต์แวร์เวอร์ชันล่าสุด โดยที่การประเมินจะนำคะแนนซีวีเอสเอสเข้ามาประเมินความรุนแรงของช่องโหว่และจะใช้คะแนนซีวีเอสเอสทั้ง 3 กลุ่ม คือ กลุ่มตัววัดพื้นฐาน กลุ่มตัววัดตามเวลา และกลุ่มตัววัดตามสภาพแวดล้อม โดยที่คะแนนกลุ่มตัววัดพื้นฐานจะได้มาจากเอ็นวีดีและคะแนนกลุ่มตัววัดตามเวลาจะได้มาจากไอบีเอ็ม เอกซ์เอฟอี ส่วนคะแนนกลุ่มตัววัดตามสภาพแวดล้อมได้จากการเลือกตามประเภทสารสนเทศในองค์กรตามระดับผลกระทบต่อองค์กรจากการสูญเสียองค์ประกอบด้านความมั่นคงจาก NIST เครื่องมือสามารถแนะนำได้ว่าควรยกระดับเวอร์ชันซอฟต์แวร์หรือไม่ และผู้ใช้งานสามารถเลือกยกระดับเวอร์ชันซอฟต์แวร์ที่มีผลกระทบมากที่สุดก่อนได้ ในการประเมินความพึงพอใจของผู้ใช้เครื่องมือได้คะแนน 4.26 จากคะแนนเต็ม 5 นอกจากนี้ประสิทธิภาพของเครื่องมือในการค้นหาชื่อและเวอร์ชันของซอฟต์แวร์จากฐานข้อมูลเอ็นวีดี ได้ค่าเอฟ-เมเชอร์เฉลี่ยเป็น 0.9919 ซึ่งผลการประเมินทั้งสองอยู่ในระดับที่น่าพอใจ

Other Abstract (Other language abstract of ETD)

Software installed on a computer may have vulnerabilities that allow an attacker to access or exploit a computer and the best protection is upgrading software. Software vendors periodically release software updates to upgrade software to the latest versions with new features, to fix bugs, or to fix security weaknesses. However, it is difficult for administrators or users to upgrade all software to the latest version, because there are concerns about problems that might ensue after upgrading the software version. Therefore, this thesis proposes a tool to assess severity of the vulnerabilities of the installed software version in comparison with that of the latest version. The assessment is based on the CVSS vulnerability scoring system and considers all metric groups, i.e. Base, Temporal, and Environmental metric groups. The Base score of particular software is taken from the National Vulnerability Database (NVD) and the Temporal score from IBM XForce Exchange. The Environmental score follows NIST classification of the security impact an information system would have on an organization. The assessment tool can suggest whether the upgrade to the latest versions is necessary. Thus, the users can decide to upgrade software version that has the most severe vulnerability first. In a user satisfaction evaluation, the tool scores 4.26 out of 5. In addition, the performance of the tool in finding software names and versions information in the NVD in terms of the average F-measure is 0.9919. Both evaluation results are satisfactory.

Link to Full Text

Share

COinS