Obrona rozprawy doktorskiej mjr. mgr. inż. Artura Stachurskiego: Innowacyjne metody prognozowania podatności oprogramowania
W dniu 20 listopada 2024 r. na Wydziale Cybernetyki Wojskowej Akademii Technicznej miała miejsce publiczna obrona rozprawy doktorskiej mjr. mgr. inż. Artura Stachurskiego, dotycząca innowacyjnych metod prognozowania podatności oprogramowania na zagrożenia w cyberprzestrzeni. Praca została przygotowana w dziedzinie nauk inżynieryjno-technicznych, w dyscyplinie informatyka techniczna i telekomunikacja. Tytuł rozprawy brzmi: „Model i metoda prognozowania podatności oprogramowania na zagrożenia w cyberprzestrzeni”. Promotorem pracy jest dr hab. inż. Andrzej Najgebauer, prof. WAT, a promotorem pomocniczym płk. dr inż. Rafał Kasprzyk.
Wyzwania związane z prognozowaniem podatności
W swojej pracy, mjr mgr inż. Artur Stachurski podkreśla znaczenie rosnącej liczby podatności w powszechnie używanym oprogramowaniu, zwracając uwagę na ich wpływ na bezpieczeństwo w cyberprzestrzeni.
„Z przeprowadzonych analiz statystycznych podatności wynika, iż podatności występują niemal w każdym dostępnym powszechnie oprogramowaniu”
– zaznacza autor rozprawy. Problem związany z identyfikowaniem podatności jest bardzo złożony, pomimo zaawansowanych narzędzi technicznych. Ustalenie zależności analitycznych w tym kontekście nie jest procesem trywialnym.
Opracowana przez mjr. mgr. inż. Artura Stachurskiego metoda prognozowania opiera się na autorskich modelach probabilistycznych, które wykorzystują właściwości łańcucha Markowa. Celem zaproponowanych rozwiązań jest umożliwienie oszacowania poziomu bezpieczeństwa oprogramowania, intensywności wykrywania krytycznych podatności oraz skuteczności działań profilaktyczno-naprawczych związanych z eliminacją podatności.
Wykorzystanie danych z testów bezpieczeństwa
Proponowane modele i metody zostały opracowane z myślą o oprogramowaniu dedykowanym, tj. takim, którego projekt i implementacja są zlecone przez dany podmiot innemu podmiotowi, i które nie jest przeznaczone do dystrybucji na szeroką skalę. Ważnym elementem zaproponowanego podejścia jest wykorzystanie rzeczywistych danych pozyskanych podczas testów bezpieczeństwa, co umożliwia dokładniejszą analizę i prognozowanie podatności.
Mjr mgr inż. Artur Stachurski wskazuje, że proponowane modele mogą służyć nie tylko do wykrywania podatności, ale również do przyporządkowania nowo-wykrytych podatności do zdefiniowanych kategorii. Aby zwiększyć skuteczność procesu wykrywania podatności, zaproponowano rozszerzenie modelu o mechanizmy uczenia maszynowego, wykorzystujące dane z bazy NVD (National Vulnerability Database), zarządzanej przez NIST.
Zastosowanie w praktyce
Zastosowanie zaproponowanych metod ma na celu nie tylko usprawnienie jakościowej i ilościowej analizy zgromadzonych danych, ale także umożliwienie bardziej kompleksowej oceny poziomu bezpieczeństwa oprogramowania. „Celem jest wyznaczenie oceny możliwych przejść oprogramowania ze stanu bezpiecznego w stan podatny”, co w praktyce pozwala na lepsze zarządzanie ryzykiem związanym z potencjalnymi zagrożeniami.
Recenzje i uznanie ekspertów
Obronie rozprawy towarzyszyły pozytywne recenzje uznanych ekspertów w dziedzinie cyberbezpieczeństwa. Dr hab. inż. Krzysztof Kurowski z Instytutu Chemii Bioorganicznej PAN oraz Poznańskiego Centrum Superkomputerowo-Sieciowego podkreślił wagę poruszonego tematu:
„Rosnąca liczba i złożoność udanych cyberataków zaobserwowanych w ostatnich dekadach ma szereg poważnych konsekwencji dla bezpiecznego funkcjonowania wielu organizacji, poszanowania prywatności użytkowników, a w skrajnych przypadkach bezpośrednio zagraża bezpieczeństwu infrastruktury krytycznej”.
Według Kurowskiego, zagadnienia związane z prognozowaniem podatności i zarządzaniem poziomem bezpieczeństwa są kluczowe w kontekście nowoczesnych cyberzagrożeń.
Z kolei dr hab. Rafał Różycki, prof. PP, z Instytutu Informatyki Politechniki Poznańskiej zauważył, że
„rozprawa wpisuje się w szeroki zakres badań, których celem jest opracowanie metod i narzędzi wykrywania, przeciwdziałania i niwelowania skutków cyberzagrożeń”.
Prof. Różycki zwrócił uwagę na innowacyjność podejścia mjr. mgr. inż. Artura Stachurskiego oraz na potencjał zaproponowanej metody w kontekście wykrywania podatności oprogramowania dedykowanego, które jest stale rozwijane i testowane pod kątem bezpieczeństwa.
Gratulacje i przyszłość badań
Publiczna obrona rozprawy doktorskiej zakończyła się sukcesem, a mjr mgr inż. Artur Stachurski uzyskał tytuł doktora nauk inżynieryjno-technicznych. Serdecznie gratulujemy obrony tytułu doktora mjr. mgr. inż. Arturowi Stachurskiemu!
Badania prowadzone przez autora mają ogromne znaczenie w kontekście dynamicznie rosnącego zagrożenia cyberatakami, które stają się coraz bardziej zaawansowane. Praca ta może stanowić istotny wkład w rozwój metod i narzędzi do zarządzania bezpieczeństwem oprogramowania, szczególnie w kontekście oprogramowania dedykowanego, które jest stosowane w kluczowych systemach informatycznych.
Tekst: Magdalena Moszczyńska