Respício, Ana Luísa do Carmo Correia, 1965-Domingos, Maria Dulce Pedroso, 1970-Santos, Vanessa Rodrigues dos2018-11-122018-11-1220182018http://hdl.handle.net/10451/35317Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2018O número de vulnerabilidades identificadas e reportadas tem vindo a aumentar ao longo dos últimos anos e deste modo a priorização de vulnerabilidades torna-se bastante complexa de gerir. Vários sistemas de avaliação foram propostos para colmatar esta adversidade, sendo o mais conhecido e adotado, o Common Vulnerability Scoring System (CVSS). Foram identificados alguns problemas no CVSS, sendo estes, a reduzida diversidade de valores obtidos na avaliação e a existência de uma grande quantidade de vulnerabilidades nas classificações crítica e alta. Neste sentido, é proposto uma extensão ao CVSS que pretende aumentar a diversidade de valores e diminuir a quantidade de vulnerabilidades nas classificações crítica e alta. Desta forma, são propostos dois novos valores para os fatores de impacto na confidencialidade, integridade e disponibilidade do CVSS referentes à métrica base. A proposta foi avaliada recorrendo a dados disponibilizados pelo National Vulnerability Database (NVD) e pela Energias de Portugal (EDP). Deste modo, as amostragens retiradas das duas fontes foram reavaliadas considerando os valores propostos e comparadas com os valores por omissão do CVSS.The number of identified and reported vulnerabilities has been increasing over the past few years and thus prioritizing vulnerabilities becomes quite complex to manage. Several evaluation systems have been proposed to address this adversity, being the Common Vulnerability Scoring System (CVSS) best known and adopted. Some issues were identified in the evaluation of vulnerabilities using CVSS. The diversity of values obtained is one of them, since the number of vulnerabilities in certain classifications is exceptionally higher than others. Another issue is the large number of vulnerabilities in the critical and high classifications. In this sense, it is proposed an extension to the CVSS that intends to increase the diversity of values and to reduce the amount of vulnerabilities in the critical and high classifications. Therefore, two new values are proposed for the CVSS confidentiality, integrity and availability factors for the base metric. The proposal was evaluated using data provided by the National Vulnerability Database (NVD) and by Energias de Portugal (EDP). Thus, the samplings taken from the two sources were re-evaluated considering the proposed values and compared with the CVSS default values.porVulnerabilidadesAvaliação de vulnerabilidadesCVSSNormasAtaques CibernéticosRiscoPriorizaçãoTeses de mestrado - 2018master thesis201989042