Karta Przedmiotu
| Politechnika Białostocka | Wydział Informatyki | ||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Kierunek studiów | Cyberbezpieczeństwo |
Poziom i forma studiów |
pierwszego stopnia stacjonarne |
||||||||||||||||||||||||
| Grupa przedmiotów / specjalność |
Profil kształcenia | ogólnoakademicki | |||||||||||||||||||||||||
| Nazwa przedmiotu | Wykrywanie podatności | Kod przedmiotu | CYB1WPO | ||||||||||||||||||||||||
| Rodzaj zajęć | obowiązkowy | ||||||||||||||||||||||||||
| Formy zajęć i liczba godzin | W | Ć | L | P | Ps | T | S | Semestr | 5 | ||||||||||||||||||
| 30 | 30 | Punkty ECTS | 4 | ||||||||||||||||||||||||
| Program obowiązuje od | 2026/2027 | ||||||||||||||||||||||||||
| Przedmioty wprowadzające | |||||||||||||||||||||||||||
| Cele przedmiotu |
Przekazanie wiedzy z zakresu metodologii, klasyfikacji i oceny podatności systemów teleinformatycznych, ze szczególnym uwzględnieniem automatycznych narzędzi skanowania i ręcznych technik weryfikacji. Rozwój praktycznych umiejętności identyfikowania, priorytetyzowania i dokumentowania podatności w systemach operacyjnych, usługach sieciowych i aplikacjach webowych. Kształtowanie odpowiedzialności etycznej związanej z posiadaniem wiedzy ofensywnej oraz umiejętności komunikowania wyników oceny podatności interesariuszom technicznym i organizacyjnym. Odniesienia do ECSF: Tester penetracyjny Wdrażacz cyberbezpieczeństwa Odniesienia do frameworka edukacyjnego mikrokompetencji SFIA: Badanie podatności VURE - poziom 3 Testy penetracyjne PENT - poziom 3 |
||||||||||||||||||||||||||
| Ramowe treści programowe | Systematyka i klasyfikacja podatności systemów ICT – taksonomie, bazy danych (CVE, NVD, Exploit-DB) i systemy oceny krytyczności (CVSS). Cykl życia podatności: od odkrycia, przez koordynowane ujawnienie (responsible disclosure), po opublikowanie i usunięcie. Metodologie skanowania podatności w infrastrukturze sieciowej i aplikacjach webowych, wraz z rozróżnieniem skanowania aktywnego i pasywnego. Zaawansowane techniki identyfikacji podatności: analiza konfiguracji, przeglądanie kodu, fuzzing oraz ręczna weryfikacja wyników automatycznych skanerów. Zarządzanie podatnościami jako proces organizacyjny – priorytetyzacja, śledzenie i raportowanie. Aspekty prawne i etyczne wykrywania oraz ujawniania podatności w kontekście regulacji europejskich. | ||||||||||||||||||||||||||
| Inne informacje o przedmiocie | przedmiot ma związek z prowadzoną na Uczelni działalnością naukową | ||||||||||||||||||||||||||
| przedmiot kształtuje umiejętności praktyczne | |||||||||||||||||||||||||||
| Wyliczenie: | Nakład pracy studenta związany z: | Godzin ogółem |
W tym kontaktowych |
W tym praktycznych |
|||||||||||||||||||||||
| udziałem w wykładach | 30 | 30 | |||||||||||||||||||||||||
| udziałem w innych formach zajęć | 30 | 30 | 30 | ||||||||||||||||||||||||
| przygotowaniem do bieżących zajęć | 25 | 25 | |||||||||||||||||||||||||
| przygotowaniem do zaliczenia wykładu | 15 | ||||||||||||||||||||||||||
| Razem godzin: | 100 | 60 | 55 | ||||||||||||||||||||||||
| Razem punktów ECTS: | 4 | 2.4 | 2.2 | ||||||||||||||||||||||||
| Zakładane kierunkowe efekty uczenia się | Wiedza | Umiejętności | Kompetencje społeczne |
||||||||||||||||||||||||
| CYB1_W06 | CYB1_U06 | H1_K01 | |||||||||||||||||||||||||
| CYB1_W07 | CYB1_U07 | CYB1_K01 | |||||||||||||||||||||||||
| CYB1_W13 | CYB1_U11 | CYB1_K02 | |||||||||||||||||||||||||
| CYB1_W14 | CYB1_U19 | ||||||||||||||||||||||||||
| Cele i treści ramowe sformułował(a) | dr inż. Anna Łupińska-Dubicka | Data: | 08/04/2026 | ||||||||||||||||||||||||
| Realizacja w roku akademickim | 2028/2029 | ||||||||||||||||||||||||||
| Treści programowe | |||||||||||||||||||||||||||
| Wykład | |||||||||||||||||||||||||||
| 1. | Metodologia kwantyfikacji stopnia krytyczności podatności; krytyczna ewaluacja standardu CVSS (ang. Common Vulnerability Scoring System) w kontekście zmienności wektorów ataków oraz specyfiki oceny ryzyka w złożonych środowiskach teleinformatycznych; cykl życia procesu zarządzania poprawkami bezpieczeństwa; algorytmizacja procedur walidacji, testowania i dystrybucji aktualizacji oprogramowania w środowiskach o rygorystycznych wymogach wysokiej dostępności (ang. High Availability) | ||||||||||||||||||||||||||
| 2. | Studium porównawcze technik uwierzytelnionego i nieuwierzytelnionego skanowania infrastruktury; wpływ poziomu uprawnień diagnostycznych na precyzję detekcji luk, redukcję fałszywych alarmów oraz głębokość inspekcji systemów operacyjnych | ||||||||||||||||||||||||||
| 3. | Taksonomia i ontologia defektów oprogramowania; rola ujednoliconych słowników i rejestrów (takich jak CVE, CWE, NVD) w budowaniu spójnego paradygmatu klasyfikacji oraz kategoryzacji zagrożeń cybernetycznych | ||||||||||||||||||||||||||
| 4. | Zautomatyzowana detekcja podatności a manualna heurystyka weryfikacyjna; analiza komplementarności oraz ograniczeń poznawczych zautomatyzowanych systemów oceny podatności względem metodyki testów penetracyjnych | ||||||||||||||||||||||||||
| 5. | Problematyka błędów pierwszego i drugiego rodzaju w procesie detekcji luk; analiza przyczynowości powstawania fałszywych alarmów (ang. false positives) oraz przeoczeń (ang. false negatives) w oparciu o algorytmy sygnaturowe systemów skanujących | ||||||||||||||||||||||||||
| 6. | Zarządzanie podatnościami w architekturach efemerycznych; paradygmaty identyfikacji i mitygacji luk bezpieczeństwa w izolowanych środowiskach kontenerowych oraz systemach orkiestracji klastrów (np. Kubernetes) | ||||||||||||||||||||||||||
| 7. | Weryfikacja rygoru bezpieczeństwa w środowiskach chmur obliczeniowych; modele współdzielonej odpowiedzialności a automatyzacja audytu konfiguracji infrastruktury (CSPM) w zdecentralizowanych środowiskach wielochmurowych | ||||||||||||||||||||||||||
| 8. | Inwentaryzacja zasobów jako fundament epistemologiczny cyberbezpieczeństwa; wyzwania metodyczne i techniczne w identyfikacji infrastruktury niezarządzanej (tzw. Shadow IT) na potrzeby kompleksowego i miarodajnego monitorowania podatności | ||||||||||||||||||||||||||
| 9. | Strukturalna analiza wektorów ataków na aplikacje internetowe; ewolucja technik eksploatacji warstwy aplikacyjnej w świetle empirycznych zestawień podatności, z uwzględnieniem specyfiki nowoczesnych architektur zorientowanych na usługi | ||||||||||||||||||||||||||
| 10. | Implementacja paradygmatu wczesnego testowania (tzw. Shift-Left) w inżynierii oprogramowania; integracja mechanizmów statycznej (SAST) i dynamicznej (DAST) analizy kodu źródłowego w potokach ciągłej integracji i ciągłego dostarczania (CI/CD) | ||||||||||||||||||||||||||
| 11. | Podatności dnia zerowego (Zero-Day); analiza cyklu życia nieudokumentowanych błędów oprogramowania oraz strategie proaktywnej obrony w warunkach głębokiej asymetrii informacyjnej między atakującym a obrońcą | ||||||||||||||||||||||||||
| 12. | Mechanizm wirtualnego łatkowania (Virtual Patching) w strategii obrony w głąb; wykorzystanie systemów detekcji i prewencji intruzów (IDS/IPS) oraz zapór aplikacyjnych (WAF) jako operacyjnego substytutu bezpośredniej ingerencji w kod źródłowy systemów krytycznych | ||||||||||||||||||||||||||
| 13. | Wykorzystanie modeli analitycznych w procesie priorytetyzacji zagrożeń; integracja danych o aktualnym krajobrazie zagrożeń (ang. Threat Intelligence) w celu optymalizacji procesu decyzyjnego i selekcji najpilniejszych działań naprawczych | ||||||||||||||||||||||||||
| 14. | Mikrosegmentacja sieci jako architektoniczny mechanizm izolacji zagrożeń; techniki ograniczania propagacji poziomej ataków (ang. Lateral Movement) w środowiskach obciążonych długiem technicznym i systemach przestarzałych (legacy) | ||||||||||||||||||||||||||
| 15. | Zaliczenie wykładu | ||||||||||||||||||||||||||
| Pracownia specjalistyczna | |||||||||||||||||||||||||||
| 1. | Ocena krytyczności podatności i projekt procesu patch management w środowisku High Availability | ||||||||||||||||||||||||||
| 2. | Uwierzytelnione i nieuwierzytelnione skanowanie infrastruktury | ||||||||||||||||||||||||||
| 3. | Mapowanie podatności do rejestrów i ontologii bezpieczeństwa | ||||||||||||||||||||||||||
| 4. | Walidacja podatności: skaner kontra analiza ręczna | ||||||||||||||||||||||||||
| 5. | Analiza błędów I i II rodzaju w detekcji podatności | ||||||||||||||||||||||||||
| 6. | Skanowanie i mitygacja podatności w środowisku kontenerowym | ||||||||||||||||||||||||||
| 7. | Ocena konfiguracji bezpieczeństwa w modelu shared responsibility | ||||||||||||||||||||||||||
| 8. | Identyfikacja niezarządzanych zasobów jako podstawa monitorowania podatności | ||||||||||||||||||||||||||
| 9. | Analiza powierzchni ataku aplikacji webowej i usługowej | ||||||||||||||||||||||||||
| 10. | Integracja testów bezpieczeństwa z potokiem CI/CD | ||||||||||||||||||||||||||
| 11. | Modelowanie obrony wobec podatności nieznanych publicznie | ||||||||||||||||||||||||||
| 12. | Wirtualne łatkowanie systemu krytycznego bez ingerencji w kod | ||||||||||||||||||||||||||
| 13. | Model priorytetyzacji remediacji z wykorzystaniem Threat Intelligence | ||||||||||||||||||||||||||
| 14. | Projekt mikrosegmentacji sieci w środowisku legacy | ||||||||||||||||||||||||||
| 15. | Zaliczenie pracowni. Wystawienie ocen | ||||||||||||||||||||||||||
| Metody dydaktyczne (realizacja stacjonarna) |
|||||||||||||||||||||||||||
| W | wykład informacyjny, wykład problemowy, wykład z prezentacją multimedialną | ||||||||||||||||||||||||||
| Ps | programowanie z użyciem komputera | ||||||||||||||||||||||||||
| Metody dydaktyczne (realizacja zdalna) |
|||||||||||||||||||||||||||
| W | wykład informacyjny, wykład problemowy, wykład z prezentacją multimedialną | ||||||||||||||||||||||||||
| - | |||||||||||||||||||||||||||
| Forma zaliczenia | |||||||||||||||||||||||||||
| W | zaliczenie pisemne | ||||||||||||||||||||||||||
| Ps | ocena sprawozdań | ||||||||||||||||||||||||||
| Warunki zaliczenia | |||||||||||||||||||||||||||
| W | Uzyskanie min. 30% punktów z każdego efektu uczenia się z zakresu wiedzy, a po spełnieniu tego warunku ostateczna ocena wynika z sumy uzyskanych punktów. Kryteria oceny: [ 0 – 50]% punktów – 2.0 (50 – 60]% punktów – 3.0 (60 – 70]% punktów – 3.5 (70 – 80]% punktów – 4.0 (80 – 90]% punktów – 4.5 (90 – 100]% punktów – 5.0 |
||||||||||||||||||||||||||
| Ps | Uzyskanie min. 30% z każdego E4-E8, a po spełnieniu tego warunku ostateczna ocena wynika z sumy uzyskanych punktów. Kryteria oceny: [ 0 – 50]% punktów – 2.0 (50 – 60]% punktów – 3.0 (60 – 70]% punktów – 3.5 (70 – 80]% punktów – 4.0 (80 – 90]% punktów – 4.5 (90 – 100]% punktów – 5.0 |
||||||||||||||||||||||||||
| Symbol efektu | Zakładane efekty uczenia się | Odniesienie do efektów uczenia się zdefiniowanych dla kierunku studiów | |||||||||||||||||||||||||
| Wiedza | Umiejętności | Kompetencje społeczne |
|||||||||||||||||||||||||
| Wiedza: student zna i rozumie | |||||||||||||||||||||||||||
| E1 | metodologie, standardy i taksonomie stosowane w procesie zarządzania podatnościami, w tym systemy oceny krytyczności CVSS i bazy danych CVE/NVD | ||||||||||||||||||||||||||
| E2 | zasady działania narzędzi do automatycznego skanowania podatności (sieciowych, webowych, SAST, SCA) oraz ich ograniczenia | ||||||||||||||||||||||||||
| E3 | cykl życia podatności — od odkrycia przez koordynowane ujawnienie po remediację — oraz prawne i etyczne aspekty ujawniania podatności | ||||||||||||||||||||||||||
| Umiejętności: student potrafi | |||||||||||||||||||||||||||
| E4 | przeprowadzić kompleksową ocenę podatności infrastruktury sieciowej i aplikacji webowej przy użyciu profesjonalnych narzędzi skanowania | ||||||||||||||||||||||||||
| E5 | zweryfikować manualnie wyniki automatycznego skanowania, ocenić krytyczność podatności w kontekście organizacyjnym i opracować raport z priorytetyzacją | ||||||||||||||||||||||||||
| E6 | zastosować narzędzia analizy statycznej kodu (SAST) i analizy składu oprogramowania (SCA) do wykrywania podatności we wczesnych fazach cyklu życia oprogramowania | ||||||||||||||||||||||||||
| Kompetencje społeczne: student jest gotów do | |||||||||||||||||||||||||||
| E7 | odpowiedzialnego i etycznego postępowania z wiedzą o podatnościach, z poszanowaniem zasad koordynowanego ujawniania i wymogów prawnych | ||||||||||||||||||||||||||
| E8 | ciągłego śledzenia nowych podatności i aktualizowania wiedzy w dynamicznie zmieniającym się środowisku zagrożeń | ||||||||||||||||||||||||||
| Symbol efektu | Sposób weryfikacji efektu uczenia się | Forma zajęć na której zachodzi weryfikacja | |||||||||||||||||||||||||
| E1 | zaliczenie pisemne | W | |||||||||||||||||||||||||
| E2 | zaliczenie pisemne | W | |||||||||||||||||||||||||
| E3 | zaliczenie pisemne | W | |||||||||||||||||||||||||
| E4 | ocena sprawozdań | Ps | |||||||||||||||||||||||||
| E5 | ocena sprawozdań | Ps | |||||||||||||||||||||||||
| E6 | ocena sprawozdań | Ps | |||||||||||||||||||||||||
| E7 | ocena sprawozdań | Ps | |||||||||||||||||||||||||
| E8 | ocena sprawozdań | Ps | |||||||||||||||||||||||||
| Literatura podstawowa | |||||||||||||||||||||||||||
| 1. | J. Arcuri, Warsztat hakera : testy penetracyjne i innne techniki wykrywania podatności, Helion, 2022 | ||||||||||||||||||||||||||
| 2. | C. Hughes. N. Robinson, Efektywne zarządzanie podatnościami na zagrożenia : jak minimalizować ryzyko w cyfrowym ekosystemie, 2025 | ||||||||||||||||||||||||||
| 3. | A. Shostack, Threat Modeling: Designing for Security. Wiley, 2014 | ||||||||||||||||||||||||||
| 4. | P. Engebretson, The Basics of Hacking and Penetration Testing: Ethical Hacking and Penetration Testing Made Easy. Syngress, 2013 | ||||||||||||||||||||||||||
| Literatura uzupełniająca | |||||||||||||||||||||||||||
| 1. | R. Bejtlich, The Practice of Network Security Monitoring: Understanding Incident Detection and Response. No Starch Press, 2013 | ||||||||||||||||||||||||||
| 2. | P. Foreman, Vulnerability Management, CRC Press, 2010 | ||||||||||||||||||||||||||
| Koordynator przedmiotu: | dr inż. Anna Łupińska-Dubicka | Data: | 08/04/2026 | ||||||||||||||||||||||||