Web Application Security Consortium Перспективы развития Сергей Гордейчик Positive Technologies

Август 29, 2022

Главная
Технология
Web Application Security Consortium Перспективы развития Сергей Гордейчик Positive Technologies

Содержание

2. Что такое WASC? Web Application Security Consortium (WASC) Международная некоммерческая организация, объединяющая экспертов-профессионалов в области безопасности
3. WASC в лицах Персоналии …/Robert Auger/Jeremiah Grossman/Romain Gaucher/Amit Klein/Steve Orrin/Bill Pennington/Ivan Ristic/Ory Segal/Ofer Shezaf/Caleb Sima/… Компании
4. Структура WASC Officers Project Leaders Project Leaders Project Leaders Project Teams Community
5. Роли и задачи Officers Общая координация, развитие и инициация новых проектов Project leaders Управление и координация
6. Текущие проекты Классификация The WASC Threat Classification The Web Security Glossary Анализ рисков/метрики Web Application Security
7. The WASC Threat Classification Классификация атак и уязвимостей веб-приложений Наиболее полная на настоящий момент классификация Различные
8. Web Application Security Statistics Анализ результатов работ в области оценки защищенности веб (черный ящик, белый ящик,
9. The Web Hacking Incident Database Сбор и обработка публичных последствий инцидентов (СМИ, расследование уголовных дел, интернет)
10. Distributed Open Proxy Honeypots Сеть открытых HTTP-прокси (с некоторыми ограничениями) Анализ поведения злоумышленников Отслеживание бот-сетей (веб-спам)
11. Использование WASC 1/2 WASC WATC IBM (AppScan) HP (Webinspect) WhiteHat Security (Sentinel) Positive Technologies (MaxPatrol) and
12. Использование WASC 2/2 WASSEC/WAFEC Критерии оценки средств защиты Требования/технические задания к системам NSS Lab Positive Technologies
13. Ближайшие задачи Добавление/расширение контрмер в классификации угроз Актуализация угроз Объединение проектов, связанных с анализом рисков Развитие
15. Скачать презентацию

Слайд 2

Что такое WASC?
Web Application Security Consortium (WASC)
Международная некоммерческая организация, объединяющая

экспертов-профессионалов в области безопасности веб-приложений.
Миссия: Разрабатывать, адаптировать и пропагандировать стандарты в области безопасности веб-приложений
Web-сайт
http://www.webappsec.org/
Wiki
http://projects.webappsec.org/
Список рассылки
websecurity-subscribe@webappsec.org

Слайд 3

WASC в лицах
Персоналии
…/Robert Auger/Jeremiah Grossman/Romain Gaucher/Amit Klein/Steve Orrin/Bill Pennington/Ivan Ristic/Ory Segal/Ofer

Shezaf/Caleb Sima/…
Компании
.../PayPal/WhiteHat Security/Breach Security/Finjan/NT OBJECTives, Inc./Positive Technologies/Application Security, Inc./Intel/Thinking Stone (ModSecurity)/IBM/SPI Dynamics/HP/KPMG/Microsoft/...

Слайд 4

Структура WASC
Officers
Project Leaders
Project Leaders
Project Leaders
Project Teams
Community

Слайд 5

Роли и задачи
Officers
Общая координация, развитие и инициация новых проектов
Project leaders
Управление и

координация проектов
Project teams
Собственно работа

Слайд 6

Текущие проекты
Классификация
The WASC Threat Classification
The Web Security Glossary
Анализ рисков/метрики
Web Application Security

Statistics
The Web Hacking Incident Database
Оценка средств защиты (РД)
The Web Application Security Scanner Evaluation Criteria (WASSEC)
The Web Application Firewall Evaluation Criteria (WAFEC)
Исследования
Script Mapping
Distributed Open Proxy Honeypots

Слайд 7

The WASC Threat Classification
Классификация атак и уязвимостей веб-приложений
Наиболее полная на настоящий

момент классификация
Различные группировки уязвимостей
Связь с другими стандартами (OWASP/CWE)
Более 3 лет разработки второй версии

Слайд 8

Web Application Security Statistics
Анализ результатов работ в области оценки защищенности веб

(черный ящик, белый ящик, сканирования)

Слайд 9

The Web Hacking Incident Database
Сбор и обработка публичных последствий инцидентов (СМИ,

расследование уголовных дел, интернет)
Классификация, учет последствий

Слайд 10

Distributed Open Proxy Honeypots
Сеть открытых HTTP-прокси (с некоторыми ограничениями)
Анализ поведения злоумышленников
Отслеживание

бот-сетей (веб-спам)

Слайд 11

Использование WASC 1/2
WASC WATC
IBM (AppScan)
HP (Webinspect)
WhiteHat Security (Sentinel)
Positive Technologies (MaxPatrol) and

Services
Qualys (QualysGuard Web Application Scanning)
F5 (Application Security Manager)
HoneyApps (Conduit)
OWASP (OWASP Code Crawler 2.5 and OWASP ModSecurity Core Rule Set Project)
Verizon (Verizon Incidents Metrics Framework)
WASC SS/WHID
Анализ рисков
Пугающие presale-презентации

Слайд 12

Использование WASC 2/2
WASSEC/WAFEC
Критерии оценки средств защиты
Требования/технические задания к системам
NSS Lab
Positive Technologies

Слайд 13

Ближайшие задачи
Добавление/расширение контрмер в классификации угроз
Актуализация угроз
Объединение проектов, связанных с анализом

рисков
Развитие WHID (поиск участников)
Разработка «метапроекта» - WASC User Guide

Web Application Security Consortium Перспективы развития Сергей Гордейчик Positive Technologies

Содержание

Что такое WASC?Web Application Security Consortium (WASC) Международная некоммерческая организация, объединяющая

WASC в лицахПерсоналии…/Robert Auger/Jeremiah Grossman/Romain Gaucher/Amit Klein/Steve Orrin/Bill Pennington/Ivan Ristic/Ory Segal/Ofer

Структура WASCOfficersProject LeadersProject LeadersProject LeadersProject TeamsCommunity

Роли и задачиOfficersОбщая координация, развитие и инициация новых проектовProject leadersУправление и

Текущие проектыКлассификацияThe WASC Threat ClassificationThe Web Security GlossaryАнализ рисков/метрикиWeb Application Security

The WASC Threat ClassificationКлассификация атак и уязвимостей веб-приложенийНаиболее полная на настоящий

Web Application Security StatisticsАнализ результатов работ в области оценки защищенности веб

The Web Hacking Incident DatabaseСбор и обработка публичных последствий инцидентов (СМИ,

Distributed Open Proxy HoneypotsСеть открытых HTTP-прокси (с некоторыми ограничениями)Анализ поведения злоумышленниковОтслеживание

Использование WASC 1/2WASC WATCIBM (AppScan)HP (Webinspect)WhiteHat Security (Sentinel)Positive Technologies (MaxPatrol) and

Использование WASC 2/2WASSEC/WAFECКритерии оценки средств защитыТребования/технические задания к системамNSS LabPositive Technologies

Ближайшие задачиДобавление/расширение контрмер в классификации угрозАктуализация угрозОбъединение проектов, связанных с анализом

Похожие презентации