Web Application Security Consortium Перспективы развития Сергей Гордейчик Positive Technologies.

Презентация:



Advertisements
Похожие презентации
Оценка защищенности Web-приложений Сергей Гордейчик Positive Technologies.
Advertisements

Безопасность Online-приложений. Безопасность online приложений / / online.xspider.ru
Web/безопасность Совмещая несовместимое Сергей Гордейчик Web Application Security Consortium Positive Technologies.
Аутентификация в системах Интернет-банкинга Анализ типичных ошибок Сергей Гордейчик Positive Technologies.
Безопасность прикладных систем. Разработчик, аудитор, пользователь. Сергей Гордейчик Positive Technologies.
"Бумажная безопасность" - как угроза информационному обществу Борис Симис Директор по развитию Positive Technologies.
Оценка эффективности программы повышения осведомленности в области ИБ.
Безопасность: от «бумажных» процессов к реальной защищенности Дмитрий Степанюк Positive Technologies.
Южный федеральный университет Технологический Институт Южного Федерального Университета в г. Таганроге Факультет информационной безопасности Кафедра Безопасности.
Energy Consulting/ Integration Информационно- технологические риски Компании Голов Андрей, CISSP, CISA Руководитель направления ИБ.
WAF - наше все?! Дмитрий Евтеев Positive Technologies.
Средства анализа защищённости Раздел 2 – Тема 12.
Защита на опережение Kaspersky Endpoint Security 8 для Windows Kaspersky Security Center Kaspersky Endpoint Security 8 для Windows Kaspersky Security Center.
ИC промышленных предприятий: защитить нельзя взломать.
Digital Security LifeCycle Management System Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ © 2008, Digital Security.
Соответствие международным и отраслевым стандартам Технологические аспекты.
Защита баз данных. Повестка дня Реалии сегодняшнего дня … Источники атак Уязвимости СУБД Что делать ? Кто поможет ? DbProtect – новое предлагаемое решение.
Kaspersky Lab ТЕХНОЛОГИИ И РЕШЕНИЯ ДЛЯ ЗАЩИТЫ ИНФОРМАЦИИ Евгений Питолин Руководитель регионального представительства Лаборатория Касперского, СЗФО
Сергей Маковец, ISSP Целевые атаки на информационные системы банка Сергей Поята, ISSP Владимир Илибман, Cisco Systems.
ЦЕНТРЫ КОМПЕТЕНЦИИ по информационной безопасности СОЗДАНИЕ ЕДИНОЙ СИСТЕМЫ АУДИТА И МОНИТОРИНГА В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Транксрипт:

Web Application Security Consortium Перспективы развития Сергей Гордейчик Positive Technologies

Что такое WASC? Web Application Security Consortium (WASC) Международная некоммерческая организация, объединяющая экспертов-профессионалов в области безопасности веб-приложений. Миссия: Разрабатывать, адаптировать и пропагандировать стандарты в области безопасности веб-приложений Web-сайт Wiki Список рассылки

WASC в лицах Персоналии …/Robert Auger/Jeremiah Grossman/Romain Gaucher/Amit Klein/Steve Orrin/Bill Pennington/Ivan Ristic/Ory Segal/Ofer Shezaf/Caleb Sima/… Компании.../PayPal/WhiteHat Security/Breach Security/Finjan/NT OBJECTives, Inc./Positive Technologies/Application Security, Inc./Intel/Thinking Stone (ModSecurity)/IBM/SPI Dynamics/HP/KPMG/Microsoft/...

Структура WASC Officers Project Leaders Project Teams Community

Роли и задачи Officers Общая координация, развитие и инициация новых проектов Project leaders Управление и координация проектов Project teams Собственно работа

Текущие проекты Классификация The WASC Threat Classification The Web Security Glossary Анализ рисков/метрики Web Application Security Statistics The Web Hacking Incident Database Оценка средств защиты (РД) The Web Application Security Scanner Evaluation Criteria (WASSEC) The Web Application Firewall Evaluation Criteria (WAFEC) Исследования Script Mapping Distributed Open Proxy Honeypots

The WASC Threat Classification Классификация атак и уязвимостей веб- приложений Наиболее полная на настоящий момент классификация Различные группировки уязвимостей Связь с другими стандартами (OWASP/CWE) Более 3 лет разработки второй версии

Web Application Security Statistics Анализ результатов работ в области оценки защищенности веб (черный ящик, белый ящик, сканирования)

The Web Hacking Incident Database Сбор и обработка публичных последствий инцидентов (СМИ, расследование уголовных дел, интернет) Классификация, учет последствий

Distributed Open Proxy Honeypots Сеть открытых HTTP-прокси (с некоторыми ограничениями) Анализ поведения злоумышленников Отслеживание бот-сетей (веб-спам)

Использование WASC 1/2 WASC WATC IBM (AppScan) HP (Webinspect) WhiteHat Security (Sentinel) Positive Technologies (MaxPatrol) and Services Qualys (QualysGuard Web Application Scanning) F5 (Application Security Manager) HoneyApps (Conduit) OWASP (OWASP Code Crawler 2.5 and OWASP ModSecurity Core Rule Set Project) Verizon (Verizon Incidents Metrics Framework) WASC SS/WHID Анализ рисков Пугающие presale-презентации

Использование WASC 2/2 WASSEC/WAFEC Критерии оценки средств защиты Требования/технические задания к системам NSS Lab Positive Technologies

Ближайшие задачи Добавление/расширение контрмер в классификации угроз Актуализация угроз Объединение проектов, связанных с анализом рисков Развитие WHID (поиск участников) Разработка «мета проекта» - WASC User Guide

Присоединяйтесь! Сергей Гордейчик