• OWASP
  OWASP Top Ten (Top Ten)

• WASC
  WAFEC
  WASSEC
  WASC-TC

• MITRE
  CWE
  CVE

• SANS
  SANS Top 20 (Top 20)

• CWE/SANS Top 25 (Top 25)

--Введение

Когда дело доходит до сравнения фактических, либо технических стандартов, руководств, терминологий, либо общепринятой безопасности в Сети, то для человека, не знакомого с аудитом, данная среда является исключительно запутанной и сбивающей с толку.
Кто диктует „моду“ в мире аудита, в чем же заключается разница между „OWASP Top Ten“ и классификацией угроз от WASC? Которую из классификаций лучше использовать на практике?
В чем же различия между такими организациями как MITRE, OWASP, SANS, и WASC, чьи области время от времени склонны пересекаться и взаимодействовать? Недостаточная ясность, не смотря на „открытые проекты“ , зачастую мешает людям решить, какую организацию им следует выбрать и какие стандарты лучше всего использовать для достижения той или иной цели в сфере аудита. В представленном обзоре перечислены организации, структуры и описаны некоторые из новшеств, более или менее определенных и обособленных с точки зрения терминологии/стандартов/структуры, а также перечислены их различия.
Приводимый ниже список структур ни в коем случае нельзя считать исчерпывающим. На обзор были приняты наиболее актуальные и прогрессирующие проекты.

Open Web Application Security Project – OWASP
Открытый проект обеспечения безопасности веб-приложений.
OWASP –это всемирная открытая организация, нацеленная на улучшение программ сетевой безопасности. Главная цель проекта сосредоточена на улучшении приложений по обеспечению безопасности, чтобы люди занимающие аудитом и организации могли принимать информированные решения по оценкам риска при помощи ПО.

Организация сосредоточилась в значительной степени на аспектах разработки программного обеспечения на основе прикладной безопасности. В составе организации входит несметное количество членов, OWASP является превосходным ресурсом для разработчиков и людей занимающихся независимым аудитом. Особенно он будет полезен новичкам при изучении сетевой безопасности и стремящимся обменяться опытом, поделиться наработками с пользователями.

Top Ten (OWASP Top Ten)
Top Ten представляет собой документ для понимания безопасности Сети, отражает в себе наиболее распространяемые и актуальные, критические прикладные недостатки.

Данный документ составлен с целью просвещения пользователей. Он представляет собой список основных самых распространенных видов уязвимостей. Разработка проходит под руководством экспертов, проводящих тщательный анализ с учетом различных условий эксплуатации. Классификация OWASP не претендует на полноту, всесторонность или на звание фундамента для всех остальных подобных классификаций, но тем не менее она цитируется в стандарте PCI-DSS. Технически документ можно вполне считать разновидностью и следующим ветвлением WASC-TC. Такой список может стать одним из важным документов для руководителей службы безопасности, от которых порой руководство требует объяснений в доступной им форме.
Top Ten на данный момент является главный оценочным критерием для всех типов программного обеспечения, что констатируется Top 25.

Web Application Security Consortium – WASC
Консорциум Прикладной Безопасности Сети.
Международная группа экспертов, промышленных практиков и представителей организаций. Основывается на полученном мировом опыте из открытых источников, широко применяющихся для безопасности Всемирной паутины.

Консорциум был основан группой экспертов в области Web security. Членство в консорциуме определяется вкладом, личными достоинствами и заслугами каждого из участников. WASC обычно берется за проекты, имеющие весьма существенное значение для „движения“ сетевой безопасности, требующие высокой степени экспертных умений в данной области и зависящие от коллективных усилий ключевых участников. Такие усилия, как правило, в открытых сообществах даются с трудом. На стадии финальных разработок результаты совместных усилий подвергаются тщательной коллективной проверке, что обеспечивает высококачественные результаты. Обычно такие продукты немедленно пускаются на промышленный конвейер.

Web Application Firewall Evaluation Criteria – WAFEC
Критерии программных брандмауэров для обеспечения сетевой безопасности.
Это промышленный стандарт, содержащий критерии проверки и оценки качества прикладных решений для обеспечения сетевой безопасности на основе межсетевых экранов. Цель этого проекта состоит в том, чтобы разработать детальные прикладные оценочные критерии для сетевых брандмауэров; создать четкую методику тестирования, которая может использоваться любым разумно квалифицированным техником для независимой оценки WAF качества.

Прикладные сетевые брандмауэры (Web Application Firewalls –WAF) представляют собой порой запутанный и не редко сложный набор технологий/правил, которые весьма трудно оценить. WAFEC v1 служит основой для выделения ключевых целей таких разработок. Представленный набор правил для сетевой продукции является лишь общим направлением для разработки приложений.

Web Application Security Scanner Evaluation Criteria – WASSEC
Критерий программных решений для обеспечения сетевой безопасности.
Ряд руководящих принципов оценки прикладного ПО вида „сканер“ для обеспечения безопасности сети. В оценку критериев входит способность выявлять уязвимости сети, а так же оценка программного обеспечения. Критерии включают в себя неравномерное распределение, парсинг, обработку сессий, типы уязвимостей, информацию о предоставляемых уязвимостях. Документ дает оценку лишь техническим аспектам прикладных сканеров безопасности сети, а не конкретным особенностям ПО. В целом WASSEC определяет минимальные требования, которым должно соответствовать любое сетевое приложение вида „сканер“.

Прикладные сканеры могут быть исключительно сложны и трудны для оценки. Стандарт WASSEC, в настоящее время находится на стадии активного развития. В дальнейшем он послужит основой сравнения сканеров и определения направлений для данного типа программного обеспечения.

Web Security Threat Classification – WASC-TC
Классификация угроз безопасности.
Данная классификация явилась результатом совместных усилий, направленных на разъяснение сущности потенциальных угроз безопасности веб-приложений. Члены WASC основали данный проект, чтобы развивать и продвигать терминологию промышленного стандарта. Теперь у разработчиков приложений, профессионалов в области безопасности, продавцов программного обеспечения и аудиторов появится единый глоссарий, посвященный узкой области, связанной с проблемами обеспечения безопасности сети.

Иерархически выстроенная система классификаций сетевых атак особое внимание уделяет согласованию и принятию единой терминологии, а также составлению определений и описанию структуры элементов. Данную систему вполне можно считать „пристройкой“ над „OWASP Top Ten“. Над содержанием работали создатели сканеров, аудиторы и разработчики брандмауэров, что является критерием тщательности проработки. На данный момент в имеющуюся классификации не входят понятия о распространении самой уязвимости и оценки угроз. В настоящее время разрабатывается измененная и дополненная вторая версия WASC-TC.

The Mitre Corporation – MITRE
Некоммерческая организация, работающая на общественных началах, в качестве государственного ресурса. Делится знаниями и опытом в области систем инженерных разработок, в системном проектировании, информационных технологий, оперативных концепций и модернизации предприятия, отвечающими ключевым потребностям спонсоров.

CWE
Обеспечивает единую и многообразную классификацию уязвимостей программного обеспечения. "Free for public use" классификация существует для применения в личных целях, в различных инструментальных средствах обеспечения безопасности ПО, способных выявить узкие места в исходном коде и при эксплуатации системы, а также способствовать более эффективному управлению уязвимостями ПО, связанными с архитектурой и дизайном.

Словарь терминов по уязвимостям программного обеспечения предназначен для разработчиков и конечных пользователей систем, интересующихся безопасностью. CWE включает много аспектов безопасности Сети. Во многом ее можно считать разновидностью классификаций угроз WASC, хотя терминология в некоторых случаях может не совпадать. Ожидается, что увеличивающееся число промышленных проектов и стандартов будет основываться именно на данных классификациях. Это будет исключительно полезно как при общем обсуждения темы безопасности, так и при организации конкретных материалов и при составлении отчетов о результатах.

CVE
Словарь общеизвестной информации об уязвимостях и безопасности компьютерных сетей. Общие и единые идентификаторы CVE позволяют обеспечивать обмен данными между продуктами, разработками безопасности и представлять собой исходную точку для оценки диапазона, охвата инструментов и служб аудита.

Публично выявленные, опубликованные уязвимости в коммерческих продуктах с закрытым или открытым исходным кодом приводятся в CVE в виде глоссария с номерами-идентификаторами. CVE не включает уязвимости сетей, настраиваемых пользователями. Большинство сканеров уязвимости будут классифицировать обнаруженные уязвимости именно в соответствии с идентификаторами CVE.

SysAdmin, Audit, Networking, and Security – SANS
Основана в 1989 г. в качестве организации для коллективного обучения, просвещения и проведения исследований. В программах этой ассоциации принимают участие более ~165 000 профессионалов в области безопасности во всем мире.

Top 20 (SANS Top 20)
Согласованный список проблем связанных с уязвимостями ПО, требующих немедленного вмешательства и устранения. Подобный рейтинг стал плодом совместных усилий множества ведущих экспертов в области безопасности. Сам перечень составлен самыми серьезными государственными агентствами Великобритании, США и Сингапура, занимающимися проблемами безопасности на самом высшем уровне, ведущими производителями программного обеспечения безопасности и консалтинговыми фирмами; программами сетевой безопасности на базе университетов; центром анализа инцидентов – „Internet Storm Center“ и многими другими крупными организациями в Интернете.

В „двадцатке“ каждая категория перечисляет лишь небольшое количество основных экстренных угроз, которые являются комбинацией наиболее часто встречаемых и распространяемых уязвимостей основанных на анализе экспертов. Список не претендует на полноту и эксклюзивность, некоторые моменты пропущены, либо обобщены.

Top 25 – CWE/SANS Top 25 Most Dangerous Programming Errors (2009)
CWE/SANS Top 25 Наиболее опасные ошибки в программирование (2009).
Список самых существенных программных ошибок которые могут привести к серьезной уязвимости программного обеспечения. Они опасны, поскольку могут позволить атакующему легко преодолеть защиту и внедриться в программное обеспечение, что приведет к утечке данных или нарушению работы ПО.

CWE в составе MITRE и Top 20 как часть SANS были вынуждены соединиться и создать общий список самых распространенных ошибок из сотен предложенных и перечисленных в каталогах CWE.
Приблизительно половина списка подобна OWASP Top Ten, и обычно они относятся к проблемам связанным с работой коммерческого закрытого или открытого программного обеспечения. Данный список не претендует на полноту и перечисляет только самые общие и наиболее серьезные проблемы.