Центр интернет проектов Witera
WEB-безопасность
Безопасность

Проактивная защита - это целый комплекс технических и организационных мер, которые объединены общей концепцией безопасности и позволяют значительно расширить понятие защищенности и реакции веб-приложений на угрозы.
Безопасность «1С-Битрикс: Управление сайтом»
![]() |
|
|

Модуль «Проактивная защита»
Модуль «Проактивная защита» входит в систему «1С-Битрикс: Управление сайтом». Модуль реализует мощный комплекс защитных мероприятий для сайта и сторонних приложений.
![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
| ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
«Проактивная защита» - это принципиально новый подход к концепции веб-безопасности, при котором меняется само понятие реакции веб-приложения на попытки вторжения. Выпуск «Проактивной защиты» является продолжением многолетней работы компании по обеспечению безопасности интернет-проектов. Но впервые нам удалось настолько существенно усилить защищенность сайтов и снизить зависимость клиентов от наиболее частых ошибок веб-разработчиков »
Генеральный директор, «1С-Битрикс», Сергей Рыжиков
Это целый ряд технических решений по обеспечению безопасности продукта и разработанных веб-приложений. Несколько уровней защиты от большинства известных атак на веб-приложения включает этот модуль. И каждый уровень серьезно повышает безопасность разработанных вами интернет-проектов.
Одной из первостепенных задач для владельцев веб-проектов является качественная и надежная защита от хакерских атак, взлома и кражи хранящейся на сайте информации.
Проактивная защита является существенным дополнением к стандартной политике безопасности продукта. Поэтому одноименный модуль включен во все редакции продукта «1С-Битрикс: Управления сайтом» (кроме Старта) и в продукт «1С-Битрикс: Корпоративный портал». Причем, что важно, и Проактивная защита, и Проактивный фильтр впервые в мире включены непосредственно в сам продукт!
Защита от DDoS

Уникальное совместное предложение для клиентов «1С-Битрикс» позволяет любому сайту с активной коммерческой лицензией получить защиту от DDoS до 10 дней бесплатно!
Веб-сайт любого масштаба - от небольшого регионального интернет-магазина до онлайн-представительства крупнейшей ритейлинговой сети - всегда должен быть доступен для посетителей. Ведь это и источник заказов, и канал коммуникации с клиентами, и «лицо» компании в Интернете, напрямую влияющее на ее имидж.
Одна из причин, по которым ваш сайт может перестать работать, - DDoS-атака (чаще всего - распределенная атака на ваш сайт с помощью большого числа «мусорных» запросов). Источники атак и ее технические реализации могут быть самыми разнообразными (целевая атака от конкурентов, автоматическая атака от ботнет-сети; большое количество HTTP-запросов, SYN-флуд атаки и т.д.)
Даже атака небольшой интенсивности потребует знаний грамотного технического специалиста для ее отражения. Справиться же с более серьезными атаками невозможно без специализированной защиты.
Проактивный фильтр (Web Application Firewall)
Проактивный фильтр (WAF - Web Application Firewal) обеспечивает защиту от большинства известных атак на веб-приложения. В потоке внешних запросов пользователей проактивный фильтр распознает большинство опасных угроз и блокирует вторжения на сайт. Проактивный фильтр – наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других). Действие фильтра основано на анализе и фильтрации всех данных, поступающих от пользователей через переменные и куки.
Включение проактивного фильтра
* Обратите внимание, что некоторые действия пользователей, не представляющие угрозы, тоже могут выглядеть подозрительно и вызывать ложное срабатывание фильтра.
|
|
Аудит безопасности PHP-кода
Инструмент для аудита безопасности PHP-кода - удобный, точный и понятный инструмент для разработчика, который «подсказывает» узкие места в безопасности его кода. Инструмент позволяет не только предотвратить эксплуатацию уязвимости, но и устранить ее источник. Проверка показывает в отчете потенциальные уязвимости в коде и усиливает защиту сайта от взлома.
![]() |
![]() |
Инструмент для аудита PHP-кода
| Запустить автотетст
|
Найти и опробовать этот инструмент можно в административной части сайта: Настройки -> Инструменты -> «Монитор качества» -> выбрать тест «Предприняты меры по обеспечению безопасности проекта на уровне веб-разработки» в разделе «Безопасность». Запустив тест, вы сможете просмотреть подробный отчет о его работе (при условии наличия найденных проблем).
Система проверки «Монитор качества» также работает в каталоге веб-приложений для сайтов и корпоративных порталов
Веб-антивирус
Веб-антивирус встроен непосредственно в сам продукт - систему управления сайтами. Этот компонент защиты полностью соответствует общей концепции безопасности системы и в разы повышает защищенность и скорость реакции веб-приложения на веб-угрозы.
«Веб-антивирус» препятствует имплантированию вредоносного кода непосредственно в веб-приложения. И происходит это следующим образом. «Веб-антивирус» выявляет в HTML коде потенциально опасные участки и «вырезает» подозрительные объекты из кода сайта. В итоге вирусы не могут проникнуть на компьютер пользователя сайта - антивирус препятствует этому. И, что особо важно, «Веб-антивирус» уведомляет администратора портала - предупреждает о наличии заразы. Получая информацию об этом, администратор ищет источник зловредного кода, проводит «зачистку» компьютера и усиливает профилактические меры.
Панель безопасности с уровнями защищенности
Любой веб-проект, работающий под управлением «1С-Битрикс: Управление сайтом», обязательно имеет начальный уровень защиты. Однако с помощью модуля «Проактивная защита» можно значительно повысить защищенность собственного сайта. Нужно всего лишь выбрать и настроить один из уровней безопасности модуля: стандартный; высокий; повышенный. При этом система подскажет - выдаст рекомендации - какое действие необходимо установить для каждого параметра на выбранном текущем уровне.
![]() |
|
Безопасная авторизация без SSL
С помощью методики безопасной аутентификации пароли с формы авторизации ваших сотрудников невозможно взломать, поскольку они шифруются по алгоритму RSA с ключом 1024 бит и в таком виде передаются на корпоративный портал. При этом не важно, какие соединения и протоколы используют пользователи вашего портала.
|
|

Журнал вторжений
В Журнале регистрируются все события, происходящие в системе, в том числе необычные или злонамеренные. Оперативный режим регистрации этих событий позволяет просматривать соответствующие записи в Журнале сразу же после их генерации. В свою очередь, это позволяет обнаруживать атаки и попытки атак в момент их проведения. Это значит, у вас есть возможность немедленно принимать ответные меры, и, в некоторых случаях, даже предупреждать атаки.
![]() |
|
Одноразовые пароли


Система одноразовых паролей дополняет стандартную систему авторизации и позволяет значительно усилить систему безопасности интернет-проекта. Для включения системы необходимо использовать аппаратное устройство (например, Aladdin eToken PASS) или соответствующее программное обеспечение, реализующее OTP.
Что вам дает такая технология? Однозначную уверенность, что на сайте авторизуется именно тот пользователь, которому выдан брелок. При этом какое-то похищение и перехват паролей теряет всякий смысл, так как пароль одноразовый. Брелок же физический, дает уникальные одноразовые пароли и только при нажатии. А это значит, что владелец брелка не сможет передать пароль другому человеку, продолжая пользоваться входом на сайт.
![]() |
|
Персональный генератор одноразовых паролей для сайта (OTP)
С помощью Bitrix OTP вы сможете самостоятельно включать или отключать использование на сайте системы одноразовых паролей для своей учетной записи. Это реализующее OTP программное обеспечение, разработанное компанией «1С-Битрикс», позволяет обойтись без покупки аппаратных устройств (например, Aladdin eToken PASS) или соответствующих программных аналогов.
![]() |
![]() |
Создание нового сайта
| Получение пароля |
Вы можете включить на мобильном сайте поддержку одноразовых паролей и использовать их выборочно для любых пользователей. Особо рекомендуется задействовать систему одноразовых паролей администраторам сайтов, поскольку это сильно повышает уровень безопасности пользовательской группы «Администраторы». Для этого достаточно создать в генераторе паролей новый сайт, поддерживающий авторизацию по ОТП, и потом каждый раз, при входе на этот сайт, получать для него одноразовый пароль. Генератор позволяет создать множество записей для таких сайтов, и нужный сайт вы сможете выбрать из списка.
Контроль целостности файлов
Контроль целостности файлов необходим для быстрого выяснения - вносились ли изменения в файлы системы. В любой момент вы можете проверить целостность ядра, системных областей, публичной части продукта.
![]() |
|
|
|
Проверка целостности скрипта контроля
Перед проверкой целостности системы необходимо проверить скрипт контроля на наличие изменений. При первом запуске скрипта введите в форму произвольный пароль (состоящий из латинских букв и цифр, длиной не менее 10 символов), а также произвольное кодовое (ключевое) слово (отличное от пароля), и нажмите на кнопку «Установить новый ключ».
![]() |
|
Защита административного раздела
Эта защита позволяет компаниям строго регламентировать сети, которые считаются безопасными и из которых разрешается сотрудникам администрировать сайт. Перед вами простой специальный интерфейс, в котором все это и делается - задается список или диапазоны IP адресов, из которых как раз и позволяется управление сайтом. Не бойтесь закрыть себе доступ в момент установки блокировки - этот момент проверяется системой.Каков эффект от использования данной защиты? Любые XSS/CSS атаки на компьютер пользователя становятся неэффективными, а похищение перехваченных данных для авторизации с чужого компьютера - абсолютно бесполезным.
![]() |
|
Защита сессий
Большинство атак на веб-приложения ставят целью получить данные об авторизованной сессии пользователя. Включение защиты сессий делает похищение авторизованной сессии неэффективным. И, если речь идет об авторизованной сессии администратора, то ее надежная защита с помощью данного механизма является особо важной задачей. Какие инструменты использует этот защитный механизм? В дополнение к стандартным инструментам защиты сессий, которые устанавливаются в настройках группы, механизм защиты сессий включает специальные - и в некотором роде уникальные.Хранение данных сессий в таблице модуля позволяет избежать чтения этих данных через скрипты других сайтов на том же сервере, исключив ошибки конфигурирования виртуального хостинга, ошибки настройки прав доступа во временных каталогах и ряд других проблем настройки операционной среды. Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.
![]() |
|
Контроль активности
Контроль активности позволяет установить защиту от чрезмерно активных пользователей, программных роботов, некоторых категорий DDoS-атак, а также отсекать попытки подбора паролей перебором. В настройках можно установить максимальную активность пользователей для вашего сайта (например, число запросов в секунду, которые может выполнить пользователь).
![]() |
|
Стоп лист
Стоп-лист - таблица, содержащая параметры, используемые для ограничения доступа посетителей к содержимому сайта и перенаправлению на другие страницы. Все пользователи, которые попытаются зайти на сайт с IP адресами, включенными в стоп-лист, будут блокированы.
![]() |
|
«Облачный» сканер безопасности

С помощью «Сканера безопасности» можно выполнить сканирование окружения проекта, проверить настройки, найти потенциальные уязвимости в коде, убедиться в правильности настроек всех систем безопасности.
Впервые в мировой практике для CMS разработан «облачный» сервис, который проверяет ресурс на наличие внешних и внутренних угроз безопасности.
«Сканер безопасности» позволяет:- Выполнять внутреннее сканирование окружения проекта, к примеру, безопасно ли хранятся сессии.
- Выполнять проверку настроек сайта, к примеру, включен ли WAF, установлен ли пароль к БД и т. д.
- Выполнять поиск потенциальных уязвимостей в коде проекта с помощью статического анализа.
- Запускать внешнее сканирование.

«Сканер безопасности»
«Сканер безопасности» следит за безопасностью проекта
Составляющие безопасности веб-приложения:
- Собственный профессионализм разработчика;
- Web Application Firewall;
- Статический анализ кода;
- Сторонний анализ безопасности веб-приложения;
- Непрерывная работа команды «1С-Битрикс» по обеспечению безопасности API и компонентов системы.
Как работает «Сканер безопасности»
Достаточно в административной части сайта войти в «Сканер безопасности» и нажать кнопку «Запустить сканирование», после чего дождаться результатов и принять меры по устранению выявленных уязвимостей.
«Сканер безопасности» предлагает выполнить сканирование, если вы не делали этого целый месяц.

Запускаем сканирование
Сканер очень быстро, за секунды выполняется сканирование.

Ждем результата
После завершения сканирования вы видите его результаты.

Анализируем результаты
Вы просматриваете результаты сканирования и исправляете критичные проблемы.
Независимый аудит
Компания «1С-Битрикс» уделяет важнейшее значение вопросам безопасности в программном продукте и безопасной разработке веб-приложений. Дополнительно для обеспечения нового уровня защищенности и предоставления большей уверенности для клиентов был проведен независимый аудит информационной безопасности.![]() |
|
Positive Technologies - одна из ведущих российских компаний в области информационной безопасности. Основные направления деятельности компании - разработка систем комплексного мониторинга информационной безопасности (XSpider, MaxPatrol); предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru.
Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, являются членами международных организаций и активно участвуют в развитии отрасли.
Компания Positive Technologies провела полномасштабное тестирование самой полной версии программного продукта «1С-Битрикс: Управление сайтом», располагая исходными текстами продукта и консультационной поддержкой технических специалистов компании «Битрикс».
| Компания Positive Technologies осуществила аудит эффективности новых функций безопасности «1С-Битрикс: Управление сайтом 8». Тестирование встроенных механизмов защиты продукта подтвердило их соответствие требованиям Web Application Firewall Evaluation Criteria международной организации Web Application Security Consortium, о чем свидетельствует выданный сертификат. Качество реализации защитных механизмов «1С-Битрикс: Управление сайтом 8» позволяет пользователю системы быть уверенным не только в надежности ядра системы, но и в безопасности решения на его основе, с учетом надстроек и доработок, выполненных партнерами компании.
Как отметил Юрий Максимов, генеральный директор компании Positive Technologies: «Опыт анализа безопасности Web-приложений показывает, что, несмотря на постоянные заявления об актуальности этой темы, защита большинства серьезных веб-проектов осуществляется по остаточному принципу. Тем полезней для заказчика веб-приложения наличие высокоэффективной встроенной функции проактивной защиты, позволяющей предотвратить последствия возможных ошибок, допущенных при разработке и эксплуатации портала, а также своевременно обнаружить атаки». |
Сертификаты
«1С-Битрикс» постоянно проводит аудит и тестирование защитных механизмов продуктов и делает это не только собственными силами, но и с привлечением сторонних экспертных компаний. Полученные в результате испытаний сертификаты от этих компаний подтверждают качество защитных механизмов продуктов и соответствие их современным требованиям обеспечения информационной безопасности.
![]() | |
|
«Защищенное веб-приложение»
Сертификат выдан компанией Positive Technologies, которая осуществила аудит эффективности новых функций безопасности продукта «1С-Битрикс: Управление сайтом 8». Тестирование встроенных механизмов защиты продукта подтвердило их соответствие требованиям Web Application Firewall Evaluation Criteria международной организации Web Application Security Consortium.
|
![]() | |
![]() |
Технологический партнер компании AladdinСертификат подтверждает, что ООО «1С-Битрикс» является технологическим партнером Alaadin Software Security R. D. и имеет статус Solution Partner. |
![]() | |
![]() |
Сертификат совместимости электронных ключей eToken PASS
Сертификат выдан на основании результатов сертификационных испытаний, проведенных компаниями ЗАО «Аладдин Р.Д.» и «1С-Битрикс». Сертификат удостоверяет корректность работы электронных ключей eToken PASS производства ЗАО «Аладдин Р.Д.» с программным продуктом «1С-Битрикс: Управление сайтом» версии 8.х.
|
![]() | |
![]() |
Таблица совместимости электронных ключей eToken PASS
Приложение №1 к сертификату совместимости eToken PASS - «1С-Битрикс: Управление сайтом» версии 8. В таблице указан тип ключа eToken - eToken PASS, который совместим с продуктом «1С-Битрикс: Управление сайтом» версии 8.х. В качестве дополнительного ПО требуется наличие в «1С-Битрикс: Управление сайтом» модуля «Проактивная защита», начиная с версии 8.0.0.
|
![]() |
Скачать сертификаты
| ![]() |
Сертификат соответствия № 3260 ФСТЭК России («1С-Битрикс: Управление сайтом») | 234 Кб |
Защищенное веб-приложение («1С-Битрикс: Управление сайтом 8») | 1,39 Мб |
Технологический партнер компании Aladdin | 5,4 Мб |
Сертификат совместимости электронных ключей eToken PASS c «1С-Битрикс: Управление сайтом» 8.0 | 240 Kб |
Таблица совместимости электронных ключей eToken PASS c «1С-Битрикс: Управление сайтом» 8.0 | 280 Kб |
Все сертификаты (в ZIP архиве) | 7,19 Мб |
Усиливаем аутентификацию или зачем нужны одноразовые пароли
Использование одноразовых паролей в продуктах «1С-Битрикс» – это превосходное решение для задач надежной удаленной аутентификации. Сегодня известно не так уж много способов действительно «сильной» аутентификации пользователей при передаче информации по открытым каналам связи. Между тем такая задача встречается все чаще и чаще. И одноразовые пароли - одно из самых перспективных ее решений!
Артем Рябинков, руководитель отдела развития бизнеса компании «1С-Битрикс», к.т.н.