Информационная безопасность. Безопасность 1с битрикс

Методы и инструменты защиты персональных данных клиентов в решениях на платформе Битрикс

Сегодня мы поговорим о защите персональных данных клиентов и других, не менее важных, аспектах информационной безопасности веб-проектов.

Скорость и сложность разработки — постоянно растет

В последнее время область разработки переживает довольно стремительный переход от классических практик создания программного обеспечения — долгого, медленного, обстоятельного, досконального подхода, при котором все тщательно проектируется, продумывается, испытывается десятки раз — к Agile методикам, обеспечивающим быстрое создание продукта с одновременным постоянным потоком изменений в его функционал как во время разработки, так и после выхода первого релиза.

Многие все отчетливее понимают, что если писать софт долго и правильно, то он может к моменту выхода на рынок оказаться просто ненужным и устаревшим. Поэтому все чаще и чаще наблюдается следующий подход, применяемый в том числе в разработке веб-проектов:

Интенсивный непродолжительный мозговой штурм концепции проекта
Грубое «прикидывание» плана итераций релиза (на 1-6 месяцев) с упорядочиванием описанных простым языком фич веб-проекта по убыванию приоритета. Причем стараются выпустить первый релиз в продакшн как можно быстрее, даже «по частям».
Выбор и экспресс-оценка наиболее приоритетных фич, которые можно сделать за 2-4 недели командой разработки (не больше дня)
Быстрое проектирование (не больше дня) с использованием досок и других средств коллективных коммуникаций и разработка выбранного приоритетного функционала
Демонстрация «быстро сделанного» функционала, получение обратной связи от пользователей (сначала внутри компании), тестирование пользователями
Вывод сделанного функционала в продакшн для скорейшего получения обратной связи и… более интенсивного тестирования :-)
Переход к п.3 и так далее по кругу

Проблемы «быстрой» разработки веб-проектов

Помимо очевидных плюсов «быстрой» разработки:

Пользователи получают наиболее востребованный функционал максимально быстро
Разработчики занимаются только самыми приоритетными задачами
Веб-проект шагает в ногу со временем, оперативно реагируя на вызовы рынка и запросы Пользователей и адекватно меняясь
Бюрократия, среднесрочное и долгосрочное планирование сведены практически сведены на нет — все силы брошены на выявление и планирование ближайших задач

имеются риски и угрозы, важность которых нередко сложно оценить непрофессионалу:

Из-за недостатка времени и ограниченности бюджета, плохо продумывается архитектура веб-проекта, из-за чего он может, например, начать «тормозить» или его станет сложно и дорого развивать
Из-за недостатка времени и ограниченности бюджета, а также возможно недостаточной квалификации IT-специалистов, вопросам безопасности веб-проектов уделяется недостаточное внимание, если этим вообще кто-нибудь занимается

Ситуация усугубляется еще тем, что информационные технологии становятся все сложнее и запутаннее, и программисту нужно уметь разбираться в интенсивно увеличивающемся конусе смежных, нередко непохожих технологий. А времени на учебу — либо не выделяется, либо дается неадекватно мало. Люди — фактически вынуждены учиться на… реальных проектах.

Что же делать?

Одним из возможных решений поставленной выше задачи: «делать веб-проекты быстро, качественно и без дыр» — использовать готовые инструменты, библиотеки и фреймворки, спроектированные и реализованные экспертами в области информационной безопасности. Инструменты, шагающие в ногу со временем и защищающие нас от постоянно возникающих угроз.

Платформа Битрикс — просто нашпигована эффективными инструментами обеспечения информационной безопасности веб-проектов.

Ядро платформы Битрикс — «крепкий орешек»

Наверно многие знают, что в нашей компании имеется отдел информационной безопасности, в задачи которого входит тщательный аудит всего создаваемого программного кода платформы Битрикс. Поэтому ядро платформы — максимально защищено, о чем свидетельствуют в том числе хорошие результаты на фестивале хакеров CC9 и результаты независимого аудита от известного эксперта в области безопасности — Positive Technologies.

Более того, благодаря политике тотальной проверки данных, передаваемых API ядра платформы (да, немного в ущерб производительности), распространенная угроза веб-проектов «SQL-инъекция» — исключена (если код веб-проекта работает строго через API, что входит в наши стандарты качества интеграции), а вероятность XSS-атак — серьезно снижена.

Также, специалисты отдела информационной безопасности проводят постоянный мониторинг внешних информационных угроз и создают/развивают проактивные инструменты защиты веб-проектов — которые мы далее рассмотрим.

«Визуализация» состояния защиты веб-проекта

У вас имеется перед глазами «Панель безопасности» и ваша задача — выполнить рекомендуемые настройки для повышения, в случае необходимости, «текущего уровня безопасности» с «Начального» до «Стандартного» и выше. Просто и наглядно — хотите больше безопасности, значит повышайте уровень, выполняя рекомендации экспертной системы.

Выглядит эта панелька так:

Фильтруем входные данные веб-проекта

«Проактивный фильтр (Web Application Firewall)» — подсистема фильтрует все передаваемые веб-проекту данные (посты, куки и т.п.) на предмет эксплуатации известных уязвимостей: XSS, SQL Injection, PHP Including и ряда других. Конечно, ложные срабатывания могут быть, поэтому инструмент настраивается.

Важно отметить, что инструмент защищает не ядро платформы Битрикс, которое безопасно само по себе (см. выше), а именно «надстройку над платформой», выполненную программистами — веб-проект на базе 1С-Битрикс. К сожалению, из-за недостатка бюджета, времени и квалификации, программный код «иногда» не достаточно хорошо проверяется программистами на предмет информационной безопасности — и именно от возможных ошибок и дыр подобного вида страхует вас данный мощный инструмент. Поэтому, если разработку на платформе ведет, на ваш взгляд, «слабоватая» команда разработчиков — инструмент для вас!

И конечно, все атаки — регистрируются в журнале событий.

Вот так это работает:

Веб-антивирус

Этот инструмент работает несколько иначе, чем предыдущий — он фильтрует информацию, передаваемую в браузер клиентов веб-проекта.

К сожалению, нередко компьютеры администраторов и менеджеров веб-проектов — заражены вирусами. Вирусы достают пароли из браузеров, FTP-клиентов и других инструментов управления веб-проектом и… заражают сами файлы веб-проекта. Утром вам начинают звонить клиенты и говорить, что на сайт нельзя зайти, т.к. он заражен и вместо сайта открывается красное окно с предупреждением — а все из-за того, что один из менеджеров веб-проекта ночью из дома зашел с персонального зараженного компьютера и добавил… зараженную новость на сайт.

Данный инструмент, конечно, не заменяет антивирусное программное обеспечение, а действует с ним в унисон и определенно страхует вас от ошибок в политике безопасности эксплуатации веб-проекта. И, как любой антивирус — периодически обновляется через Интернет.

Политики безопасности групп

Идея тут в том, что учетные записи пользователей и администраторов веб-проекта привязываются к группам, имеющим разные уровни безопасности (чем выше безопасность, тем как правило ниже удобство работы с системой).

Можно выбрать уровень безопасности группы из списка, а можно поиграть «вкусными» параметрами вручную (если понимаете, что они означают). Чем больше у сотрудников группы полномочий, тем более высокий уровень безопасности она должна, по-хорошему, иметь:

Защита сессий

После авторизации между клиентом и веб-проектом начинает гулять идентификатор сессии, который нередко является целью хакеров. Для защиты сессии на разделяемых хостингах мы предлагаем их хранить в базе данных, а для затруднения атак на сессию мы даем возможность менять ее идентификатор.

Защита административного раздела

Полезно разрешить доступ к административному разделу веб-проекта с определенных подсетей средствами системного администрирования — но мы также предоставляем инструмент, облегчающий эту задачу. Инструмент достаточно популярный и удобный — особенно на разделяемых хостингах:

SSL или не SSL?

А это как вам удобно. Весь трафик клиентов с веб-проектом шифровать — расточительно и неудобно (хотя для обеспечения секьюрности это некоторым очень хочется сделать). А вот определенные разделы, содержащие персональные данные и точки авторизации — весьма полезно. Напрямую в платформе мы не занимаемся этим — возлагая задачу обеспечения SSL на службу системного администрирования и проектировщика веб-решения.

На летней партнерской конференции мы анонсировали выход в ближайшем релизе платформы технологии защиты от передачи пароля в открытом виде (не у всех есть возможность настроить SSL) — на базе асимметричной криптографии (шифруем пароль JavaScript-ом в браузере клиента, RSA 1024 bit).

Одноразовые пароли

Конечно, вы можете защитить процедуру авторизации на веб-проекте посредством SSL от перехвата паролей грозными хакерами, но… это не спасет от утечки паролей, особенно административных, по другим каналам — е-мейл, бумажечки на столе и в тумбочке, записи на рабочем столе и т.п.

Для максимальной защиты паролей нередко пользуются двухфакторной авторизацией. В платформе Битрикс реализована разновидность этой технологии. Вы раздаете сотрудникам симпатичные брелочки или используете софт для генерации одноразовых паролей. Теперь можно быть уверенным в том (до определенной степени), что а) перехват пароля становится бесполезной задачей, б) если на сайте авторизовался Василий Пупкин, то это именно он по собственному желанию, либо Василий — но под дулом пистолета.

Выводы

Благодаря встроенным в платформу Битрикс профессиональным инструментам обеспечения информационной безопасности и защиты персональных данных — массово создаваемые решения на ее основе можно считать «довольно прочными и устойчивыми».

Создавая веб-проект на 1С-Битриксе вы (или наш Партнер) можете сконцентрировать усилия и бюджет на решаемой задаче, доверяя вопросы обеспечения безопасности платформе и ее инструментам.

Однако, нужно хорошо понимать, что борьба за безопасность веб-проекта должна постоянно идти по всем фронтам, серебряной пули нет и только системный подход, четко продуманные бизнес-процессы и политики обеспечения информационной безопасности сделают ваш веб-проект неприступной крепостью на… 99.9%.

С уважением, руководитель направления контроля качества интеграции и внедрений Александр Сербул

habr.com

Безопасность 1С-Битрикс | World-X

Разработчики данной платформы предлагают своим пользователям наиболее лучшую защиту от разного рода утечки информации, угрозы взлома или возможности утраты ценной информации.

Компания проверила безопасность на всех стандартных типажах вебсайтов, а за последнее время с помощью обычных пользователей, через платформу уже прошли более тысячи разных сайтов: от простых визиток до мощнейших интернет-магазинов. Каждый пользователь влиял на качество работы сервиса, так как можно было обратится в техническую поддержку с конкретным вопросом или пожеланием. По этому, с точки зрения безопасности наиболее лучший продукт — «1С Битрикс Корпоративный портал». Для сотрудников, пользование такой системой принесет только удобство и комфорт.

Проактивная защита

Наиболее важным вопросом при обеспечении высокой безопасности, является — защита веб-приложения от вредоносных атак из Интернета. Для этого, разработчики придумали «Проактивную защиту». Данный модуль сможет качественно повлиять на уровень вашей защищенности. Все новые веб-приложения от Битрикс поступают со специальным фильтром — Web Application Firewal, который и защищает ваш портал. Все продукты проверены сертификационной компанией и был выдан сертификат «Защищенная веб-платформа».

Что же такое проактивная защита? А это целый набор организационных и технических решений, что объединяются для обеспечения безопасности, защиты и реакции на негативные атаки.

В свою очередь, фильтр Web Application Firewal не допустит возникновение популярных атак на приложение. Он проверяет все пользовательские запросы и может идентифицировать опасную атаку, после чего немедленно блокирует любую деятельность со стороны атакующего. Идея фильтра основывается на том, что он анализирует все данные поступающие в приложение через куки и переменные.

Какую безопасность обеспечивает «Корпоративный портал» для сотрудников?

Защита от многих популярных атак;
Распознавание угрозы;
Отсутствие вторжений в ваш портал;
Фиксация атак в журнале;
Уведомление управляющих о попытках вторжения;
Постоянное обновление фильтра;
Возможность создания черного списка;
Экранирование портала на наличие активных атак;
Активная реакция на вторжение.

Высокий уровень безопасности предоставит возможность комфортной работы с порталом, а с этим и продуктивную работу вашей компании.

поделиться с друзьями:

wd-x.ru

1С-Битрикс Разработчикам - Информационная безопасность

Итак, веб-антивирус 1С-Битрикса рапортует об обнаружении вируса. Что делать в таком случае?

Для начала необходимо выяснить, на самом ли деле на сайте присутствует ссылка на вирус или произошло ложное срабатывание.

Работа веб-антивируса основана на эвристическом анализе потенциально опасных блоков в html коде. Количество ложных срабатываний веб-антивируса минимально, но, к сожалению, ложные срабатывания все равно встречаются.

Итак, ключевое отличие блоков, действительно содержащих ссылки на вирусы, от легитимных блоков, вызывающих ложные срабатывания — это то, что легитимные блоки были явно добавлены вашим программистом. Кто же добавил «вирусные» блоки, и откуда они взялись, вы не знаете.В целом, распознавание «вирусных» и легитимных блоков может быть нетривиальной задачей даже для человека. Сканирование этих блоков персональными антивирусами тоже, как правило, не дает результата, так как такие блоки html кода не содержат собственно вирусы или трояны, а содержат лишь ссылки на них.

Итак, если вы уверены, что блок, на который срабатывает веб-антивирус 1С-Битрикса, легитимный и не содержит ссылки на загрузку вирусов, то данное срабатывание антивируса является ложным. В этом случае вам необходимо взять некоторую строку из этого блока (достаточно длинную и достаточно уникальную) и добавить ее в исключения веб-антивируса. В результате, антивирус перестанет срабатывать на любые, обрабатываемые им блоки, содержащие указанную строку.

Если же блок содержит ссылку на вирус, то все сложнее. Так как наличие стороннего кода на вашем сервере означает, что произошла компрометация веб-сервера, и к файлам на вашем сервере мог получить доступ злоумышленник. В подавляющем большинстве случаев, наличие «вирусных» блоков, на которые срабатывает веб-антивирус 1С-Битрикса, означает, что какой-либо компьютер вашего администратора, вебмастера или программиста (и т.п.), имеющий доступ на сервер через FTP (SSH, SFTP и т.п.), заражен вирусом, и с него был похищен пароль от сервера.

Потому при обнаружении вируса на сайте, необходимо проверить все компьютеры людей, имеющих доступ к сайту (в том числе к панели администрирования 1С-Битрикса), персональным антивирусным программным обеспечением.

После того, как все такие компьютеры были вылечены, необходимо сменить все пароли от вашего сервера (пароли на FTP, SSH, в том числе рутовые пароли, если у вас есть рутовый доступ на сервер, пароли к базе данных, пароли пользователей в 1С-Битриксе, имеющих доступ к админке).

Затем следует вычистить весь сторонний код на сервере. Проще всего для отслеживания изменившихся файлов использовать контроль целостности файлов 1С-Битрикса. Но это только в том случае, если вы заранее озаботились безопасностью и периодически запускаете контроль целостности файлов.

Если же вы не используете контроль целостности, то в общем случае поиск всех изменений, оставленных хакером, может быть нетривиальной задачей.

Для поиска таких изменений, можно провести поиск по всем файлам на сервере, содержащим строки из блока, на который сработал веб-антивирус. Поиск и ручная проверка всех недавно изменившихся файлов. Анализ логов http сервера.

В целом остается надеяться, что ваш хакер оказался не слишком хитрым, ограничился внедрением ява-скриптов со ссылками на вирус и не оставил за собой скрытых бекдоров. И хотя на практике скрытые бекдоры оставляются не слишком часто, такие случаи иногда бывают. Кроме того, у хакеров есть множество приемов сокрытия бекдоров на веб сайте, которые приводят к значительному затруднению автоматического обнаружения таких бекдоров.

Если после всех выполненных рекомендаций инциденты с вашим сайтом продолжают регулярно случаться, значит где-то на сервере имеется такой труднообнаружимый бекдор.

dev.1c-bitrix.ru

Безопасность 1С-Битрикс

Разработчики популярной платформы 1С-Битрикс позаботились о своих пользователях, предложив одну из самых надежных защит от взлома, разного рода утечки важной информации или ее потери.

1С Управление Торговлей

Проверка качества сервера была осуществлена при поддержке каждого пользователя – любой мог обратиться в службу поддержки с конкретным предложением, пожеланием или вопросом. Сначала компания осуществила проверку на всех веб-сайтах стандартного типа, а затем через платформу прошли и другие сайты, начиная от визиток и заканчивая интернет-магазинами. Самым лучшим с позиции безопасности стал продукт «1С Битрикс Корпоративный портал». Именно эта система оказалась наиболее комфортной, удобной и надежной.

Для большинства пользователей наиболее актуальной в первую очередь становится задача защитить веб-приложения от интернет-атак. Для этого разработчики Битрикс создали «Проактивную защиту». На уровень защищенности веб-сайта этот модуль влияет на качественном уровне. Портал способны защитить все новые приложения от Битрикс, оснащенные специальным фильтром WebApplicationFirewal. Приложения полностью проверены сертификационной компанией и подтверждены специальным сертификатом «Защищенная веб-платформа».

Проактивная защита, предложенная разработчиками Битрикс, содержит комплекс объединенных технических и организационных решений, обеспечивающих защиту, безопасность и отражение нежелательных атак.

Фильтр WebApplicationFirewal также не допускает проникновения вирусов на приложения. Проверяя все запросы пользователей, он способен идентифицировать опасность и незамедлительно заблокировать деятельность атакующего. Фильтр основан на способности анализировать через переменные и куки все поступающие в приложение данные.«Корпоративный портал» способен обеспечивать пользователям надежную безопасность. Защищая веб-ресурс от различных самых популярных атак, он, прежде всего, распознает угрозу, гарантируя отсутствие проникновений в него. В специальном журнале происходит фиксация атак. Управляющих веб-сайтом «1С Битрикс Корпоративный портал» всегда уведомляет о попытках любого вторжения. Предусмотрена возможность создать черный список. Фильтр WebApplicationFirewal постоянно обновляется.

«1С Битрикс Корпоративный портал» очень активно реагирует на вторжение, предоставляя возможность работать с защищенным ресурсом и вести эффективную работу.