Безопасность

«1С-Битрикс24»  обеспечивает максимальную защиту от самых разнообразных угроз безопасности. 

Безопасность платформы разработки проверена на тысячах веб-сайтов, работающих в интернете и представляющих лицо самых разных компаний: от имиджевых корпоративных сайтов до крупнейших интернет-магазинов и информационных порталов. 

Работа собственного отдела информационной безопасности и аудит продуктов внешними компаниями предоставляют клиентам «1С-Битрикс» полную уверенность в сохранности конфиденциальной информации. 

 Проактивная защита

Если Портал размещен на внешнем хостинге, или у сотрудников есть доступ в Интернет, необходимо обеспечить защиту от большинства известных атак на веб-приложения. Для этого в новую версию продукта включен модуль «Проактивная защита», который позволяет повысить уровень защищенности Портала благодаря встроенному в продукт проактивному фильтру (Web Application Firewall). Новая версия продукта сертифицирована компанией Positive Technologies - лидером рынка информационной безопасности. После проведенного аудита продукту выдан сертификат «Защищенное веб-приложение». 

Проактивная защита – это целый комплекс технических и организационных мер, которые объединены общей концепцией безопасности и позволяют значительно расширить понятие защищенности и реакции веб-приложений на угрозы. 

Проактивный фильтр (Web Application Firewall) 

Проактивный фильтр (WAF - Web Application Firewal) обеспечивает защиту от большинства известных атак на веб-приложения. В потоке внешних запросов пользователей проактивный фильтр распознает большинство опасных угроз и блокирует вторжения на сайт. Проактивный фильтр  – наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интранет-проекта (XSS, SQL Injection, PHP Including и ряда других). Действие фильтра основано на анализе и фильтрации всех данных, поступающих от пользователей через переменные и куки. 

* Обратите внимание, что некоторые действия пользователей, не представляющие угрозы, тоже могут выглядеть подозрительно и вызывать ложное срабатывание фильтра.

защита от большинства известных атак на веб-приложения; экранирование приложения от наиболее активно используемых атак; создание списка страниц-исключений из фильтрации (по маске);  распознавание большинства опасных угроз; блокировка вторжений на Портал; защиты от возможных ошибок безопасности; фиксирование попыток атак в журнале;  информирование администратора о случаях вторжения; настройка активной реакции - действий системы при попытке вторжения на сайт: сделать данные безопасными;  очистить опасные данные; добавить IP адрес атакующего в стоп-лист на ХХ минут; занести попытку вторжения в журнал. обновления вместе с продуктом.

Инструмент для аудита безопасности PHP-кода

Инструмент для аудита безопасности PHP-кода - удобный, точный и понятный инструмент для разработчика, который «подсказывает» узкие места в безопасности его кода. Инструмент позволяет не только предотвратить эксплуатацию уязвимости, но и устранить ее источник. Проверка показывает в отчете потенциальные уязвимости в коде и усиливает защиту сайта от взлома.

Инструмент для аудита PHP-кода	Запустить автотетст

Найти и опробовать этот инструмент можно в административной части сайта: Настройки -> Инструменты -> «Монитор качества» -> выбрать тест «Предприняты меры по обеспечению безопасности проекта на уровне веб-разработки» в разделе «Безопасность». Запустив тест, вы сможете просмотреть подробный отчет о его работе (при условии наличия найденных проблем).

Система проверки «Монитор качества» также работает в каталоге веб-приложений для сайтов и корпоративных порталов «1С-Битрикс: Маркетплейс».

Панель безопасности с уровнями защищенности 

Любой проект, работающий под управлением продуктов от «1С-Битрикс», обязательно имеет начальный уровень защиты. Однако с помощью модуля «Проактивная защита» можно значительно повысить защищенность собственного интранет-проекта. Нужно всего лишь выбрать и настроить один из уровней безопасности модуля: стандартный; высокий; повышенный. При этом система подскажет - выдаст рекомендации - какое действие необходимо установить для каждого параметра на выбранном текущем уровне. 

начальный уровень безопасности - получают проекты на базе Bitrix Framework без установленного модуля «Проактивная защита»;  стандартный уровень – в проекте задействованы стандартные инструменты проактивной защиты продукта;  проактивный фильтр (на весь Портал без исключений); ведется журнал вторжений за посление 7 дней; включен контроль активности; повышенный уровень безопасности для группы администраторов; использование CAPTCHA при регистрации; режим вывода ошибок (только ошибки). высокий уровень – рекомендованный уровень защиты, получают проекты, выполнившие требования стандартного уровня, и дополнительно включившие:  журналирование событий главного модуля; защита административной части; хранение сессий в базе данных; смена идентификатора сессий. повышенный уровень – специальные средства защиты, обязательные для Порталов, содержащих конфиденциальную информацию пользователей, для тех, кто работает с критичной информацией.Дополнительно к высокому уровню:  включение одноразовых паролей; контроль целостности скрипта контроля.

Веб-антивирус

Веб-антивирус встроен непосредственно в сам продукт - систему управления порталом. Этот компонент защиты полностью соответствует общей концепции безопасности системы и в разы повышает защищенность и скорость реакции веб-приложения на веб-угрозы. 

«Веб-антивирус» препятствует имплантированию вредоносного кода непосредственно в веб-приложения. И происходит это следующим образом. «Веб-антивирус» выявляет в HTML коде потенциально опасные участки и «вырезает» подозрительные объекты из кода сайта. В итоге вирусы не могут проникнуть на компьютер пользователя сайта - антивирус препятствует этому. И, что особо важно, «Веб-антивирус» уведомляет администратора портала - предупреждает о наличии заразы. Получая информацию об этом, администратор ищет источник зловредного кода, проводит «зачистку» компьютера и усиливает профилактические меры. 

Журнал вторжений

В Журнале регистрируются все события, происходящие в системе, в том числе необычные или злонамеренные. Оперативный режим регистрации этих событий позволяет просматривать соответствующие записи в Журнале сразу же после их генерации. В свою очередь, это позволяет обнаруживать атаки и попытки атак в момент их проведения. Это значит, у вас есть возможность немедленно принимать ответные меры, и, в некоторых случаях, даже предупреждать атаки. 

оперативная регистрация всех событий в системе; в случае срабатывания Проактивного фильтра запись в Журнале в одной из категорий атак: попытка внедрения SQL; попытка атаки через XSS; попытка внедрения PHP.      отбор злонамеренных событий по фильтру; просмотр и анализ событий в реальном времени; немедленная реакция - ответная мера на событие; профилактика и предупреждение событий на основе их анализа;

Одноразовые пароли

Для обеспечения безопасности доступа к Порталу удаленных сотрудников в новой версии реализована технология одноразовых паролей (One Time Password - OTP) на базе электронных ключей Aladdin eToken PASS для обеспечения аутентификации пользователя при доступе на Портал. Новая технология протестирована компанией Aladdin – лидирующий разработчик средств защиты информации. На основании тестирования выдан сертификат совместимости eToken PASS с «1С-Битрикс: Корпоративный портал 8.0». 

Сертификат совместимости

Модуль «Проактивная защита» позволяет включить поддержку одноразовых паролей и использовать их выборочно для любых пользователей на Портале. Однако особо рекомендуется задействовать систему одноразовых паролей администраторам Порталов, поскольку это сильно повышает уровень безопасности пользовательской группы «Администраторы». 

Система одноразовых паролей дополняет стандартную систему авторизации и позволяет значительно усилить систему безопасности интранет-проекта. Для включения системы необходимо использовать аппаратное устройство(например, Aladdin eToken PASS) или  соответствующее программное обеспечение, реализующее OTP. 

Что вам дает такая технология? Однозначную уверенность, что на Портале авторизуется именно тот пользователь, которому выдан брелок. При этом какое-то похищение и перехват паролей теряет всякий смысл, так как пароль одноразовый. Брелок же физический,  дает уникальные одноразовые пароли и только при нажатии. А это значит, что владелец брелка не сможет передать пароль другому человеку, продолжая пользоваться входом на Портал. 

усиление системы безопасности интранет-проекта; использование аппаратных устройств; использование ПО, реализующего OTP; расширенная аутентификация с одноразовым паролем - при авторизации на сайте пользователь в дополнение к паролю дописывает одноразовый пароль; авторизация только с использованием имени (login) и составного пароля; заполнение при инициализации двух последовательно сгенерированных одноразовых паролей, полученных с устройства; восстановление синхронизации в случае нарушения синхронизации счетчика генерации в устройстве и на сервере.

Персональный генератор одноразовых паролей для портала (OTP)

С помощью Bitrix OTP вы сможете самостоятельно включать или отключать использование на сайте системы одноразовых паролей для своей учетной записи. Это реализующее OTP программное обеспечение, разработанное компанией «1С-Битрикс», позволяет обойтись без покупки аппаратных устройств (например, Aladdin eToken PASS) или соответствующих программных аналогов. 




Установить Bitrix OTP вы можете непосредственно с вашего сайта, работающего на «1С-Битрикс: Управление сайтом» 10.0 и выше. Для этого достаточно перейти в браузере мобильного устройства по адресу http://<ваш_сайт>/bitrix/otp/ и следовать инструкциям на экране. Бесплатная установка Bitrix OTP также возможна из онлайн-магазина приложений. 

Установите приложение от «1С-Битрикс» на ваш мобильный телефон и генерируйте одноразовые пароли для входа на портал, поддерживающий авторизацию по OTP. Приложение поддерживает работу с несколькими порталами одновременно. 

Создание нового сайта	Получение пароля

Вы можете включить на мобильном сайте поддержку одноразовых паролей и использовать их выборочно для любых пользователей. Особо рекомендуется задействовать систему одноразовых паролей администраторам сайтов, поскольку это сильно повышает уровень безопасности пользовательской группы «Администраторы». Для этого достаточно создать в генераторе паролей новый сайт, поддерживающий авторизацию по ОТП, и потом каждый раз, при входе на этот сайт, получать для него одноразовый пароль. Генератор позволяет создать множество записей для таких сайтов, и нужный сайт вы сможете выбрать из списка. 

Контроль целостности файлов

Контроль целостности файлов необходим для быстрого выяснения -  вносились ли изменения в файлы системы. В любой момент вы можете проверить целостность ядра, системных областей, публичной части продукта. 

			отслеживание изменений в файловой системе; проверка целостности ядра; проверка системных областей; проверка публичной части продукта.

Проверка целостности скрипта контроля

Перед проверкой целостности системы необходимо проверить скрипт контроля на наличие изменений. При первом запуске скрипта нужно будет ввести в форму произвольный пароль (состоящий из латинских букв и цифр, длиной не менее 10 символов), а также произвольное кодовое (ключевое) слово (отличное от пароля), и нажать на кнопку «Установить новый ключ». 

	проверка скрипта контроля на наличие изменений; защита целостности скрипта ключом - символьным паролем.

Безопасная авторизация без SSL

С помощью методики безопасной аутентификации пароли с формы авторизации ваших сотрудников невозможно взломать, поскольку они шифруются по алгоритму RSA с ключом 1024 бит и в таком виде передаются на корпоративный портал. При этом не важно, какие соединения и протоколы используют пользователи вашего портала. 

безопасная аутентификация с шифрованием пароля позволяет избежать передачи пароля в открытом виде без SSL; все инструменты, которые использовались ранее для авторизации, продолжат работать.

Защита административного раздела

Эта защита позволяет компаниям строго регламентировать сети, которые считаются безопасными и из которых разрешается сотрудникам администрировать Портал. Перед вами простой специальный  интерфейс, в котором все это и делается -  задается список или диапазоны IP адресов, из которых как раз и позволяется управление Порталом. Не бойтесь закрыть себе доступ в момент установки блокировки - этот момент проверяется системой. 

Каков эффект от использования данной защиты? Любые XSS/CSS атаки на компьютер пользователя становятся  неэффективными, а похищение перехваченных данных для авторизации с чужого компьютера - абсолютно бесполезным. 

	ограничение доступа к административной части всех IP адресов, кроме указанных; автоматическое определение системой IP адреса пользователя; ручной ввод разрешенного IP адреса;  установка диапазона  IP адресов, с которых разрешен доступ к административной части.

Защита сессий

Большинство атак на веб-приложения ставят целью получить данные об авторизованной сессии пользователя. Включение защиты сессий делает похищение авторизованной сессии неэффективным. И, если речь идет об авторизованной сессии администратора, то ее надежная защита с помощью данного механизма является особо важной задачей. Какие инструменты использует этот защитный механизм?  В дополнение к стандартным инструментам защиты сессий, которые устанавливаются в настройках группы, механизм защиты сессий включает специальные - и в некотором роде уникальные. 

Хранение данных сессий в таблице модуля позволяет избежать чтения этих данных через скрипты других проектов на том же сервере, исключив ошибки конфигурирования виртуального хостинга, ошибки настройки прав доступа во временных каталогах и ряд других проблем настройки операционной среды. Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных. 

защита сессий несколькими способами: время жизни сессии (минуты); смена идентификатора сессии раз в несколько минут; маска сети для привязки сессии к IP; хранение данных сессий в таблице модуля. исключение ошибок конфигурирования виртуального хостинга; исключение ошибок настройки прав доступа во временных каталогах; исключение проблем настройки операционной среды; разгрузка файловой системы; бесполезность похищения сессий злоумышленниками.

Контроль активности 

Контроль активности позволяет установить защиту от чрезмерно активных пользователей, программных роботов, некоторых категорий DDoS-атак, а также отсекать попытки подбора паролей перебором. В настройках можно установить максимальную активность пользователей для вашего Портала (например, число запросов в секунду, которые может выполнить пользователь). 

* Контроль активности пользователей ведется на основе средств модуля Веб-аналитика и, следовательно, доступен только в тех редакция продукта, в которые входит этот модуль.

защита от чрезмерно активных пользователей; защита от программных роботов; защита от некоторых категорий DDoS-атак; отсекание попыток подбора паролей перебором; установка максимальной активности пользователей для Портала (нормальной для человека); фиксирование превышения лимита активности пользователя в Журнале вторжений;  блокирование пользователя, превысившего количество запросов в заданный временной интервал; вывод для заблокированного пользователя специальной информационной страницы.

Стоп лист

Стоп-лист - таблица, содержащая параметры, используемые для ограничения доступа посетителей к содержимому Портала и перенаправлению на другие страницы. Все пользователи, которые попытаются зайти на Портал с IP адресами, включенными в стоп-лист, будут блокированы. 

перенаправление посетителей, параметры которых содержатся в стоп-листе;  блокировка пользователей по IP адресам из стоп-листа;  ручное пополнение стоп-листа новыми записями; учет статистики пользователей, которым запрещен доступ к Порталу ; установка периода действия запрета на доступ к Порталу для пользователя, IP-сети, маску сети, UserAgent и ссылку, по которой пришел пользователь; изменяемое сообщение, которое будет показано пользователю при попытке доступа к Порталу.

* Начиная с версии 8.0, модуль «Проактивная защита»  по умолчанию включен в продукт «Битрикс24» в коробке». Все текущие клиенты (у которых активны обновления и техподдержка) бесплатно загрузят и установят этот модуль по технологии SiteUpdate, и модуль автоматически выставит в проекте параметры, соответствующие уровню безопасности «Стандартный». 

Составляющие безопасности корпоративного портала

При разработке «коробочной версии «Битрикс24»» мы обеспечили поддержку всех составляющих безопасного веб-приложения. 

1. Продуманная архитектура безопасности и разграничения доступа 
   
   «Битрикс24» в коробке» обеспечивает эффективную политику разграничения доступа пользователей и групп пользователей к материалам и сервисам, которая гибко определяет права и полномочия каждого сотрудника. 
   
   
2. Защищенность программного кода от уязвимостей 
   
   Программный код продукта  «Битрикс24» в коробке» проверен, а обновления постоянно тестируются внутренней службой информационной безопасности на стойкость к известным угрозам. Кроме этого, был проведен аудит архитектуры системы безопасности и ее программной реализации. Аудит выполнен Positive Technologies - ведущей российской компанией в области информационной безопасности. 
   
   
3. Безопасность информационной среды 
   
   Корпоративный портал работает на веб-сервере, который в свою очередь функционирует в операционной системе. Для хранения данных используется СУБД, для работы скриптов - интерпретатор PHP. Также задействована масса других программ и сервисов, связанных с правильной работой всех функций портала. Ведь любой компонент данной сложной инфраструктуры может являться слабым звеном с точки зрения безопасности, а, значит, быть потенциальным источником угроз. 
   
   Мы даем рекомендации по настройке серверного программного обеспечения (для Windows и Unix/Linux платформ), и кроме этого поставляем специальный пакет «Битрикс: Веб-окружение», представляющий собой пакет серверного ПО, правильно подобранного и сконфигурированного для обеспечения безопасной работы продукта «Битрикс24» в коробке» под Windows.

Архитектура безопасности «Битрикс24» в коробке»

При проектировании программного продукта «Битрикс24» в коробке» вопросам безопасности продукта уделялось особое значение на всех этапах разработки и тестирования.

• политика безопасности - набор правил, ограничивающих возможность авторизации пользователей в целях обеспечения определенного уровня безопасности сайта;
• единая система авторизации - все права в системе распределяются исключительно для групп пользователей;
• единый бюджет пользователя для всех модулей;
• двухуровневая система разграничения прав доступа;
• независимость системы контроля доступа от бизнес-логики страницы;
• возможность шифрования информации при передаче;
• система обновлений SiteUpdate;
• независимое журналирование выполняемых страниц в модуле Статистики;
• политика работы с переменными и внешними данными;
• методика двойного контроля критически опасных участков кода.

Внутренний аудит

Наш внутренний отдел информационной безопасности производит постоянный мониторинг нового программного кода, генерируемого разработчиками. Он заключается в моделировании угроз безопасности, различных классах атак, попытках реализации технического взлома портала различными приемами и экспериментами.

Это кропотливая и сложная работа, требующая превосходного знания нашей программной платформы, работы браузеров и веб-серверов, PHP и различных СУБД. Данные специалисты не участвуют в разработкефункционала, поскольку на практике практически невозможно одновременно разрабатывать функционал и учитывать все аспекты надежности программного кода к взлому. 

Это отдельный технологический цикл, и мы считаем его обязательным для общего процесса разработки. 

Как бы не был востребован новый функционал, как бы не хотелось его скорее выпустить и предоставить нашим клиентам и партнерам, окончательное решение по включению его в систему обновлений дают специалисты по безопасности. 

Внешний аудит 

Несмотря на то, что компания «1С-Битрикс» уделяет важнейшее значение вопросам безопасности в программном продукте и безопасной разработке веб-приложений, для обеспечения нового уровня защищенности и предоставления большей уверенности для клиентов было решено провести независимый аудит защищенности наших продуктов.

Для выполнения аудита информационной безопасности было решено привлечь наиболее известную в России компанию в области веб-безопасности, разработчика программного продукта XSpider, владельца самого популярного ресурса по безопасности на русском языке - компанию Positive Technologies.

Компания Positive Technologies провела полномасштабное тестирование  платформы Битрикс.Framework, на которой реализованы продукты «1С-Битрикс: Управление сайтом» и «Битрикс24» в коробке», располагая исходными текстами продукта и консультационной поддержкой технических специалистов компании «Битрикс».

Почему нужно защищаться

Если внутрикорпоративный портал доступен для просмотра только из внутренней сети организации (за брэндмауэром), то, безусловно, он  менее уязвим для атак извне, чем корпоративный сайт. 

Но внутри компании существует гораздо более существенная проблема - возможные инсайдеры.  Недобросовестные ненадежные сотрудники могут воспользоваться уязвимостями в программном обеспечении портала и заполучить секретные сведения,  нарушить целостность документов, либо вызвать отказ в обслуживании. 

На портале может лежать важная информация, начиная от финансовой отчетности компании до личной переписки между директорами подразделений и обсуждения организационных вопросов. Нельзя допустить, чтобы кто-то получил к ней несанкционированный доступ. 

Кроме этого, часто сеть настраивают так, что в ряде случаев портал может быть доступен и извне компании, например, для работы сотрудников в командировках или внештатных служащих. В этом случае требования по защите портала существенно возрастают и справедливы все рекомендации по защите традиционного веб-сайта.

Уязвимости веб-приложений

Существует целый класс уязвимостей, которым подвержены веб-приложения. Но очень часто проблемы информационной безопасности остаются за рамками бюджета или вообще не фигурируют в этапах разработки.

Интересный материал на эту тему опубликован Алексеем Лукацким, руководителем отдела Интернет-решений компании «Информзащита» (в настоящее время менеджер по развитию бизнеса Cisco Systems) в журнале BYTE Россия:

«Автор прошелся по Web-сайтам некоторых, в том числе и именитых студий, предлагающих свои (недешевые, заметим) услуги по созданию сайтов, и что же? Ни одна из них не упомянула в своих "портфолио" понятие "защищенный сайт". И в типовых договорах нет ни слова о защите…

Что это - некомпетентность или осознанное нежелание ввязываться в неизвестную, а значит, таящую множество сюрпризов область ИТ? К сожалению, приходится признать, что скорее всего первое. Попробую проиллюстрировать этот тезис, опираясь на личный опыт участия в ряде интернет-проектов...»

Перечислим некоторые из наиболее часто встречающихся проблем:

• Cross Site Scripting
• SQL- injection
• PHP- injection
• HTTP Response Splitting
• HTML code injection
• File Inclusion
• Directory traversal и некоторые другие.

Перечисленные типы уязвимостей могут встречаться во всех веб-приложениях, независимо от того, разработаны они одним специалистом или известной компанией. Только системное проектирование, продумывание вопросов безопасности на всех этапах разработки и детальное тестирование готового приложения могут позволить исключить появления уязвимостей.