При разработке восьмой версии ПО “1С-Битрикс: Управление сайтом” компания “1С-Битрикс” основное внимание сосредоточила на новом модуле “Проактивная защита”, призванном повысить уровень защищенности создаваемых на базе этого продукта веб-ресурсов.
Объясняя причины появления нового модуля, генеральный директор компании Сергей Рыжиков указал на высокую уязвимость веб-ресурсов, что подтверждают данные и других экспертов, согласно которым уже в 2006 г. количество обнаруживаемых в веб-приложениях уязвимостей превысило количество всех остальных уязвимостей, в том числе в операционных системах.
При этом он отметил, что на подготовку квалифицированного веб-разработчика, способного решать задачи защиты веб-ресурсов, уходит два-три года, а на то, чтобы начинающий взломщик научился использовать доступную через Интернет информацию об уязвимостях ПО и готовые инструменты для атак, достаточно пары недель. По его оценкам, соотношение между количеством тех, кто может взламывать сайты, и тех, кто может писать безопасные защищенные веб-приложения, составляет сегодня 100:1. Но даже квалифицированному веб-разработчику бывает непросто писать безопасные коды. “Сосредоточившись на проблемах безопасности, на уязвимостях, программист перестает думать об удобстве, простоте и понятности кода”, — считает г-н Рыжиков. Что же касается заказчиков веб-ресурсов, то они, как показывает опыт, в договорах на разработку не ставят условия их защищенности и редко требуют от хостинг-провайдеров защиты своих сайтов в процессе их эксплуатации и развития.
“Мы интегрировали “Проактивную защиту” в инструментарий создания веб-приложений, чтобы разработчики веб-продуктов, не являющиеся специалистами в информбезопасности, могли создавать защищенные веб-ресурсы”, — подытожил Сергей Рыжиков.
Ключевым компонентом модуля “Проактивная защита” является проактивный фильтр (Web Application Firewall), который проверяет поступающие на сайт данные на наличие уязвимостей (таких, как Cross Site Scripting, SQL Injection, PHP Including и т. п.). Модуль также поддерживает технологию одноразовых паролей (One Time Password, OTP), реализованную на базе электронных ключей Aladdin eToken PASS.
Среди других важнейших функций “Проактивной защиты” г-н Рыжиков отметил защиту авторизованных пользовательских сессий, контроль активности обращений к веб-ресурсу, шифрование данных (для старших уровней защиты), защиту административных разделов по IP, защиту от фишинга перенаправлений с сайта, улучшенную защиту от автоматизированного распознавания технологии CAPTCHA, поддержку элементов групповых политик безопасности, стоп-листы для ненадежных IP-адресов. Контроль целостности самой системы управления, а также страниц сайта позволяет отслеживать изменения в ядре, в системных областях и в публичной части веб-продукта. Такой контроль также помогает отслеживать качество хостинга на предмет его уязвимостей.
Сергей Рыжиков уведомил, что модуль “Проактивная защита” включен без увеличения цены в продукт “1С-Битрикс: Корпоративный портал” и во все редакции продукта “1С-Битрикс: Управление сайтом” за исключением самой простой его версии — стартовой. Компания Positive Technologies провела аудит кодов нового модуля “1С-Битрикс” и утверждает, что механизмы защиты продуктов “1С-Битрикс: Корпоративный портал” и “1С-Битрикс: Управление сайтом” соответствуют требованиям к информбезопасности международной организации Web Application Security Consortium. Согласно экспертным оценкам это гарантирует снижение уровня угроз от современных автоматизированных атак на веб-приложения на 98—99%.