Новый подход к защите Web-приложений
Компании «1С-Битрикс», Aladdin и Positive Technologies представили новую версию продукта «1С-Битрикс: Управление сайтом 8.0», в котором реализован принципиально новый комплексный подход к вопросам защиты Интернет-проектов.
Отдавая себе отчет в том, что «человеческий фактор» – это бич информационной безопасности, «1С-Битрикс» делает ставку на технологический подход, снижающий влияние пользователя на безопасность системы. Согласно имеющимся статистическим данным, более 70% всех существующих сайтов требуют незамедлительного устранения уязвимостей. При этом не надо быть опытным программистом, чтобы организовать атаку на любой Web-ресурс, используя такие распространенные методы, как Cross-Site Scripting, PHP Including, SQL-инъекции.
Понятно, что взлом сайта — это серьезный удар по репутации компании, и чем известнее и крупнее «жертва», тем выше ее убытки. Однако, несмотря на это, корпоративные Интернет-ресурсы пока остаются уязвимыми. Аналитика, приведенная Positive Technologies, показывает, что даже после повторного аудита защищенности Интернет-ресурса (т. е. когда заказчик уже поставлен в известность о найденных брешах в системе безопасности сайта), активные действия по снижению рисков предпринимаются не более чем в 50% случаев. И технологическое сотрудничество Aladdin с «1С-Битрикс» следует рассматривать как нацеленное на изменение ситуации, связанной с недопустимо низким уровнем защищенности Web-ресурсов.
Идея повышения уровня безопасности Интернет-ресурсов легла в основу нового продукта «1С-Битрикс: Управление сайтом 8.0» со встроенным модулем «Проактивная защита». Новый функционал обеспечивает защиту от большинства известных атак на Web-приложения. Проактивный фильтр (Web Application Firewall) распознает опасные угрозы и блокирует вторжения на сайт. Это наиболее эффективный способ снижения рисков ошибок, допущенных при создании Интернет-проекта (например, XSS, SQL Injection, PHP Including и ряда других).
В новом продукте «1С-Битрикс» существенно усилена функция аутентификации на Web-ресурсах благодаря использованию технологии одноразовых паролей (One Time Password, OTP). Для подтверждения подлинности пользовательских данных служат электронные ключи Aladdin eToken PASS. При нажатии кнопки на корпусе eToken PASS дисплей устройства отображает одноразовый пароль (OTP-PIN). Данный пароль действует только в течение одного сеанса связи, следовательно, пользователю не нужно беспокоиться о том, что пароль можно подсмотреть или перехватить. Корректность работы электронных ключей eToken PASS для системы «1С-Битрикс: Управление сайтом 8.0» подтверждается соответствующим сертификатом компании Aladdin.
Кроме того, новая разработка «1С-Битрикс» обеспечивает защиту авторизованных сессий, защиту административных разделов по IP-адресу, позволяет вести журнал вторжений, в котором фиксируются попытки внедрения SQL, атак через XSS и внедрения PHP. Как инструмент контроля модуль «Проактивная защита» позволяет отслеживать активность на сайте. Эта функция выявляет автоматизированные скрипты и блокирует их работу, что снижает вероятность DDoS-атаки на Web-приложение.
Партнер «1С-Битрикс», компания Positive Technologies, провела аудит эффективности новых функций безопасности в продукте. Тестирование встроенных механизмов защиты продукта подтвердило их соответствие требованиям Web Application Firewall Evaluation Criteria международной организации Web Application Security Consortium, о чем свидетельствует выданный сертификат.