top_ua
Вхід
Ваш Бітрікс24
Авторизуйтеся, щоб увійти
до Бітрікс24 вашої компанії.
Вхід

Підтримка24

Проактивний захист

Рейтинг:

Якщо Портал розміщений на зовнішньому хостингу, або у співробітників є доступ в Інтернет, необхідно забезпечити захист від більшості відомих атак на веб-застосунки. Для цього в нову версію продукту включено модуль «Проактивний захист», який дозволяє підвищити рівень захищеності Порталу завдяки вбудованому в продукт проактивного фільтру (Web Application Firewall). Нова версія продукту сертифікована компанією Positive Technologies - лідером ринку інформаційної безпеки. Після проведеного аудиту продукту виданий сертифікат «Захищений веб-застосунок»

Проактивний захист - це цілий комплекс технічних і організаційних заходів, які об'єднані спільною концепцією безпеки та дозволяють значно розширити поняття захищеності та реакції веб-застосунків на загрози.

Комплекс із захисту веб-застосунків, що включений у модуль:

Проактивний фільтр (Web Application Firewall)

Проактивний фільтр (WAF - Web Application Firewal) забезпечує захист від більшості відомих атак на веб-застосунки. У потоці зовнішніх запитів користувачів проактивний фільтр розпізнає більшість небезпечних загроз і блокує вторгнення на сайт. Проактивний фільтр - найбільш ефективний спосіб захисту від можливих помилок безпеки, допущених при реалізації інтранет-проєкту (XSS, SQL Injection, PHP Including і ряду інших). Дія фільтра заснована на аналізі та фільтрації всіх даних, що надходять від користувачів через змінні та кукі.

Зверніть увагу, що деякі дії користувачів, які не становлять загрози, теж можуть виглядати підозріло та викликати помилкове спрацьовування фільтра.

Можливості Проактивного фільтра:

  • захист від більшості відомих атак на веб-застосунки;
  • екранування застосунку від найбільш активно використовуваних атак;
  • створення списку сторінок-винятків з фільтрації (по масці);
  • розпізнавання більшості небезпечних загроз;
  • блокування вторгнень на Портал;
  • захисту від можливих помилок безпеки;
  • фіксування спроб атак в журналі;
  • інформування адміністратора про випадки вторгнення;
  • налаштування активної реакції - дій системи при спробі вторгнення на сайт:

    • зробити дані безпечними;
    • очистити небезпечні дані;
    • додати IP адресу атакуючого в стоп-лист на ХХ хвилин;
    • занести спробу вторгнення в журнал.

  • оновлення разом з продуктом.

Інструмент для аудиту безпеки PHP-коду

Інструмент для аудиту безпеки PHP-коду - зручний, точний і зрозумілий інструмент для розробника, який «підказує» слабкі місця в безпеці його коду. Інструмент дозволяє не тільки запобігти експлуатації вразливості, але і усунути її джерело. Перевірка показує в звіті потенційно вразливі місця в коді та підсилює захист сайту від злому.

Знайти та випробувати цей інструмент можна в адміністративній частині сайту: Налаштування> Інструменти> «Монітор якості»> тест «Вжито заходів щодо забезпечення безпеки проекту на рівні веб-розробки» в розділі «Безпека». Запустивши тест, ви зможете переглянути докладний звіт про його роботу (за умови наявності знайдених проблем).

Детальніше про Монітор якості можна прочитати в спеціальному розділі.

Система перевірки «Монітор якості» також працює в каталозі веб-додатків Маркетплейс для сайтів та корпоративних порталів Бітрікс24.

Панель безпеки з рівнями захищеності

Будь-який проект, що працює під управлінням продуктів від «Бітрікс», обов'язково має початковий рівень захисту. Однак за допомогою модуля «Проактивний захист» можна значно підвищити захищеність власного інтранет-проекту. Потрібно всього лише вибрати і налаштувати один з рівнів безпеки модуля: стандартний; високий; підвищений. При цьому система підкаже - видасть рекомендації - яку дію необхідно встановити для кожного параметра на обраному поточному рівні.

Рівні безпеки:

  1. початковий рівень - отримують проєкти на базі Bitrix Framework без встановленого модуля «Проактивний захист»;
  2. стандартний рівень - у проєкті задіяні стандартні інструменти проактивного захисту продукту:

    • Проактівний фільтр (на весь Портал без винятків);
    • ведеться журнал вторгнень за останні 7 днів;
    • включений контроль активності;
    • підвищений рівень безпеки для групи адміністраторів;
    • використання CAPTCHA при реєстрації;
    • режим виведення помилок (тільки помилки).

  3. високий рівень - рекомендований рівень захисту, його отримують проєкти, які виконали вимоги стандартного рівня, і додатково включили:

    • журнал подій головного модуля;
    • захист адміністративної частини;
    • зберігання сесій в базі даних;
    • зміна ідентифікатора сесій.
  4. підвищений рівень - спеціальні засоби захисту, обов'язкові для порталів, що містять конфіденційну інформацію користувачів, для тих, хто працює з критичною інформацією. Додатково до високого рівня:

    • включення одноразових паролів;
    • контроль цілісності скрипта контролю.

Веб-антивірус

Веб-антивірус вбудований безпосередньо в сам продукт - систему управління порталом. Цей компонент захисту повністю відповідає загальній концепції безпеки системи і в рази підвищує захищеність і швидкість реакції веб-застосунку на веб-загрози.

«Веб-антивірус» перешкоджає вбудовуванню шкідливого коду безпосередньо в веб-застосунки. І відбувається це наступним чином. «Веб-антивірус» виявляє в HTML коді потенційно небезпечні ділянки і «вирізає» підозрілі об'єкти з коду сайту. У підсумку віруси не можуть потрапити до електронної пошти користувача сайту - антивірус перешкоджає цьому. І, що особливо важливо, «Веб-антивірус» повідомляє адміністратора порталу - попереджає про наявність зарази. Отримуючи інформацію про це, адміністратор шукає джерело шкідливого коду, проводить «зачистку» комп'ютера і підсилює профілактичні заходи.

Журнал вторгнень

У Журналі реєструються всі події, що відбуваються в системі, в тому числі незвичайні або зловмисні. Оперативний режим реєстрації цих подій дозволяє переглядати відповідні записи в Журналі відразу ж після їх генерації. У свою чергу, це дозволяє виявляти атаки і спроби атак в момент їх проведення. Це означає, у вас є можливість негайно вживати відповідних заходів, і, в деяких випадках, навіть попереджати атаки.

Можливості журналу вторгнень:

  • оперативна реєстрація всіх подій в системі;
  • в разі спрацювання Проактивного фільтра запис в Журналі в одній з категорій атак:

    • спроба впровадження SQL;
    • спроба атаки через XSS;
    • спроба впровадження PHP.
  • відбір зловмисних подій по фільтру;
  • перегляд та аналіз подій в реальному часі;
  • негайна реакція - відповідна міра на подію;
  • профілактика і попередження подій на основі їх аналізу;

Одноразові паролі

Для забезпечення безпеки доступу до Порталу віддалених співробітників в новій версії реалізована технологія одноразових паролів (One Time Password - OTP) на базі електронних ключів Aladdin eToken PASS для забезпечення аутентифікації користувача при доступі на Портал. Нова технологія протестована компанією Aladdin - лідуючий розробник засобів захисту інформації.

Модуль «Проактивний захист» дозволяє включити підтримку одноразових паролів і використовувати їх вибірково для будь-яких користувачів на сайті. Проте особливо рекомендується задіяти систему одноразових паролів адміністраторам сайтів, оскільки це сильно підвищує рівень безпеки групи користувачів «Адміністратори».

Система одноразових паролів доповнює стандартну систему авторизації та дозволяє значно посилити систему безпеки інтернет-проекту. Для включення системи необхідно використовувати апаратний пристрій (наприклад, Aladdin eToken PASS або відповідне програмне забезпечення, що реалізує OTP.

Що вам дає така технологія? Однозначну впевненість, що на сайті авторизується саме той користувач, якому видано брелок. При цьому якесь викрадення і перехоплення паролів втрачає всякий сенс тому, що пароль одноразовий. Брелок же фізичний, дає унікальні одноразові паролі і тільки при натисканні. А це означає, що власник брелоку не зможе передати пароль іншій людині, продовжуючи користуватися входом на сайт.

Особливості одноразових паролів:

  • посилення системи безпеки інтернет-проєкту;
  • використання апаратних пристроїв;
  • використання ПЗ, що реалізує OTP;
  • розширена аутентифікація з одноразовим паролем - при авторизації на сайті користувач в додаток до паролю дописує одноразовий пароль;
  • авторизація тільки з використанням ім'я (login) та складеного пароля;
  • заповнення при ініціалізації двох послідовно згенерованих одноразових паролів, отриманих з пристрою;
  • відновлення синхронізації у разі порушення синхронізації лічильника генерації у пристрої і на сервері.

Персональний генератор одноразових паролів для порталу (OTP)

За допомогою Bitrix OTP ви зможете самостійно включати або відключати використання на сайті системи одноразових паролів для облікових записів. Це реалізує OTP програмне забезпечення, розроблене компанією «Бітрікс24», дозволяє обійтися без покупки апаратних пристроїв (наприклад, Aladdin eToken PASS) або відповідних програмних аналогів.

Детальніше про генератор одноразових паролів читайте в статті Двохетапна авторизація.

Контроль цілісності файлів

Контроль цілісності файлів необхідний для швидкого з'ясування - чи вносилися зміни в файли системи. У будь-який момент ви можете перевірити цілісність ядра, системних областей, публічної частині продукту.

  • відстеження змін у файловій системі;
  • перевірка цілісності ядра;
  • перевірка системних областей;
  • перевірка публічної частини продукту.

Перевірка цілісності скрипта контролю

Перед перевіркою цілісності системи необхідно перевірити скрипт контролю на наявність змін. При першому запуску скрипта введіть довільний пароль (що складається з латинських букв і цифр, довжиною не менше 10 символів), а також довільне кодове (ключове слово (відмінне від пароля), і натисніть на кнопку «Встановити новий ключ».

  • перевірка скрипта на наявність змін;
  • захист цілісності скрипта ключем - символьним паролем.

Безпечна авторизація без SSL

За допомогою методики безпечної аутентифікації паролі з форми авторизації ваших співробітників неможливо зламати, оскільки вони шифруються за алгоритмом RSA з ключем 1024 біт і в такому вигляді передаються на корпоративний портал. При цьому не важливо, які з'єднання і протоколи використовують користувачі вашого порталу.

  • безпечна аутентифікація шифрування пароля дозволяє уникнути передачі пароля у відкритому вигляді без SSL;
  • всі інструменти, які використовувалися раніше для авторизації, продовжать працювати.

Захист адміністративного розділу

Цей захист дозволяє компаніям строго регламентувати мережі, які вважаються безпечними і з яких дозволяється працівникам адмініструвати сайт. Перед вами простий спеціальний інтерфейс, в якому все це і виконується - задається список або діапазони IP-адрес, з яких як раз і дозволяється управління сайтом. Не бійтеся закрити доступ у момент встановлення блокування - цей момент перевіряється системою.

Який ефект від використання даного захисту? Будь-які XSS/CSS атаки на комп'ютер користувача стають неефективними, а викрадення перехоплених даних для авторизації з чужого комп'ютера - абсолютно марним.

  • обмеження доступу до адміністративної частини всіх IP-адрес, крім зазначених;
  • автоматичне визначення системою IP адреси користувача;
  • ручне введення дозволеної IP адреси;
  • установка діапазону IP-адрес, з яких дозволений доступ до адміністративної частини.

Захист сесій

Більшість атак на веб-застосунки ставлять метою отримати дані про авторизовану сесію користувача. Включення захисту сесій робить викрадення авторизованої сесії неефективним. І, якщо мова йде про авторизованої сесії адміністратора, то її надійний захист за допомогою даного механізму є особливо важливим завданням. Які інструменти використовує цей захисний механізм? У доповнення до стандартних інструментів захисту сесій, які встановлюються у налаштуваннях групи, механізм захисту сесій включає спеціальні - і в деякому роді унікальні.

Зберігання даних сесій в таблиці модуля дозволяє уникнути читання цих даних через скрипти інших сайтів на тому ж сервері, виключивши помилки конфігурування віртуального хостингу, помилки налаштування прав доступу у тимчасових каталогах і ряд інших проблем налаштування операційного середовища. Крім того, це розвантажує файлову систему, переносячи навантаження на сервер бази даних.

  • захист сесій кількома способами:

    • час сесії життя (хвилини);
    • зміна ідентифікатора сесії раз на кілька хвилин;
    • маска мережі для прив'язки сесії до IP;
    • зберігання даних сесій в таблиці модуля.
  • виключення помилок конфігурування віртуального хостингу;
  • виключення помилок налаштування прав доступу у тимчасових каталогах;
  • виключення проблем налаштування операційної середовища;
  • розвантаження файлової системи;
  • марність викрадення сесій зловмисниками.

Стоп лист

Стоп-лист - таблиця, яка містить параметри, які використовуються для обмеження доступу відвідувачів до вмісту сайту і перенаправлення на інші сторінки. Всі користувачі, які спробують зайти на сайт з IP адресами, включеними в стоп-лист, будуть заблоковані.

  • перенаправлення відвідувачів, параметри яких містяться в стоп-листі;
  • блокування користувачів по IP адресам із стоп-листа;
  • ручне поповнення стоп-листа новими записами;
  • облік статистики користувачів, яким заборонено доступ до Порталу;
  • встановлення періоду дії заборони на доступ до Порталу для користувача, IP-мережі, маску мережі, UserAgent і посилання, за яким прийшов користувач;
  • повідомлення, що змінюється, яке буде показано користувачу при спробі доступу до Порталу.

Контроль активності

Контроль активності дозволяє встановити захист від надмірно активних користувачів, програмних роботів, деяких категорій DDoS-атак, а також відсікати спроби підбору пароля перебором. У налаштуваннях можна встановити максимальну активність користувачів сайту (наприклад, число запитів в секунду, які може виконати користувач).

Контроль активності користувачів ведеться на основі засобів модуля Веб-аналітика і, відповідно, доступний тільки в тих редакціях продукту, в які входить цей модуль.
  • захист від надмірно активних користувачів;
  • захист від програмних роботів;
  • захист від деяких категорій DDoS-атак;
  • відсікання спроб підбору паролів перебором;
  • установка максимальної активності користувачів для сайту;
  • фіксування перевищення ліміту активності користувача в Журналі вторгнень;
  • блокування користувача, який перевищив кількість запитів у заданий часовий інтервал;
  • виведення для заблокованого користувача спеціальної інформаційної сторінки.

Встановіть додаткові веб-застосунки з Маркетплейса для розширення можливостей комплексу Проактивний захист.

Дякую, допомогло! Дякуємо :) Не допомогло Дуже шкода :(
Дізнайтесь, чому:
Це не те, що я шукаю
Дуже складно і незрозуміло