Тесты цифровой техники

Iconica

Tangl control помог успешно провести первую в России экспертизу проекта только по цифровой информационной модели

11.12.2024
Открытая конференция ИСП РАН


	Переход на NNIT.ru


	Переход на MSKIT.ru

Новости на NNIT Новости на MSKIT

"1С-Битрикс", Aladdin и Positive Technologies представили новый подход к защите Web-приложений

13.04.2009 11:20
версия для печати

В рамках пресс-конференции "Актуальные вопросы информационной безопасности Web-приложений" выступили представители компаний 1С-Битрикс, Aladdin и Positive Technologies. Центральной темой мероприятия стала презентация новой версии продукта "1С-Битрикс: Управление сайтом 8.0", в котором реализован принципиально новый, комплексный подход к вопросам обеспечения защиты Интернет-проектов.

Для 1С-Битрикс вопрос о том, кто должен нести ответственность за уязвимости сайтов, ошибки программистов и недостаточное внимание к безопасности со стороны хостинг-провайдеров, почти риторический. Отдавая себе отчет в том, что "человеческий фактор" - это бич информационной безопасности, 1С-Битрикс делает ставку на технологический подход по снижению влияния пользователя на безопасность системы. Необходимость таких действий разделяют и партнеры: Сергей Гордейчик, руководитель отдела консалтинга и аудита Positive Technologies, привел статистические данные, согласно которым более 70% всех существующих сайтов требуют незамедлительного устранения уязвимостей. При этом не надо быть опытным программистом, чтобы организовать атаку на любой Web-ресурс, используя такие распространенные методы как Cross-Site Scripting, PHP Including, SQL-инъекции – дополняет Сергей Рыжиков, генеральный директор 1С-Битрикс. Подтверждая тезис, г-н Рыжиков продемонстрировал консолидированные данные о попытках атак, собранные в результате аудита информационной среды компаний-заказчиков, проведенного собственным отделом информационной безопасности.

Понятно, что взлом сайта - это серьезный удар по репутации компании. Чем известнее и крупнее "жертва", тем выше ее убытки. Однако, несмотря на это, корпоративные Интернет-ресурсы пока остаются уязвимыми. Аналитика, приведенная Positive Technologies, обращает внимание на тот факт, что даже после повторного аудита защищенности Интернет-ресурса (то есть, когда заказчик уже поставлен в известность о найденных брешах в системе ИБ сайта), активные действия по снижению рисков предпринимаются не более чем в 50% случаев. "О необходимости изменения ситуации, связанной с недопустимо низким уровнем защищенности Web-ресурсов, говорить излишне: пора предпринимать реальные действия, - комментирует Шахноза Салманова, директор по маркетингу Aladdin. – Технологическое сотрудничество Aladdin с 1С-Битрикс стоит рассматривать именно в этом ключе".

Задача повышения уровня безопасности Интернет-ресурсов легла в основу нового продукта "1С-Битрикс: Управление сайтом 8.0" со встроенным модулем "Проактивная защита". Новый функционал обеспечивает защиту от большинства известных атак на Web-приложения. Проактивный фильтр (Web Application Firewall) распознает опасные угрозы и блокирует вторжения на сайт. Это наиболее эффективный способ снижения рисков возможных ошибок, допущенных при создании Интернет-проекта (например, уже упомянутых XSS, SQL Injection, PHP Including и ряда других).

В новом продукте 1С-Битрикс существенно усилена функция аутентификации на Web-ресурсах, благодаря использованию технологии одноразовых паролей (One Time Password - OTP). Возможность подтверждения подлинности пользовательских данных реализована на базе электронных ключей Aladdin eToken PASS. При нажатии кнопки на корпусе eToken PASS, дисплей устройства отображает одноразовый пароль (OTP-PIN). Данный пароль действует только в течение одного сеанса связи, следовательно, пользователь может не беспокоиться о том, что пароль будет подсмотрен или перехвачен. Корректность работы электронных ключей eToken PASS для системы "1С-Битрикс: Управление сайтом 8.0" подтверждается соответствующим сертификатом компании Aladdin.

Кроме того, новая разработка 1С-Битрикс обеспечивает защиту авторизованных сессий, защиту административных разделов по IP-адресу, позволяет вести журнал вторжений, в котором фиксируются попытки внедрения SQL, атак через XSS и внедрения PHP. Как инструмент контроля, модуль "Проактивная защита" содержит возможность отслеживания активности на сайте. Эта функция позволяет выявлять автоматизированные скрипты и блокировать их работу, что снижает вероятность проведения DDoS-атаки на Web-приложение. "Модуль "Проактивная защита" - это принципиально новый подход к концепции Web-безопасности, при котором меняется само понятие реакции приложения на попытки вторжения, - комментирует Сергей Рыжиков, генеральный директор компании "1С-Битрикс", - Выпуск "Проактивной защиты" является продолжением многолетней работы компании по обеспечению безопасности интернет-проектов. Но впервые нам удалось настолько существенно усилить защищенность сайтов и снизить зависимость клиентов от наиболее частых ошибок Web-разработчиков".

Давний партнер 1С-Битрикс - компания Positive Technologies осуществила аудит эффективности новых функций безопасности "1С-Битрикс: Управление сайтом".

Редактор раздела: Юрий Мальцев (info@nnit.ru)

Рубрики: Безопасность

Ключевые слова: Dr Web, Symantec, Kaspersky, agnitum, информационная безопасность