Сегодня мы поговорим о защите персональных данных клиентов и других, не менее важных, аспектах информационной безопасности веб-проектов.
В последнее время область разработки переживает довольно стремительный переход от классических практик создания программного обеспечения — долгого, медленного, обстоятельного, досконального подхода, при котором все тщательно проектируется, продумывается, испытывается десятки раз — к Agile методикам, обеспечивающим быстрое создание продукта с одновременным постоянным потоком изменений в его функционал как во время разработки, так и после выхода первого релиза.
Многие все отчетливее понимают, что если писать софт долго и правильно, то он может к моменту выхода на рынок оказаться просто ненужным и устаревшим. Поэтому все чаще и чаще наблюдается следующий подход, применяемый в том числе в разработке веб-проектов:
Помимо очевидных плюсов «быстрой» разработки:
имеются риски и угрозы, важность которых нередко сложно оценить непрофессионалу:
Ситуация усугубляется еще тем, что информационные технологии становятся все сложнее и запутаннее, и программисту нужно уметь разбираться в интенсивно увеличивающемся конусе смежных, нередко непохожих технологий. А времени на учебу — либо не выделяется, либо дается неадекватно мало. Люди — фактически вынуждены учиться на… реальных проектах.
Одним из возможных решений поставленной выше задачи: «делать веб-проекты быстро, качественно и без дыр» — использовать готовые инструменты, библиотеки и фреймворки, спроектированные и реализованные экспертами в области информационной безопасности. Инструменты, шагающие в ногу со временем и защищающие нас от постоянно возникающих угроз.
Платформа Битрикс — просто нашпигована эффективными инструментами обеспечения информационной безопасности веб-проектов.
Наверно многие знают, что в нашей компании имеется отдел информационной безопасности, в задачи которого входит тщательный аудит всего создаваемого программного кода платформы Битрикс. Поэтому ядро платформы — максимально защищено, о чем свидетельствуют в том числе хорошие результаты на фестивале хакеров CC9 и результаты независимого аудита от известного эксперта в области безопасности — Positive Technologies.
Более того, благодаря политике тотальной проверки данных, передаваемых API ядра платформы (да, немного в ущерб производительности), распространенная угроза веб-проектов «SQL-инъекция» — исключена (если код веб-проекта работает строго через API, что входит в наши стандарты качества интеграции), а вероятность XSS-атак — серьезно снижена.
Также, специалисты отдела информационной безопасности проводят постоянный мониторинг внешних информационных угроз и создают/развивают проактивные инструменты защиты веб-проектов — которые мы далее рассмотрим.
У вас имеется перед глазами «Панель безопасности» и ваша задача — выполнить рекомендуемые настройки для повышения, в случае необходимости, «текущего уровня безопасности» с «Начального» до «Стандартного» и выше. Просто и наглядно — хотите больше безопасности, значит повышайте уровень, выполняя рекомендации экспертной системы.
Выглядит эта панелька так:
«Проактивный фильтр (Web Application Firewall)» — подсистема фильтрует все передаваемые веб-проекту данные (посты, куки и т.п.) на предмет эксплуатации известных уязвимостей: XSS, SQL Injection, PHP Including и ряда других. Конечно, ложные срабатывания могут быть, поэтому инструмент настраивается.
Важно отметить, что инструмент защищает не ядро платформы Битрикс, которое безопасно само по себе (см. выше), а именно «надстройку над платформой», выполненную программистами — веб-проект на базе 1С-Битрикс. К сожалению, из-за недостатка бюджета, времени и квалификации, программный код «иногда» не достаточно хорошо проверяется программистами на предмет информационной безопасности — и именно от возможных ошибок и дыр подобного вида страхует вас данный мощный инструмент. Поэтому, если разработку на платформе ведет, на ваш взгляд, «слабоватая» команда разработчиков — инструмент для вас!
И конечно, все атаки — регистрируются в журнале событий.
Вот так это работает:
Этот инструмент работает несколько иначе, чем предыдущий — он фильтрует информацию, передаваемую в браузер клиентов веб-проекта.
К сожалению, нередко компьютеры администраторов и менеджеров веб-проектов — заражены вирусами. Вирусы достают пароли из браузеров, FTP-клиентов и других инструментов управления веб-проектом и… заражают сами файлы веб-проекта. Утром вам начинают звонить клиенты и говорить, что на сайт нельзя зайти, т.к. он заражен и вместо сайта открывается красное окно с предупреждением — а все из-за того, что один из менеджеров веб-проекта ночью из дома зашел с персонального зараженного компьютера и добавил… зараженную новость на сайт.
Данный инструмент, конечно, не заменяет антивирусное программное обеспечение, а действует с ним в унисон и определенно страхует вас от ошибок в политике безопасности эксплуатации веб-проекта. И, как любой антивирус — периодически обновляется через Интернет.
Идея тут в том, что учетные записи пользователей и администраторов веб-проекта привязываются к группам, имеющим разные уровни безопасности (чем выше безопасность, тем как правило ниже удобство работы с системой).
Можно выбрать уровень безопасности группы из списка, а можно поиграть «вкусными» параметрами вручную (если понимаете, что они означают). Чем больше у сотрудников группы полномочий, тем более высокий уровень безопасности она должна, по-хорошему, иметь:
После авторизации между клиентом и веб-проектом начинает гулять идентификатор сессии, который нередко является целью хакеров. Для защиты сессии на разделяемых хостингах мы предлагаем их хранить в базе данных, а для затруднения атак на сессию мы даем возможность менять ее идентификатор.
Полезно разрешить доступ к административному разделу веб-проекта с определенных подсетей средствами системного администрирования — но мы также предоставляем инструмент, облегчающий эту задачу. Инструмент достаточно популярный и удобный — особенно на разделяемых хостингах:
А это как вам удобно. Весь трафик клиентов с веб-проектом шифровать — расточительно и неудобно (хотя для обеспечения секьюрности это некоторым очень хочется сделать). А вот определенные разделы, содержащие персональные данные и точки авторизации — весьма полезно.
Напрямую в платформе мы не занимаемся этим — возлагая задачу обеспечения SSL на службу системного администрирования и проектировщика веб-решения.
На летней партнерской конференции мы анонсировали выход в ближайшем релизе платформы технологии защиты от передачи пароля в открытом виде (не у всех есть возможность настроить SSL) — на базе асимметричной криптографии (шифруем пароль JavaScript-ом в браузере клиента, RSA 1024 bit).
Конечно, вы можете защитить процедуру авторизации на веб-проекте посредством SSL от перехвата паролей грозными хакерами, но… это не спасет от утечки паролей, особенно административных, по другим каналам — е-мейл, бумажечки на столе и в тумбочке, записи на рабочем столе и т.п.
Для максимальной защиты паролей нередко пользуются двухфакторной авторизацией. В платформе Битрикс реализована разновидность этой технологии. Вы раздаете сотрудникам симпатичные брелочки или используете софт для генерации одноразовых паролей. Теперь можно быть уверенным в том (до определенной степени), что а) перехват пароля становится бесполезной задачей, б) если на сайте авторизовался Василий Пупкин, то это именно он по собственному желанию, либо Василий — но под дулом пистолета.
Благодаря встроенным в платформу Битрикс профессиональным инструментам обеспечения информационной безопасности и защиты персональных данных — массово создаваемые решения на ее основе можно считать «довольно прочными и устойчивыми».
Создавая веб-проект на 1С-Битриксе вы (или наш Партнер) можете сконцентрировать усилия и бюджет на решаемой задаче, доверяя вопросы обеспечения безопасности платформе и ее инструментам.
Однако, нужно хорошо понимать, что борьба за безопасность веб-проекта должна постоянно идти по всем фронтам, серебряной пули нет и только системный подход, четко продуманные бизнес-процессы и политики обеспечения информационной безопасности сделают ваш веб-проект неприступной крепостью на… 99.9%.
С уважением, руководитель направления контроля качества интеграции и внедрений
Александр Сербул
Скорость и сложность разработки — постоянно растет
В последнее время область разработки переживает довольно стремительный переход от классических практик создания программного обеспечения — долгого, медленного, обстоятельного, досконального подхода, при котором все тщательно проектируется, продумывается, испытывается десятки раз — к Agile методикам, обеспечивающим быстрое создание продукта с одновременным постоянным потоком изменений в его функционал как во время разработки, так и после выхода первого релиза.
Многие все отчетливее понимают, что если писать софт долго и правильно, то он может к моменту выхода на рынок оказаться просто ненужным и устаревшим. Поэтому все чаще и чаще наблюдается следующий подход, применяемый в том числе в разработке веб-проектов:
- Интенсивный непродолжительный мозговой штурм концепции проекта
- Грубое «прикидывание» плана итераций релиза (на 1-6 месяцев) с упорядочиванием описанных простым языком фич веб-проекта по убыванию приоритета. Причем стараются выпустить первый релиз в продакшн как можно быстрее, даже «по частям».
- Выбор и экспресс-оценка наиболее приоритетных фич, которые можно сделать за 2-4 недели командой разработки (не больше дня)
- Быстрое проектирование (не больше дня) с использованием досок и других средств коллективных коммуникаций и разработка выбранного приоритетного функционала
- Демонстрация «быстро сделанного» функционала, получение обратной связи от пользователей (сначала внутри компании), тестирование пользователями
- Вывод сделанного функционала в продакшн для скорейшего получения обратной связи и… более интенсивного тестирования :-)
- Переход к п.3 и так далее по кругу
Проблемы «быстрой» разработки веб-проектов
Помимо очевидных плюсов «быстрой» разработки:
- Пользователи получают наиболее востребованный функционал максимально быстро
- Разработчики занимаются только самыми приоритетными задачами
- Веб-проект шагает в ногу со временем, оперативно реагируя на вызовы рынка и запросы Пользователей и адекватно меняясь
- Бюрократия, среднесрочное и долгосрочное планирование сведены практически сведены на нет — все силы брошены на выявление и планирование ближайших задач
имеются риски и угрозы, важность которых нередко сложно оценить непрофессионалу:
- Из-за недостатка времени и ограниченности бюджета, плохо продумывается архитектура веб-проекта, из-за чего он может, например, начать «тормозить» или его станет сложно и дорого развивать
- Из-за недостатка времени и ограниченности бюджета, а также возможно недостаточной квалификации IT-специалистов, вопросам безопасности веб-проектов уделяется недостаточное внимание, если этим вообще кто-нибудь занимается
Ситуация усугубляется еще тем, что информационные технологии становятся все сложнее и запутаннее, и программисту нужно уметь разбираться в интенсивно увеличивающемся конусе смежных, нередко непохожих технологий. А времени на учебу — либо не выделяется, либо дается неадекватно мало. Люди — фактически вынуждены учиться на… реальных проектах.
Что же делать?
Одним из возможных решений поставленной выше задачи: «делать веб-проекты быстро, качественно и без дыр» — использовать готовые инструменты, библиотеки и фреймворки, спроектированные и реализованные экспертами в области информационной безопасности. Инструменты, шагающие в ногу со временем и защищающие нас от постоянно возникающих угроз.
Платформа Битрикс — просто нашпигована эффективными инструментами обеспечения информационной безопасности веб-проектов.
Ядро платформы Битрикс — «крепкий орешек»
Наверно многие знают, что в нашей компании имеется отдел информационной безопасности, в задачи которого входит тщательный аудит всего создаваемого программного кода платформы Битрикс. Поэтому ядро платформы — максимально защищено, о чем свидетельствуют в том числе хорошие результаты на фестивале хакеров CC9 и результаты независимого аудита от известного эксперта в области безопасности — Positive Technologies.
Более того, благодаря политике тотальной проверки данных, передаваемых API ядра платформы (да, немного в ущерб производительности), распространенная угроза веб-проектов «SQL-инъекция» — исключена (если код веб-проекта работает строго через API, что входит в наши стандарты качества интеграции), а вероятность XSS-атак — серьезно снижена.
Также, специалисты отдела информационной безопасности проводят постоянный мониторинг внешних информационных угроз и создают/развивают проактивные инструменты защиты веб-проектов — которые мы далее рассмотрим.
«Визуализация» состояния защиты веб-проекта
У вас имеется перед глазами «Панель безопасности» и ваша задача — выполнить рекомендуемые настройки для повышения, в случае необходимости, «текущего уровня безопасности» с «Начального» до «Стандартного» и выше. Просто и наглядно — хотите больше безопасности, значит повышайте уровень, выполняя рекомендации экспертной системы.
Выглядит эта панелька так:
Фильтруем входные данные веб-проекта
«Проактивный фильтр (Web Application Firewall)» — подсистема фильтрует все передаваемые веб-проекту данные (посты, куки и т.п.) на предмет эксплуатации известных уязвимостей: XSS, SQL Injection, PHP Including и ряда других. Конечно, ложные срабатывания могут быть, поэтому инструмент настраивается.
Важно отметить, что инструмент защищает не ядро платформы Битрикс, которое безопасно само по себе (см. выше), а именно «надстройку над платформой», выполненную программистами — веб-проект на базе 1С-Битрикс. К сожалению, из-за недостатка бюджета, времени и квалификации, программный код «иногда» не достаточно хорошо проверяется программистами на предмет информационной безопасности — и именно от возможных ошибок и дыр подобного вида страхует вас данный мощный инструмент. Поэтому, если разработку на платформе ведет, на ваш взгляд, «слабоватая» команда разработчиков — инструмент для вас!
И конечно, все атаки — регистрируются в журнале событий.
Вот так это работает:
Веб-антивирус
Этот инструмент работает несколько иначе, чем предыдущий — он фильтрует информацию, передаваемую в браузер клиентов веб-проекта.
К сожалению, нередко компьютеры администраторов и менеджеров веб-проектов — заражены вирусами. Вирусы достают пароли из браузеров, FTP-клиентов и других инструментов управления веб-проектом и… заражают сами файлы веб-проекта. Утром вам начинают звонить клиенты и говорить, что на сайт нельзя зайти, т.к. он заражен и вместо сайта открывается красное окно с предупреждением — а все из-за того, что один из менеджеров веб-проекта ночью из дома зашел с персонального зараженного компьютера и добавил… зараженную новость на сайт.
Данный инструмент, конечно, не заменяет антивирусное программное обеспечение, а действует с ним в унисон и определенно страхует вас от ошибок в политике безопасности эксплуатации веб-проекта. И, как любой антивирус — периодически обновляется через Интернет.
Политики безопасности групп
Идея тут в том, что учетные записи пользователей и администраторов веб-проекта привязываются к группам, имеющим разные уровни безопасности (чем выше безопасность, тем как правило ниже удобство работы с системой).
Можно выбрать уровень безопасности группы из списка, а можно поиграть «вкусными» параметрами вручную (если понимаете, что они означают). Чем больше у сотрудников группы полномочий, тем более высокий уровень безопасности она должна, по-хорошему, иметь:
Защита сессий
После авторизации между клиентом и веб-проектом начинает гулять идентификатор сессии, который нередко является целью хакеров. Для защиты сессии на разделяемых хостингах мы предлагаем их хранить в базе данных, а для затруднения атак на сессию мы даем возможность менять ее идентификатор.
Защита административного раздела
Полезно разрешить доступ к административному разделу веб-проекта с определенных подсетей средствами системного администрирования — но мы также предоставляем инструмент, облегчающий эту задачу. Инструмент достаточно популярный и удобный — особенно на разделяемых хостингах:
SSL или не SSL?
А это как вам удобно. Весь трафик клиентов с веб-проектом шифровать — расточительно и неудобно (хотя для обеспечения секьюрности это некоторым очень хочется сделать). А вот определенные разделы, содержащие персональные данные и точки авторизации — весьма полезно.
Напрямую в платформе мы не занимаемся этим — возлагая задачу обеспечения SSL на службу системного администрирования и проектировщика веб-решения.
На летней партнерской конференции мы анонсировали выход в ближайшем релизе платформы технологии защиты от передачи пароля в открытом виде (не у всех есть возможность настроить SSL) — на базе асимметричной криптографии (шифруем пароль JavaScript-ом в браузере клиента, RSA 1024 bit).
Одноразовые пароли
Конечно, вы можете защитить процедуру авторизации на веб-проекте посредством SSL от перехвата паролей грозными хакерами, но… это не спасет от утечки паролей, особенно административных, по другим каналам — е-мейл, бумажечки на столе и в тумбочке, записи на рабочем столе и т.п.
Для максимальной защиты паролей нередко пользуются двухфакторной авторизацией. В платформе Битрикс реализована разновидность этой технологии. Вы раздаете сотрудникам симпатичные брелочки или используете софт для генерации одноразовых паролей. Теперь можно быть уверенным в том (до определенной степени), что а) перехват пароля становится бесполезной задачей, б) если на сайте авторизовался Василий Пупкин, то это именно он по собственному желанию, либо Василий — но под дулом пистолета.
Выводы
Благодаря встроенным в платформу Битрикс профессиональным инструментам обеспечения информационной безопасности и защиты персональных данных — массово создаваемые решения на ее основе можно считать «довольно прочными и устойчивыми».
Создавая веб-проект на 1С-Битриксе вы (или наш Партнер) можете сконцентрировать усилия и бюджет на решаемой задаче, доверяя вопросы обеспечения безопасности платформе и ее инструментам.
Однако, нужно хорошо понимать, что борьба за безопасность веб-проекта должна постоянно идти по всем фронтам, серебряной пули нет и только системный подход, четко продуманные бизнес-процессы и политики обеспечения информационной безопасности сделают ваш веб-проект неприступной крепостью на… 99.9%.
С уважением, руководитель направления контроля качества интеграции и внедрений
Александр Сербул
