Веб-проекты под надежным контролем
Проактивная защита – это целый комплекс технических и организационных мер, которые объединены общей концепцией безопасности и позволяют значительно расширить понятие защищенности и реакции веб-приложений на угрозы. Это ряд инновационных технических решений по обеспечению безопасности продукта и разработанных веб-приложений. Несколько уровней защиты от большинства известных атак на веб-приложения включает этот модуль. И каждый уровень серьезно повышает безопасность разработанных вами интернет-проектов.
«Облачный» сканер безопасности
«Сканер безопасности» - сервис для мониторинга уязвимостей сайтов. Вместе с модулем «Проактивная защита» сервис «Сканер безопасности» позволяет осуществить полную диагностику угроз безопасности веб-ресурса и своевременно предотвратить их.
С помощью «Сканера безопасности» можно выполнить сканирование окружения проекта, проверить настройки, найти потенциальные уязвимости в коде, убедиться в правильности настроек всех систем безопасности.
Проактивный фильтр (Web Application Firewall)
Проактивный фильтр (WAF - Web Application Firewal) обеспечивает защиту от большинства известных атак на веб-приложения. В потоке внешних запросов пользователей проактивный фильтр распознает большинство опасных угроз и блокирует вторжения на сайт. Проактивный фильтр – наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других). Действие фильтра основано на анализе и фильтрации всех данных, поступающих от пользователей через переменные и куки.
Аудит безопасности PHP-кода
Инструмент для аудита безопасности PHP-кода - удобный, точный и понятный инструмент для разработчика, который «подсказывает» узкие места в безопасности его кода. Инструмент позволяет не только предотвратить эксплуатацию уязвимости, но и устранить ее источник. Проверка показывает в отчете потенциальные уязвимости в коде и усиливает защиту сайта от взлома.
Веб-антивирус
Веб-антивирус» препятствует имплантированию вредоносного кода непосредственно в веб-приложения. И происходит это следующим образом. «Веб-антивирус» выявляет в HTML коде потенциально опасные участки и «вырезает» подозрительные объекты из кода сайта. В итоге вирусы не могут проникнуть на компьютер пользователя сайта - антивирус препятствует этому. И, что особо важно, «Веб-антивирус» уведомляет администратора портала - предупреждает о наличии заразы. Получая информацию об этом, администратор ищет источник зловредного кода, проводит «зачистку» компьютера и усиливает профилактические меры
Панель безопасности
Любой веб-проект, работающий под управлением «1С-Битрикс: Управление сайтом», обязательно имеет начальный уровень защиты. Однако с помощью модуля «Проактивная защита» можно значительно повысить защищенность собственного сайта. Нужно всего лишь выбрать и настроить один из уровней безопасности модуля: стандартный; высокий; повышенный. При этом система подскажет - выдаст рекомендации - какое действие необходимо установить для каждого параметра на выбранном текущем уровне.
Безопасная авторизация без SSL
С помощью методики безопасной аутентификации пароли с формы авторизации ваших сотрудников невозможно взломать, поскольку они шифруются по алгоритму RSA с ключом 1024 бит и в таком виде передаются на корпоративный портал. При этом не важно, какие соединения и протоколы используют пользователи вашего портала.
Журнал вторжений
В Журнале регистрируются все события, происходящие в системе, в том числе необычные или злонамеренные. Оперативный режим регистрации этих событий позволяет просматривать соответствующие записи в Журнале сразу же после их генерации. В свою очередь, это позволяет обнаруживать атаки и попытки атак в момент их проведения. Это значит, у вас есть возможность немедленно принимать ответные меры, и, в некоторых случаях, даже предупреждать атаки.
Одноразовые пароли
Система одноразовых паролей дополняет стандартную систему авторизации и позволяет значительно усилить систему безопасности интернет-проекта. Для включения системы необходимо использовать аппаратное устройство (например, Aladdin eToken PASS) или соответствующее программное обеспечение, реализующее OTP.
Контроль целостности файлов
Контроль целостности файлов необходим для быстрого выяснения - вносились ли изменения в файлы системы. В любой момент вы можете проверить целостность ядра, системных областей, публичной части продукта.
Проверка целостности скрипта контроля
Перед проверкой целостности системы необходимо проверить скрипт контроля на наличие изменений. При первом запуске скрипта введите в форму произвольный пароль (состоящий из латинских букв и цифр, длиной не менее 10 символов), а также произвольное кодовое (ключевое) слово (отличное от пароля), и нажмите на кнопку «Установить новый ключ».
Защита административного раздела
Эта защита позволяет компаниям строго регламентировать сети, которые считаются безопасными и из которых разрешается сотрудникам администрировать сайт. Перед вами простой специальный интерфейс, в котором все это и делается - задается список или диапазоны IP адресов, из которых как раз и позволяется управление сайтом. Не бойтесь закрыть себе доступ в момент установки блокировки - этот момент проверяется системой. Каков эффект от использования данной защиты? Любые XSS/CSS атаки на компьютер пользователя становятся неэффективными, а похищение перехваченных данных для авторизации с чужого компьютера - абсолютно бесполезным.
Защита сессий
Большинство атак на веб-приложения ставят целью получить данные об авторизованной сессии пользователя. Включение защиты сессий делает похищение авторизованной сессии неэффективным. И, если речь идет об авторизованной сессии администратора, то ее надежная защита с помощью данного механизма является особо важной задачей. Какие инструменты использует этот защитный механизм? В дополнение к стандартным инструментам защиты сессий, которые устанавливаются в настройках группы, механизм защиты сессий включает специальные - и в некотором роде уникальные.
Контроль активности
Контроль активности позволяет установить защиту от чрезмерно активных пользователей, программных роботов, а также отсекать попытки подбора паролей перебором. В настройках можно установить максимальную активность пользователей для вашего сайта (например, число запросов в секунду, которые может выполнить пользователь).
Стоп лист
Стоп-лист - таблица, содержащая параметры, используемые для ограничения доступа посетителей к содержимому сайта и перенаправлению на другие страницы. Все пользователи, которые попытаются зайти на сайт с IP адресами, включенными в стоп-лист, будут блокированы.
Для установки модуля перейдите по адресу https://ваш_домен/bitrix/admin/module_admin.php и нажмите кнопку "Установить"
Если у вас нет этого модуля в списке, то проверьте редакцию Вашей лицензии, она должна соответствовать одной из списка ниже
Если у вас другая редакция, то вы можете приобрести саму лицензию 1С-Битрикс или переход с вашей лицензии на необходимую
Скачать модуль Проактивная защита (в том числе с торрента)
Можно прямо на вашем сайте https://ТУТ_АДРЕС_САЙТА/bitrix/admin/module_admin.php!!!
Всеми остальными способами скачать Проактивная защита - нельзя (если официально конечно)
Но даже если вы скачаете (чего мы крайне не рекомендуем делать) и установите его в свой Битрикс - он не будет работать, если редакция не позволяет его использование!
Также при установке модуля "Проактивная защита" откуда то, кроме страницы управления модулями на вашем сайте учитывайте риски заражения вашего сайта вирусами!