Закажите сайт прямо сейчас
Бесплатный онлайн-семинар: Новая версия «1С-Битрикс: Управление сайтом 11.5»: CRM в каждом интернет-магазине
Бесплатный семинар «Разработка высоконагруженных веб-проектов: Как выдержать миллионы хитов в сутки, чтобы все работало и ничего не «падало»
Федеральный семинар «1С-Битрикс»: Веб для бизнеса
«1С-Битрикс»: «Корпоративный портал: как повысить вовлеченность и эффективность сотрудников»

Федеральный семинар «1С-Битрикс»: Веб для бизнеса

Веб-антивирус

«Веб-антивирус»




Веб-антивирус - система противодействия заражениям сайтов:

  • выявляет в HTML коде потенциально опасные участки;
  • определяет 90% заражений сайта;
  • информирует администратора сайта;
  • включает «белый список» для отсечения ложно-положительных срабатываний.
Веб-антивирус

Веб-антивирус - элемент Проактивной защиты

Комплекс технических и организационных мер «1С-Битрикс» - Проактивная защита включает элемент Веб-антивирус. Этот компонент защиты полностью соответствует общей концепции безопасности продуктов «1С-Битрикс» и повышает защищенность и скорость реакции веб-приложения на веб-угрозы.

Модуль «Проактивная защита», входящий в продукты «1С-Битрикс», эффективно противоборствует различным способам атак и взлома веб-приложений. И «Проактивный фильтр», и «Контроль целостности системы», и «Активная реакция на вторжение», и другие элементы защиты - все это решало и решает большинство проблем, связанных с безопасностью сайтов. «Веб-антивирус» призван отсечь последние «лазейки» злоумышленников,  связанные с имплантированием вредоносного кода непосредственно в веб-приложения.

Как пример: на компьютер администратора сайта внедряется троянская программа, похищает пароли от FTP и имплантирует себя одним из методов на сайт.  В результате - на сайте скрытый iframe или Java Script в комплекте с трояном. Анализ обращений в Службу технической поддежки «1С-Битрикс» показал, что большинство взломов сайтов происходит аналогичными способами.

Анализирует код, «зачищает» и предупреждает

Конечно, «Веб-антивирус» не может проконтролировать ваш FTP трафик и предотвратить внедрение трояна в код. А что вполне по силам антивирусу, так это проверить сгенерированный HTML код на предмет наличия в нем чего-то лишнего и деструктивного.  «Веб-антивирус» выявляет в HTML коде потенциально опасные участки и «вырезает» подозрительные объекты из кода сайта. В итоге вирусы не могут проникнуть на компьютер пользователя сайта - антивирус препятствует этому.  И, что особо важно, «Веб-антивирус» уведомляет администратора сайта - предупреждает о наличии заразы на сайте. Получая информацию об этом, администратор ищет источник зловредного кода, проводит «зачистку» компьютера и усиливает профилактические меры.

Внимание! «Веб-антивирус» не является заменой обычного антивируса!
Рекомендуется включить в Панели безопасности для обеспечения стандартного уровня защиты.


Что детектирует

Подозрительные iframe и javascript

Веб-антивирус» выявляет в HTML коде потенциально опасные участки, а именно - подозрительные iframe и javascript. Это самые распространенные способы распространения вирусов через Сеть, поэтому «ловить» в выводе html именно эти элементарные приемы-«импланты» - вполне достаточно для предотвращения 90% веб-заражений.

Дополнение к персональному антивирусу

«Веб-антивирус» не является заменой вашего персонального антивируса. Это независимо функционирующее дополнение к индивидуальной защите, установленной на вашем компьютере.  «Веб-антивирус» не обнаружит на вашем сайте, скажем, зараженный PDF или Flash. Зато «отловит» подозрительные ссылки на загрузку, чего обычный антивирус может не сделать. По сравнению с антивирусными продуктами «Веб-антивирус» включает  менее жесткие сигнатуры вирусов, распространяющихся через Интернет, и не выводит названия вирусов.

В перспективе

Использование «Веб-антивируса», конечно же, не гарантирует 100%-е обнаружение вирусов на портале. Но организовать защиту от других опасных объектов (бекдоров и веб-шеллов) вполне возможно. Пусть даже эта защита будет носить чисто информационный - предупредительный характер для администраторов сайта.

Планы развития:
  • просматривать в фоновом режиме все файлы продукта и отлавливать подозрительные файлы; отслеживание только новых и недавно измененных файлов (по дате изменения);
  • организовать кеширование, и проверять только изменившиеся блоки.
Как реагирует

Режимы

При обнаружении деструктивного HTML кода «Веб-антивирус» может выполнять действия, в зависимости от выбранного по умолчанию режима:
  • в автоматическом режиме вырезать все потенциально опасные участки HML кода и информировать владельцев портала;
  • только информировать владельцев портала о наличии заразы в HML коде. *
И конечно же, есть «белый список» для отсекания ложно положительных срабатываний.

Подход к анализу HTML

В текущей версии антивируса:

  • каждый блок javascript или iframe анализируется по отдельности;
  • для каждого блока вычисляется рейтинг подозрительности.

Рейтинг подозрительности

Подход к вычислению этого рейтинга основан на весовых правилах:
  • Блок разбирается, затем прогоняется по правилам, объединенным в группы. При этом из группы может сработать только одно правило, имеющее максимальный по модулю вес.
  • Вес сработавших правил складывается, и таким образом получается рейтинг блока. Если рейтинг блока превышает некоторое установленное значение, считается, что данный блок достаточно подозрителен, чтобы заподозрить в нем внедрение вируса.
  • Правила могут иметь и отрицательный вес. В одном блоке могут быть правила только одного типа — имеющие только отрицательный или только положительный вес.
Главная задача  «Веб-антивируса» - вовремя предупредить администратора портала! Поскольку портал заражается вирусом, в большинстве случаев, именно через компьютер администратора. Удаление опасных фрагментов кода из HTML сайта - основная задача «Веб-антивируса».


Статистика

Статистика

Для получения статистики использовалась база: ~ 30 различных «зловредов» и ~140 легитимных скриптов и фреймов. Прототип антивируса показал себя наилучшим образом.

Статистика обнаружения «Веб-антивируса»:
  • количество порезанных «зловредов» - 100%
  • количество ложных срабатываний - 2-3%
По приведенной статистике можно судить о порядке эффективности «Веб-антивируса». С учетом того, что используемая база «зловредов» слегка не дотягивала до статистически значимой выборки. Иными словами, указанная статисика весьма уловна, и не следует ее принимать за основу.
Если взять другой объем выборки, то можно получить другие данные.

К тому же, 2-3% ложных срабатываний чаще всего можно будет отсечь «белым списком». И стоит добавить, что фалс-позитивных срабатываний «Веб-антивирус» допускает все меньше, поскольку правила постоянно дорабатываются, улучшаются и пополняются новыми.

  «Веб-антивирус» регулярно обновляется по системе SiteUpdate, как и другие компонеты «Проактивной защиты».

  «Веб-антивирус» уже включен в Панели безопасности, что необходимо для обеспечения стандартного уровня защиты. Вы сможете опробовать этот компонент защиты и отключить его потом при желании.




Цикл бесплатных семинаров
Формула компании: Что нужно хорошему бизнесу для роста?
Академия 1С-Битрикс: обучение, сертификация, онлайн-курсы
 
Технологии Эрмитаж
BitrixMobile
Автокеширование
SiteUpdate
Производительность Виртуальная машина
Веб-окружение
Результаты тестов
Выбрать хостинг
Веб-кластер
Безопасность Проактивная защита
Веб-антивирус
Аутентификация

Контакты Поиск Карта сайта
Телефон: +7 (495) 229-14-41
 8-800-250-1860
Оставайтесь с нами: Facebook Twitter Habrahabr VKontakte Developers Google 1+
Как распознать QR код?Контакты QR


Английская версия Немецкая версия