Почему и как “1С-Битрикс” пересмотрел подход к кибербезопасности

В «1С-Битрикс» мы создаем и поддерживаем две технологические платформы — CMS «1С-Битрикс: Управление сайтом» и «Битрикс24» — высоконагруженный облачный сервис. Разные продукты — разные риски и модели защиты. Общий принцип один: безопасность — это конвейер, который никогда не должен останавливаться, обеспечивая единую производственную линию от проектирования функционала до его передачи клиенту с последующим техническим сопровождением. 

Меня зовут Леонид Плетнев, я бизнес-партнер по информационной безопасности в «1С-Битрикс», и в этой статье я расскажу, как ИБ-система стала неотъемлемой частью нашего производственного цикла. 

Как меняется подход «1С-Битрикс» к информационной безопасности

Десять лет назад подходы к оценке и обработке рисков информационной безопасности  были другими. Компании ограничивались выполнением требований регуляторов, внедрением стандартных средств защиты сетевого периметра, серверов и рабочих станций. При этом вопросы устойчивости бизнеса не рассматривались в разрезе ИБ. Это был один из бэк-офисных процессов с распределением ответственности в треугольнике из службы ИБ, интегратора и клиента. Вендоры могли выпускать качественное бизнес-приложение и при этом не встраивать в него собственную модель ИБ — рынок этого не требовал.

С тех пор изменилось всё: интенсивность атак, их масштаб и доступность инструментов взлома. Порог входа для злоумышленников снизился настолько, что сегодня многие атаки можно запустить без серьезной подготовки, а автоматизация и развитие искусственного интеллекта ускорили этот процесс. Малый и средний бизнес, который еще недавно находился вне фокуса киберпреступников, теперь под прицелом не меньше крупных игроков. Это сделало безопасность не конкурентным преимуществом, а необходимым условием существования на рынке любого цифрового продукта.

Если раньше безопасность развивалась как ответ на внешние инциденты, то сегодня она стала частью производственного цикла. Любое новое решение проходит оценку с точки зрения ИБ еще на стадии идеи: как оно повлияет на работу существующего функционала, какая должна быть целевая архитектура, какие риски может нести, какие меры нужны, чтобы эти риски не реализовались. Такой подход позволяет проактивно предупреждать проблемы, а не реактивно устранять последствия.

Инциденты последних лет окончательно изменили восприятие угроз у нас и у нашего клиента. Внимание сместилось с защиты системных компонентов к устойчивости всей экосистемы: бизнес или технологического процесса, данных, средств автоматизации, инфраструктуры, взаимодействия людей. От вендора бизнес-приложения теперь требуется выпуск продукта, который не только эффективно решает коммерческие или производственные задачи, но и обеспечивает встроенное качество безопасности, не подразумевающее отдельного проектирования, интеграции и проверок. 

Основные угрозы

Киберугрозы перестали быть проблемой  крупных компаний. Сегодня под ударом любой бизнес — особенно малый и средний. Именно он стал удобной точкой входа в чужую инфраструктуру: уязвимости подрядчиков часто открывают путь к более защищённым организациям. В цепочке поставок МСБ всё чаще выступает в роли посредника атаки. Для злоумышленников это экономный путь — вместо сложного взлома большого игрока достаточно найти менее защищённого партнёра и использовать его доверенные каналы доступа.

Риски усиливаются за счёт массовизации инструментов. Большая часть атак сейчас автоматизирована. Хакеры используют готовые фреймворки, ИИ и открытые эксплойты, что делает даже мелкие инциденты системными. Ошибка конфигурации, устаревший модуль или неотключённый тестовый сервис превращаются в уязвимость, потому что современные атаки ищут не людей, а сбои в логике.

Чем сложнее цифровая экосистема, тем больше точек соприкосновения, где может появиться брешь. Ошибки в API, слабая изоляция сервисов, несогласованность настроек — всё это создаёт новые поверхности для атак. Угроза часто возникает не внутри кода, а в том, как соединяются разные компоненты и как они администрируются.

Внутренние риски тоже сохраняют актуальность. Сотрудник с доступом к данным способен нанести ущерб не меньший, чем внешний атакующий. Поэтому мониторинг действий, сегментация прав и контроль учётных записей — важный аспект ИБ.

Всё чаще злоумышленники действуют через доверие. Поддельные сообщения в мессенджерах, атаки через легитимные обновления, использование служебных каналов связи — социальная инженерия теперь неотделима от технических методов. ИИ усиливает этот тренд, помогая генерировать достоверные тексты, голоса, образы и код.

Если говорить о типовых уязвимостях, с которыми сталкиваются веб-разработчики, — их набор давно известен. SQL-инъекции, XSS, CSRF, SSRF, обход путей и небезопасная десериализация — эти классические уязвимости, которые по-прежнему составляют основу для инцидентов. Защита от них не требует сложных технологий, но требует дисциплины (валидации, экранирования, проверки прав, контроля целостности и т.д.), а также качественного производственного процесса. 

Современная устойчивость определяется не количеством защитных решений, а тем, насколько слаженно работают люди, процессы и технологии. Ошибка на стыке — между системами, отделами или подрядчиками — становится самым вероятным местом проникновения. 

Поэтому ключ к безопасности — в целостности: в том, как настроена, управляется и живёт вся экосистема, а не в отдельном программном модуле. Защита не делится на «внешнюю» и «внутреннюю» — она строится как единый контур. Целеполагание безопасности строится в большей степени не на видах СЗИ и типе нарушителя (недобросовестный работник или хакер), а на сценариях возможных атак, которые так или иначе всегда затрагивают компоненты из разных периметров, на проактивном мониторинге состояния защищаемых активов и на реализации принципа нулевого доверия. Такой подход позволяет сохранять устойчивость даже при резком изменении  усложнении контекста безопасности, в котором функционирует компания.

Подход к Offensive Security

Продукты «1С-Битрикс» постоянно испытывают на прочность наступательными тактиками внутренние специалисты направления контроля качества, red team, внешние пентестеры, участники программы bug bounty. 

В компании действует независимая команда, занимающаяся анализом безопасности кода и продукта в целом. Её задача — искать слабые места, проверять логику решений и оценивать устойчивость архитектуры. 

Дополнительный уровень проверки обеспечивает участие в Standoff 365 Bug Bounty от Positive Technologies. Там над нашими продуктами работают внешние эксперты, которые помогают увидеть приложение со стороны потенциального противника. Это ценный источник обратной связи и способ обеспечить высокий уровень качества решения.

Планы и приоритеты в области ИБ

Развитие безопасности в компании подчинено общему вектору роста. То есть она гармонизируется с запросами целевой аудитории, с новыми продуктами и клиентскими сервисами, современными цифровыми технологиями, трендами в сфере киберзащиты. Ближайшие задачи связаны с повышением предсказуемости и скоростью реакции, как в части взаимодействия с клиентом так и в части внутренней безопасности. Мы повышаем коэффициент доступности на уровне инфраструктуры и усиливаем контроль на уровне доступов, например, улучшаем схемы уведомлений и подтверждений  при входе с новых устройств. Параллельно развиваем аналитические инструменты мониторинга,продолжаем совершенствовать метрики, которые оценивают безопасность не по количественным техническим показателям, а по устойчивости бизнес и производственных процессов.