🟡 Ваш сайт на 1С-Битрикс до сих пор не обновлен?

CyberOK проверил Рунет на предмет давно известных уязвимостей. Исследование показало, что в интернете все еще доступно множество необновленных пользователями сайтов с древними уязвимостями, которые мы исправили в продукте еще 2-3 года назад.

Наша CMS популярна (коллеги из CyberOK называют более 1 миллиона сайтов) и привлекает внимание не только СМИ, но и злоумышленников. Поэтому мы ведем постоянную работу по информированию пользователей о базовых правилах безопасности и о необходимости обновлений: рассылки, статьи, инструкции, экспертиза независимых специалистов и этичных хакеров. Вот даже Telegram-канал отдельный для вас завели 🔧

Мы постоянно выпускаем новые версии не просто так, а ради вашей безопасности. Специалисты CyberOK подтверждают: самая простая и эффективная защита — это своевременное обновление CMS!

Проявите бдительность, не будьте в числе потенциальных жертв.
И обновите ваш сайт СЕГОДНЯ!

Лучше один раз настроить процесс обновлений, чем поставить весь бизнес под угрозу⚠️

🗣Экспертный разбор: все о безопасности поставщиков

Леонид Плетнев, бизнес-партнер по информационной безопасности 1С-Битрикс, и Анастасия Харыбина, руководитель AKTIV.СONSULTING, обсудили безопасность поставщиков в новом подкасте «Безопасный выход».

👉Слушайте выпуск

Что разобрали:
✍️ Чем рискует организация, не уделяя внимание безопасности поставщиков
✍️ Нужно ли включать поставщика в периметр безопасности организации
✍️ Какой этап самый важный при выборе поставщика
✍️ Какой процент open source кода используется в закрытом ПО
✍️ Как разграничить ответственность между вендором, интегратором и поставщиком SaaS-решений

🎞 Видеоверсию подкаста «Безопасный выход» смотрите тут

👀Почему и как “1С-Битрикс” пересмотрел подход к кибербезопасности - бизнес-партнер по ИБ в “1С-Битрикс" Леонид Плетнев в колонке, подготовленной специально для SecPost😍, рассказывает об эволюции киберугроз и подходов к защите цифровых продуктов.

Встречайте новую документацию для разработчиков 1С-Битрикс и Битрикс24 🔥

👉Документация доступна по адресу

В ней уже есть вся основная информация по работе с BitrixFramework — основой продуктов 1С-Битрикс: Управление сайтом и Битрикс24.

В чем отличия новой документации:

✔ единый источник информации — в новой документации нет разделения на контент для разработчика, контент-менеджера или администратора. Не нужно искать информацию в разных источниках, чтобы собрать воедино всю картину.

✔ переработанная и дополненная информация — в новой документации только актуальная информация и механики, понятные примеры использования.

✔ раздел Справочник API — в нем собрана информация по актуальным классам системы.

✔ удобство коммуникации — привычный формат взаимодействия: issues и pull requests. На каждой странице документации можно в один клик создать issue с предложением или замеченной ошибкой. Если хотите внести свой вклад, создавайте pull request с правками и пополняйте список контрибьюторов нашего официального репозитория.

Мы хотим сделать единый и удобный источник информации для разработчиков, чтобы вы могли найти ответ на любой возникающий вопрос при работе с продуктами компании. Новая документация будет развиваться, планируем перенести в нее документацию для разработчиков и D7. Будем рады обратной связи!

📍Новая документация для разработчиков 1С-Битрикс и Битрикс24.
📍Официальный репозиторий компании.

Устойчивая безопасность: как управлять уязвимостями в современных продуктах 👀

Мы отказались от линейного подхода «нашел-исправил» в пользу непрерывной петли. Она не просто закрывает уязвимости, а постоянно повышает устойчивость системы в целом.

Наша петля разработки безопасного программного обеспечения (РБПО) строится на трёх ключевых точках обнаружения уязвимостей👇

1. Проактивная защита: безопасная разработка (DevSecOps)

Мы встраиваем проверки безопасности прямо в процесс разработки. Делаем это автоматически, чтобы найти и устранить стандартные уязвимости до того, как код попадет в сборку. Безопасность становится частью рутины разработчика, а не отдельной фазой.

2. Взгляд извне: программы Bug Bounty

Регулярно привлекаем независимых этичных хакеров для тестирования наших продуктов в контролируемой среде. Они помогают нам найти сложные и неочевидные уязвимости, которые не видны изнутри. Это позволяет увидеть продукт глазами злоумышленника и вскрыть логические ошибки.

3. Контроль в реальном времени: мониторинг и реагирование

Мы круглосуточно мониторим поведение нашей облачной инфраструктуры и приложений, используя в том числе автоматизированные сценарии. Так мы быстрее обнаруживаем и пресекаем атаки в продакшене, минимизируя ущерб. Это последний рубеж обороны, который работает с реальными угрозами.

Главное — замыкание петли. Любая найденная уязвимость — не просто тикет в трекере, а точка роста для всей системы.

👉 Подробнее

Двухфакторная аутентификация 2FA 🚀

Компании хранят в Битрикс24 много важной информации. Наша задача — защитить данные каждого пользователя, ведь риски для бизнеса становятся серьезнее:

✍️ Хакеры все чаще используют искусственный интеллект, чтобы атаковать организации.
✍️ Требования к тому, как компании хранят и обрабатывают персональные данные, стали строже.

В новом Битрикс24 двойная аутентификация становится обязательной для всех пользователей. Это мировой стандарт безопасности, который защищает от утечек данных.

Второй фактор входа — мобильное приложение. Злоумышленники не смогут проникнуть в систему, даже если узнают или подберут пароль. Для взлома им понадобится доступ к приложению.

Все обновления пользователи Битрикс24 будут получать последовательно. Ожидайте анонса.

Как вам новость? 🔥

Почему MCP полезен для безопасного взаимодействия с ИИ-моделью? 🤖

Использование новых решений часто сопряжено с рисками информационной безопасности. В настоящее время уже определились популярные способы компрометации практических реализаций протокола.

В MCP-конфигурации потоки данных унифицируются и проксируются, обеспечивая возможность встраивания защитных механизмов. Это разделяет ответственность: одни серверы предоставляют инструменты взаимодействия, другие ресурсы и данные, третьи LLM сервисы, а пользователи (агенты) используют их через единый стандартизированный интерфейс.

Это позволяет внедрить основные меры противодействия атакам:

✍️ настроить структуру запросов, входных данных и их источников;
✍️ реализовать идентификацию и контроль пользовательского, служебного и автоматизированного ввода, разделение данных и команд;
✍️ обеспечить экранирование ввода (в том числе вызванного самой моделью) и проверку его содержимого на предмет зловредного кода или инструкций;
✍️ настроить ограничения к выводу модели и проверку его содержимого на предмет возможного негативного воздействия на адресата.

Кроме того, MCP-архитектура позволяет:

✍️ изолировать инструменты по зонам доступа за счет связей один ко одному для каждого MCP-сервера и источника данных/инструмента;
✍️ строго настроить потоки данных и сценарии взаимодействия узлов;
✍️ валидировать внешние подключения;
✍️ логировать события безопасности

👉Подробно рассказали, на что обратить внимание при встраивании MCP-компонентов в ландшафт систем искусственного интеллекта.

Каждый пятый сотрудник передает конфиденциальные данные нейросетям 📲

Наше совместное исследование с «Русской школой управления» показало: 23% компаний уже сталкивались с тем, что сотрудники делились конфиденциальной информацией с чат-ботами. В 16% случаев это происходило однократно, в 7% — несколько раз.

Что передают сотрудники?

15% опрошенных признались, что регулярно отправляют в чат-боты пароли и важные файлы. При этом почти половина сотрудников использует для рабочих задач общедоступные мессенджеры вместо защищенных корпоративных каналов.

Почему это опасно?

Любая информация, отправленная в чат-бот, попадает на сторонние серверы и может быть использована для обучения следующих версий ИИ-моделей. Это утечка данных, даже если кажется, что «ваши секреты никому не интересны».

Что делать?

70% компаний считают утечки данных основной угрозой безопасности. Чтобы работа с нейросетями приносила пользу и не создавала риски, мы рекомендуем 👇

🔵Внедрить регламенты использования нейросетей;
🔵Проводить обучение по кибербезопасности;
🔵Использовать защищенные корпоративные инструменты.

🔜 Больше об исследовании рассказываем по ссылке.

Мы запустили публичную программу для поиска уязвимостей на Standoff Bug Bounty ⚡️

📲Ранее партнерство осуществлялось в приватном режиме. В рамках новой публичной программы исследователям предлагается проверить защищенность облачного портала Битрикс24, в том числе уникальный домен, который можно зарегистрировать специально для тестирования.

Обеспечение максимального уровня безопасности для наших клиентов — ключевой приоритет «1С-Битрикс». Мы используем комплексный подход, который включает как собственные защитные механизмы, так и регулярные независимые аудиты.
Убедившись в высокой эффективности Bug Bounty в рамках приватного партнерства, мы приняли решение о запуске публичной программы. Это позволит привлечь к тестированию безопасности еще больше талантливых исследователей.

Таким образом, мы проактивно работаем над устранением потенциальных рисков, чтобы быть уверенными в надежности наших решений. Роман Стрельников, Руководитель направления по информационной безопасности «1С-Битрикс».

👉Подробнее

Что делать, если вам звонят неизвестные компании?

Если после посещения сайта Битрикс24 или сайта нашего партнера вам позвонили из незнакомой компании, и вы уверены, что не оставляли заявку на их сайте и не давали разрешение связаться с вами, выполните несколько шагов. Это поможет нам оперативно разобраться в ситуации.

✅ Уточните, кто звонит. Спросите у звонящего, откуда у него ваш номер и как называется компания. Часто в ответ прямо говорят, что используют сторонние сервисы.
✅ Сохраните информацию о звонке. Запишите номер, включите запись разговора, если есть возможность. Эти данные помогут нам разобраться в ситуации.
✅ Передайте нам данные. Заполните форму — это поможет отследить источник нежелательных звонков и защитить вас и других клиентов. Если окажется, что звонок поступил от партнера Битрикс24, мы проведем проверку и примем необходимые меры.

Чтобы избежать звонков от посторонних компаний:

✅ Проверяйте соглашения на обработку персональных данных.
✅ При подключении услуг связи, интернета и онлайн-сервисов обращайте внимание, разрешаете ли вы передачу данных третьим лицам в рекламных целях.
✅ Будьте внимательны при установке программ и расширений браузера. Не соглашайтесь на сбор данных о том, какие сайты вы посещаете и какими сервисами пользуетесь.

👉Подробнее