Заказать звонок
Главная / О Центре / Новости /Безопасность 1С: обзор уязвимостей и рекомендации по защите






Безопасность 1С: обзор уязвимостей и рекомендации по защите

6 июня 2025

В сети можно найти множество материалов, посвященных атакам на системы 1С. Зачастую вектором атаки становятся ошибки конфигурации: некорректно настроенные права доступа или пренебрежение базовыми принципами информационной безопасности, например, использование слабых или одинаковых паролей для разных учетных записей.

Подобные уязвимости значительно повышают риск несанкционированного доступа и компрометации данных. Примером может служить случай, произошедший с клиентами одной из IT-компаний, когда злоумышленники, получив удаленный доступ через подбор пароля к аккаунту пользователя, удалили базы 1С и потребовали выкуп. Проблему усложнило хранение актуальных бекапов на взломанном сервере.

Работа с системами 1С часто раскрывает широкий спектр потенциальных проблем с безопасностью. Комплексная диагностика позволяет оценить уровень защиты и понять, на что стоит обратить внимание в первую очередь.

В данной статье мы рассмотрим архитектуру 1С с точки зрения информационной безопасности: разберем характерные уязвимости, присущие различным вариантам подключения к системе, приведем примеры типовых сценариев атак, а также предложим практические меры по их предотвращению.

Архитектура 1С с точки зрения безопасности

Система «1С: Предприятие 8» поддерживает несколько типов клиентских приложений, имеющих свои особенности и потенциальные уязвимости в контексте безопасности. Далее мы подробно рассмотрим каждое из них.

Толстый клиент

Клиентское приложение, способное выполнять практически все функции, предоставляемые встроенным языком «1С». Однако оно требует значительных аппаратных ресурсов на устройстве пользователя. Толстый клиент взаимодействует с базой данных или кластером серверов через файловый доступ или локальную сеть.

Толстый клиент обладает обширными правами доступа к системным ресурсам, что создает определенные риски информационной безопасности. Неконтролируемый доступ к файловой системе позволяет злоумышленникам получать доступ к конфиденциальным данным или внедрять вредоносный код. Возможность использования встроенного языка программирования, хоть и ограниченная, создаёт риск выполнения произвольного кода. Кроме того, использование сторонних компонентов (например, сторонних зависимостей и библиотек) может вносить дополнительные уязвимости в систему. Наконец пользователи остаются уязвимыми к социальной инженерии, что может привести к установке вредоносного ПО или утечке данных.

Рассмотрим два варианта подключения толстого клиента:

  1. Клиент-серверный вариант работы
Толстый клиент подключается к кластеру серверов «1С:Предприятия 8». Кластер взаимодействует с одной из систем управления базами данных. Подключение выполняется по протоколу TCP/IP внутри локальной сети, что представлено на схеме ниже.
Threat Intelligence Platform (TIP) — это система, которая собирает, анализирует и обогащает данные об актуальных киберугрозах и уязвимостях из различных источников: от коммерческих провайдеров до открытых баз данных. TIP позволяет быстро сопоставить поступающие данные с известными индикаторами компрометации (IoC) и определить степень риска, что делает её незаменимым инструментом для автоматизированного реагирования в рамках SOAR.

При интеграции TIP с SOAR возникает дополнительный уровень защиты, особенно в случаях, когда почтовая DLP не успевает своевременно отреагировать на подозрительное письмо. С помощью TIP система способна автоматически выявлять угрозы, обогащать инциденты информацией об актуальных атаках и, при необходимости, инициировать соответствующие меры реагирования.

Такие возможности доступны как в коммерческих, так и в open-source решениях. Например, платформы вроде MISP или OpenCTI позволяют организациям, даже при отсутствии специализированного почтового DLP, получать дополнительный канал для обнаружения инцидентов. Благодаря интеграции с SOAR, они могут участвовать в анализе сообщений, поиске индикаторов угроз и инициировании реакции на инциденты. Это делает их мощным инструментом в арсенале организаций, стремящихся повысить уровень кибербезопасности независимо от бюджета.

Как это работает?

Представьте ситуацию: пользователь получает письмо с внешнего адреса. Почтовое DLP или антивирус не определяют его как угрозу, и аналитики на начальном этапе даже не подозревают о скрытых рисках. Здесь на помощь приходит интеграция SOAR с (TIP), которая способна выявлять вредоносные активности, остающиеся незамеченными стандартными методами.

1.Анализ письма в TIP

После регистрации инцидента, из карточки инцидента SOAR автоматически извлекает ключевые метаданные письма (адрес отправителя, домен, хэш вложений, ссылки в тексте) и отправляет их в TIP. Затем TIP сверяет эти данные с актуальными репутационными базами и списками индикаторов компрометации (Indicator of Compromise, IoC), что позволяет обнаружить угрозы, о существовании которых аналитики могли и не подозревать.

2.Выявление угрозы

Если TIP фиксирует, что, например, адрес отправителя имеет низкую репутацию, домен ассоциируется с фишинговыми кампаниями или вложение содержит известный вредоносный файл, письмо немедленно помечается как подозрительное. Таким образом, система выявляет скрытые угрозы, не зависящие от первоначальной оценки DLP или антивируса.

3.Автоматическая реакция

На основании полученной информации SOAR может инициировать автоматические действия, такие как:

  • Отправку письма в карантин для детального ручного анализа.
  • Блокировку отправителя на уровне почтового сервера.
  • Создание правила в почтовом DLP для последующего отслеживания подобной активности.
  • Оповещение пользователя с рекомендациями не открывать подозрительные вложения и ссылки.
4.Обогащение инцидента

В карточку инцидента SOAR добавляются все данные, полученные от TIP, включая историю активности отправителя и сведения о связанных с ним APT-группировках или фишинговых кампаниях. Это позволяет аналитикам проводить расследование значительно быстрее, принимая обоснованные решения без лишних задержек.

Таким образом, интеграция SOAR с TIP не только расширяет возможности обнаружения угроз за пределами стандартных систем, но и обеспечивает глубокий анализ, обогащение инцидентов и автоматизированное реагирование, что является критически важным для современной кибербезопасности.

Одна из часто встречающихся проблем в инфраструктуре безопасности — исчерпание квоты на хранение логов на рабочих станциях пользователей. Как это обычно происходит? Запись логов внезапно прекращается, аналитики начинают разбираться вручную: проверяют состояние диска, копируют старые файлы, пытаются восстановить процесс. Все это занимает время, и пока проблема не решена, видимость событий на рабочей станции теряется, тем самым создавая идеальные условия для злоумышленников.
Как это работает:

  • Обнаружение проблемы
SOAR моментально получает сигнал из SIEM или мониторинговой системы сервисов о том, что на одном из АРМ запись логов остановилась из-за переполнения квоты. Ни одной секунды времени не теряется — система сразу берет ситуацию под контроль.

  • Автоматическое временное решение
SOAR запускает процесс ротации логов. Сначала все существующие логи архивируются в удобный формат. Затем эти архивы автоматически отправляются в централизованное хранилище, где их можно спокойно анализировать позже.

  • Освобождение места и восстановление записи логов
После успешной выгрузки старых логов SOAR очищает место на рабочей станции, чтобы запись новых событий могла возобновиться немедленно. Представьте: всего за несколько минут рабочая станция снова в строю, а логи продолжают писаться, как будто ничего не случилось.

  • Долгосрочные действия и уведомления
SOAR не просто устраняет симптомы проблемы, но и «думает» наперед. Аналитики получают четкое уведомление с подробной информацией о затронутом хосте и архиве логов, чтобы они могли понять, что пошло не так. Это дает время спокойно разобраться с инцидентом, увеличить квоту или настроить регулярную ротацию логов, чтобы ситуация не повторялась.

SOAR как инструмент управления инфраструктурой: контроль, автоматизация и повышение безопасности

SOAR-системы способны выходить за рамки классического реагирования на инциденты информационной безопасности. Их гибкость и возможности интеграции позволяют превратить SOAR в мощный инструмент управления инфраструктурой. Давайте рассмотрим несколько примеров, которые раскрывают этот потенциал.
В рамках расследования инцидентов или при регулярном контроле соответствия требованиям (compliance), SOAR может выполнять автоматическую проверку рабочих станций и серверов. Например, вы хотите убедиться, что конфигурация соответствует стандартам безопасности (например, PCS DSS).

Как это работает:

  • SOAR получает запрос на проверку конкретного АРМ или сервера.
  • Если в инфраструктуре уже используется специализированное ПО для контроля целостности, SOAR отправляет запрос на запуск проверки через это ПО.
  • Если специализированного ПО нет, шаблоны проверки конфигурации легко создаются в самом SOAR. Например, можно настроить скрипты для проверки настроек политики паролей, активных служб, уровня обновлений ОС и других параметров.
Гибкость:

  • SOAR может проводить массовые проверки по расписанию, чтобы регулярно контролировать соответствие конфигураций стандартам.
  • При необходимости можно инициировать точечную проверку конкретного устройства, например, в рамках расследования инцидента.
Преимущества:

  • Исключается человеческий фактор при проверке.
  • Ускоряется процесс контроля и устранения несоответствий.
  • Результаты сохраняются в системе, что облегчает генерацию отчетов для аудиторов.
SOAR может стать эффективным инструментом для автоматизации управления доступами, особенно в случае увольнения сотрудников.

Как это работает:

  • Система обогащается данными о статусе сотрудника, например, из HR-системы или Active Directory.
  • После получения информации о том, что сотрудник уволен, SOAR автоматически инициирует процесс удаления или отключения учетной записи во всех системах: Active Directory, корпоративной почте, Customer Relationship Management (CRM), Enterprise resource planning (ERP) и других.
  • SOAR также может заблокировать все активные сессии, отозвать токены аутентификации и отключить VPN-доступ.
Преимущества:

  • Исключается риск забытых учетных записей, которые могут быть использованы злоумышленниками.
  • Процесс выполняется мгновенно, даже если сотрудник уволен внезапно.
  • Сохраняется полный контроль над процессом через отчеты в SOAR.
SOAR играет ключевую роль в управлении уязвимостями, особенно если система интегрирована с TIP. Информация из TIP об актуальных угрозах и трендах помогает сделать процесс управления уязвимостями проактивным.

Как это работает:

  • SOAR интегрируется со сканером уязвимостей и регулярно получает данные обо всех обнаруженных Common Vulnerabilities and Exposures (CVE) в инфраструктуре.
  • Через TIP SOAR проверяет актуальность уязвимостей, сравнивая их с известными угрозами, активно эксплуатируемыми в данный момент. Например, если уязвимость используется в кибератаках или входит в топ критичных за последние недели, SOAR повышает ее приоритет.
  • Если обнаружена критическая уязвимость, которая активно эксплуатируется, SOAR автоматически создает инцидент и отправляет уведомления ответственным лицам.
  • SOAR может также инициировать процесс патч-менеджмента, автоматизируя установку обновлений на уязвимые системы
Почему это важно:

  • Выявление наиболее критичных уязвимостей позволяет точечно сосредоточить ресурсы на устранении реальных угроз.
  • Интеграция с TIP добавляет контекст, позволяя принимать решения на основе актуальной информации о кибератаках.

Почему SOAR — это больше, чем просто инструмент для управления инцидентами?

В этой статье я показал, как объединяя контроль конфигураций, управление учётными записями, уязвимостями и другие ключевые процессы, SOAR становится универсальным решением для управления инфраструктурой компании. Система не только ускоряет и упрощает многие рутинные задачи, но и значительно снижает вероятность ошибок, возникающих при ручных действиях.

При этом SOAR умеет гораздо больше, чем просто реагировать на инциденты. Благодаря интеграции с множеством систем (например, SIEM, EDR, TIP, DLP, сервисами управления патчами и т.д.) его функционал выходит далеко за рамки классических сценариев реагирования. Вот лишь некоторые возможности:

  • Оркестрация действий в сетевых, почтовых и облачных системах.
  • Сбор, хранение и анализ логов для обеспечения непрерывного мониторинга.
  • Полноценное управление жизненным циклом уязвимостей: от сканирования и приоритизации до устранения.
  • Интеграция с DLP-системами для контроля критичной информации и ускорения расследований.
Вся инфраструктура становится более подотчётной и управляемой:

  • Вы знаете, что все устройства соответствуют необходимым стандартам.
  • Вы уверены, что уволенные сотрудники не сохраняют доступ к корпоративным системам.
  • Вы приоритизируете устранение именно тех уязвимостей, которые реально угрожают безопасности.
При этом сценариев использования SOAR гораздо больше: от автоматического сбора доказательств кибератаки в ходе расследований до гибкого управления политиками безопасности. При наличии чёткого понимания целей и достаточных компетенций специалистов возможности SOAR кажутся практически безграничными — всё зависит от того, как вы спроектируете и реализуете собственные сценарии. По сути, это дверь к широкому спектру возможностей, которые даёт современная автоматизация и оркестрация в области информационной безопасности.
Автор: Сергей Марченко, ведущий инженер направления «Автоматизация ИБ», УЦСБ

Свяжитесь с экспертами Центра кибербезопасности УЦСБ, чтобы реализовать оптимальный план цифровой защиты вашего бизнеса

Связаться с нами
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных