Специализированный сканер безопасности для 1С

ВанСек — безопасность вашей 1С под контролем

Автоматически находит уязвимости в коде, конфигурации, ролях и инфраструктуре 1С:Enterprise. Работает без изменений в системе.

Запросить демоПолучить пилот
60+
правил SAST для кода 1С
3
режима работы без открытия портов
100%
read-only без изменений в базе
0
изменений в вашей системе
ВанСек · Сканирование завершено
только что
3
Крит.
11
Высок.
24
Средн.
8
Низк.
Пустой пароль базы данных (sa)
SQL-инъекция в модуле ОбщийМодуль1
Хардкод пароля в коде конфигурации
HTTP вместо HTTPS для внешних ресурсов

Почему безопасность 1С — это реальная проблема?

ERP на базе 1С — основа бухгалтерии, финансов, HR, логистики, закупок и управления всеми ключевыми бизнес-процессами. Но архитектура 1С и множество кастомизаций создают значимые риски.

⚠️

Кастомизация бесконтрольна

1С-доработки делают разработчики, подрядчики, фрилансеры. Код растёт, переходит от руки к руке — контроль теряется.

  • Опасные конструкции в модулях
  • Использование небезопасных методов
  • Обход авторизации
  • Неявные вызовы, которые сложно найти
⚠️

1С не предупреждает о рисках

В платформе нет встроенных механизмов ИБ-аналитики.

  • Не видно опасный код
  • Можно пропустить уязвимость
  • Не заметить уязвимое расширение
  • Критичный инцидент из-за одной строки
⚠️

Проверять конфигурацию трудно

Большие конфигурации (ERP, УТ, ЗУП, КА) содержат тысячи объектов.

  • Ручная проверка невозможна
  • Нет инструментов
  • Занимает недели
  • Неполные результаты
Критично для каждой установки 1С

1С небезопасна по умолчанию

1С:Enterprise проектировалась для бизнес-задач, а не для информационной безопасности. Стандартная установка содержит десятки уязвимых настроек — и большинство компаний узнаёт об этом уже после инцидента.

🔑

Пустые пароли

Пользователь «Администратор» без пароля — стандарт при первой установке

🔐

Нет парольной политики

Минимальная длина пароля = 0, нет требований к сложности и сроку действия

🚫

Нет блокировки попыток

Неограниченное число попыток входа — brute-force ничем не ограничен

🌐

HTTP вместо HTTPS

Внешние ресурсы и сервисы подключаются без шифрования по умолчанию

🗄️

Учётная запись sa

Подключение к SQL Server через системного администратора с полными правами

👑

Избыточные права

Роль «ПолныеПрава» выдаётся по умолчанию — без принципа минимальных привилегий

📡

Открытый RAC

Remote Administration Console доступен без аутентификации в ряде версий

🔓

Устаревший хэшинг

Слабые алгоритмы хэширования паролей, не соответствующие современным стандартам

ВанСек проверяет всё это автоматически

Получите точную картину безопасности вашей 1С за один запуск. Без ручной проверки, без привлечения внешних консультантов.

  • Параметры безопасности платформы и кластера
  • Парольная политика из настроек базы данных
  • Учётные записи СУБД и права доступа
  • Конфигурация внешних соединений
47
параметров безопасности
проверяется в каждой системе
Проверить мою 1С

Как ВанСек решает эти проблемы

Кастомизация бесконтрольна

Решение ВанСек

  • Автоматически анализирует весь модульный состав
  • Находит опасные вызовы и неочевидные зависимости
  • Выявляет скрытый или устаревший код
  • Показывает потенциально уязвимые объекты и модули

1С не предупреждает о рисках

Решение ВанСек

  • Использует собственный набор правил ИБ
  • Применяет CVSS-подобную модель оценки критичности
  • Предоставляет рекомендации по устранению
  • Приоритизирует риски по уровню опасности

Проверять конфигурацию трудно

Решение ВанСек

  • Анализирует *.cf и *.cfu файлы без подключения к базе
  • Автоматически декомпилирует объекты
  • Проверяет все модули, формы, общие модули, события
  • Находит ошибки, которые невозможно выявить вручную

Возможности ВанСек

Полное покрытие стека 1С:Enterprise — от исходного кода до инфраструктуры

🔬
60+ правил

SAST-анализ кода 1С

  • SQL-инъекции и конкатенация запросов
  • Хардкод паролей, токенов, API-ключей
  • Опасные вызовы: Выполнить(), динамика
  • COM-объекты, ActiveX, слабая криптография
  • Свои правила в YAML — без программирования
📄
Без подключения к базе

Анализ конфигураций (.cf / .cfu)

  • Декомпиляция и разбор объектов
  • Анализ модулей, форм, общих модулей
  • Проверка ролей и прав доступа
  • Поиск небезопасных конструкций
  • Общие модули с флагом ВызовСервера
🖥️
Анализ LST-файлов

Анализ кластера 1С

  • Учётные записи СУБД (sa, пустые пароли)
  • Блокировки сеансов и регламентные задания
  • HTTP вместо HTTPS для внешних ресурсов
  • Профили безопасности
  • Конфигурация рабочих серверов
🔑
Проверка соответсветсвия

Парольная политика

  • Минимальная длина и сложность
  • Срок действия и история паролей
  • Блокировка при неудачных попытках
  • Алгоритмы хэширования
  • Проверка раскрытых паролей
👥
Полный аудит

Пользователи и роли

  • Все учётные записи информационных баз
  • Анализ назначенных ролей
  • Избыточные и опасные сочетания прав
  • Неактивные и служебные пользователи
  • Пользователи СУБД (PostgreSQL, MS SQL)
📡
Реальное время

RAC-мониторинг

  • Активные сеансы пользователей
  • Соединения с СУБД
  • Блокировки информационных баз
  • Фоновые задания
  • Кластеры и рабочие серверы
📊
CVSS-подобная модель

Отчёты и оценка рисков

  • Приоритизация по уровню критичности
  • HTML-отчёты для руководства
  • JSON для интеграции с другими системами
  • Детальные рекомендации по устранению
  • История изменений по каждой базе
🌐
Мультитенантность

Web Dashboard и REST API

  • Изолированные рабочие пространства
  • Управление правами: admin / editor / viewer
  • Централизованный просмотр находок
  • Полный REST API для интеграций
  • API-ключи для каждого workspace
Уникальная возможность

Свои правила SAST под стандарты вашей компании

Добавляйте собственные правила анализа кода в формате YAML — без программирования. Контролируйте корпоративные стандарты разработки, специфику ваших конфигураций и требования регуляторов.

# Пример кастомного правила
rules:
- rule_id: "CUSTOM-001"
metadata:
name: "Запрет HTTP"
severity: "high"
conditions:
pattern: "http://"
# Без единой строки кода
Работает внутри вашей инфраструктуры

Автоматический сбор данных без лишних настроек

Лёгкий модуль устанавливается на сервер 1С и самостоятельно собирает всё необходимое для анализа. Один раз настроили — система работает в автоматическом режиме.

🔄

Только исходящие соединения

Не требует открытия портов в firewall. Подключение инициируется изнутри вашей инфраструктуры.

Менее 50 MB RAM

Минимальная нагрузка на сервер. Незаметен для пользователей и процессов 1С.

🤖

Полная автономность

Работает по расписанию без участия оператора. Настроил один раз — данные собираются регулярно.

🪟

Windows и Linux

Поддерживает оба типа серверов 1С. Работает на Windows Server и Linux.

🔍

Автоопределение 1С

Автоматически обнаруживает установленную 1С, кластеры и информационные базы без ручной настройки.

🔐

Зашифрованная передача

Весь трафик передаётся по HTTPS. Аутентификация по уникальному API-ключу.

Что собирается для анализа

Модуль имеет прямой доступ к серверу 1С и собирает данные, недоступные через API

📁LST-файлы кластера✓ доступно
📡RAC-данные в реальном времени✓ доступно
👥Пользователи и роли 1С✓ доступно
🛡️Параметры безопасности баз✓ доступно
📄Конфигурация (.cf файлы)✓ доступно
🗄️Данные СУБД (PostgreSQL, MSSQL)✓ доступно
Схема взаимодействия
🖥️
Сервер 1С
HTTPS исходящий
🔒
ВанСек
Входящие порты не открываются

Интерфейс продукта

Удобный веб-интерфейс для управления сканированиями и анализа результатов

Dashboard

Хотите увидеть продукт в действии?

Запросить демонстрацию

Как работает ВанСек

Простой и понятный процесс анализа безопасности

1
⚙️

Выбор режима

Выберите способ анализа: файл конфигурации, API или кластер

2
📥

Сбор данных

Система безопасно собирает информацию без изменения базы

3
🔍

Анализ

Запускается движок правил безопасности для 1С

4
⚖️

Оценка рисков

ВанСек присваивает уровень критичности каждой находке

5
📊

Отчёт

Формируется детальный HTML/JSON отчёт с рекомендациями

6
🌐

Dashboard

Вся информация доступна в удобном веб-интерфейсе

Почему ВанСек

Ключевые отличия от универсальных сканеров безопасности

🎯

Создан специально для 1С

Не универсальный сканер, адаптированный под 1С, а продукт, спроектированный с нуля для платформы 1С:Enterprise и её особенностей.

🔒

Абсолютно безопасен для продуктива

0 изменений

Работает только в режиме чтения. Пароли СУБД хранятся в зашифрованном виде. Все действия фиксируются в журнале аудита.

📡

Не требует открытия портов

Модуль сбора данных инициирует только исходящие соединения. Firewall не нужно трогать — ваша инфраструктура остаётся закрытой.

Незаметен для пользователей

< 50 MB

Модуль потребляет менее 50 MB RAM и не влияет на производительность серверов 1С и работу пользователей.

🔬

60+ правил SAST для 1С

60+ правил

Специализированные правила статического анализа кода, написанные именно для языка 1С. Плюс возможность добавлять свои правила.

🌐

Работает офлайн

Полное развёртывание в изолированной инфраструктуре без интернета. Совместимо с закрытыми контурами и ГОССОПКА.

🏢

Мультитенантность

Изолированные рабочие пространства для разных клиентов или проектов. Один продукт для всей команды и всех задач.

🗄️

Поддержка PostgreSQL и MS SQL

3 СУБД

Анализирует учётные записи и права доступа не только в 1С, но и на уровне СУБД — PostgreSQL, MS SQL Server, IBM DB2.

📊

Изоляция данных между проектами

Row-level security в базе данных. Данные каждого клиента или подразделения полностью изолированы на уровне СУБД.

🚀

Быстрое развёртывание

1 день

Docker-образ готов к запуску. SaaS-вариант запускается за один рабочий день без настройки инфраструктуры.

Безопасность самого ВанСека

Мы понимаем, что вы доверяете нам данные о своей инфраструктуре

🔐
Шифрование трафика
TLS для всех соединений
🗄️
Пароли в зашифрованном виде
Envelope encryption для СУБД
📋
Полный аудит
Журнал всех действий пользователей
⚖️
Соответствие ФЗ-152
Режим обработки данных

Кому подходит ВанСек

Один продукт — для разных ролей и сценариев работы с 1С

🛡️

Службы информационной безопасности

Автоматизируйте регулярный аудит всех 1С-систем компании. Получайте объективную картину рисков без ручной работы.

  • Регулярные проверки по расписанию
  • Централизованный контроль всех баз
  • Отчёты с приоритизацией для руководства
  • История изменений и динамика рисков
Идеально подходит
🏢

Консалтинговые компании

Идеальный инструмент для аудиторов, ведущих несколько клиентов. Изолированное рабочее пространство для каждого проекта — в одном продукте.

  • Отдельный workspace на каждого клиента
  • Разграничение доступа в команде
  • Готовые отчёты для передачи заказчику
  • Быстрый старт нового проекта
🔧

Интеграторы и разработчики 1С

Проверяйте безопасность кода до передачи заказчику. Защитите репутацию и снизьте риски претензий по внедрённым решениям.

  • SAST-анализ перед сдачей проекта
  • Проверка .cf файлов без подключения к базе
  • Контроль соответствия стандартам кода
  • Документированные результаты проверки
💼

Предприятия с 1С

Держите под контролем безопасность ERP, которая обрабатывает финансы, кадры и логистику вашей компании.

  • Проверка продуктивных систем без остановки
  • Контроль действий подрядчиков-разработчиков
  • Выявление накопленных уязвимостей
  • Соответствие ИБ-политикам
🏛️

Государственные организации

Работает полностью офлайн в закрытых контурах. Соответствует требованиям регуляторов и ГОССОПКА.

  • On-Premise без передачи данных наружу
  • Совместимость с закрытыми контурами
  • Журнал аудита всех действий
  • Отчёты для проверяющих органов
🎓

Аудиторы и регуляторы

Получайте объективные, воспроизводимые результаты оценки защищённости 1С-систем.

  • Независимая оценка без доступа к коду
  • Объективные метрики и CVSS-оценки
  • История проверок для сравнения
  • JSON-экспорт для интеграции в реестры
🏢

Для консалтинга — один продукт вместо хаоса

Ведёте аудит 1С у нескольких клиентов? Вместо разрозненных инструментов и ручной работы — единая платформа с полной изоляцией данных между проектами.

Изолированные workspacesРоли в командеAPI-ключиГотовые отчёты
клиентов
в одной системе
Узнать про партнёрскую лицензию →

Варианты развёртывания

Выберите модель, которая соответствует вашим требованиям к безопасности данных

☁️

SaaS

Облачная модель

Сервер ВанСек размещается у вендора. Вы устанавливаете только лёгкий модуль сбора данных на свои серверы 1С.

  • Нет затрат на инфраструктуру
  • Автоматические обновления
  • Запуск за день
  • Профессиональная поддержка

Для быстрого старта и компаний без собственной инфраструктуры

Рекомендуется
🏢

On-Premise

Полное развёртывание

Весь ВанСек размещается в вашей инфраструктуре. Данные не покидают контур вашей компании.

  • Полный контроль над данными
  • Работа без интернета
  • Соответствие требованиям регуляторов
  • Интеграция с внутренними системами

Для enterprise, госорганов и компаний с жёсткими требованиями к данным

🔀

Гибридная

Изолированный сегмент

Сервер ВанСек в изолированном сегменте вашей сети. Модули сбора данных работают в рабочих сегментах.

  • Максимальная изоляция данных
  • Гибкая топология сети
  • Мультисегментные инфраструктуры
  • Row-level security в БД

Для холдингов и компаний со сложной сетевой архитектурой

Параметр
SaaS
On-Premise
Гибридная
Данные остаются в вашем контуре
Работа без интернета
Автоматические обновления
Нет затрат на инфраструктуру
Соответствие ФСТЭК / ГосСОПКА
Мультитенантность из коробки
Запуск за 1 день

Не уверены какая модель подходит? Расскажите о вашей задаче — поможем выбрать.

Обсудить вариант внедрения

Тарифы и внедрение

Выберите подходящий вариант для вашей организации

Популярный

Пилот

14–30 дней

Быстрое тестирование в вашем контуре

  • Полный функционал
  • Анализ 1-3 баз
  • Техническая поддержка
  • Отчёты и рекомендации
  • Обучение команды
Получить пилот

Корпоративная лицензия

от 1 года

Для предприятий с собственными 1С-системами

  • Неограниченное количество баз
  • Все режимы анализа
  • Приоритетная поддержка
  • Обновления правил
  • Обучение и консультации
Запросить коммерческое предложение

Партнёрская лицензия

индивидуально

Для интеграторов, разработчиков и компаний внедрения

  • Мультитенантность
  • White-label опции
  • API интеграция
  • Обучение команды
  • Маркетинговая поддержка
Стать партнёром

Нужна индивидуальная конфигурация? Свяжитесь с нами

Частые вопросы

Отвечаем на вопросы, которые возникают чаще всего

Безопасность

Да. ВанСек работает исключительно в режиме read-only и не вносит никаких изменений в базы данных или конфигурации. Все пароли СУБД хранятся в зашифрованном виде. Все действия фиксируются в журнале аудита. Продукт прошёл внутреннее тестирование на production-системах.

Архитектура
SAST
Развёртывание
Возможности
Общее

Не нашли ответ на свой вопрос?

Свяжитесь с нами — ответим в течение рабочего дня

Задать вопрос

Оставить заявку

Заполните форму — мы свяжемся в течение рабочего дня

Нажимая кнопку, вы соглашаетесь с обработкой персональных данных