Solar webProxy 4.5 вскрывает архивы и блокирует вредоносные файлы, защищенные паролем
ГК «Солар», архитектор комплексной кибербезопасности, выпустила обновление Solar webProxy 4.5. Ключевое нововведение — глубокая инспекция 16 форматов архивов. SWG-система «Солара» теперь распаковывает вложенные архивы, анализирует их содержимое по политикам безопасности и блокирует архивные файлы, защищенные паролем, которые ранее проходили периметр без проверки. Кроме того, в новой версии появилась история изменений политик с возможностью отката к предыдущим версиям, а база категоризации веб-ресурсов была расширена и теперь насчитывает свыше 40 млн доменов. Основой для совершенствования продукта по ряду направлений стала практика использования SWG-системы в инфраструктуре клиентов. Обновление Solar webProxy доступно для всех версий продукта и отвечает высоким требованиям к информационной безопасности в крупных коммерческих и государственных организациях.
Зашифрованные архивы как вектор атаки
По данным аналитиков «Солара», в 2025 году доля архивов среди всех способов доставки вредоносных файлов через веб-трафик в среднем составила около 37%. Около 22% вредоносных архивов загружались через браузер, в обход почтовых фильтров. При этом архив остается удобной «упаковкой» для атакующего: пользователь видит «договор», «счет» или «отчет» и редко воспринимает такой файл как угрозу.
Поскольку архивы поступают в инфраструктуру не только через почту, но и как обычные веб-загрузки, через облачные сервисы и по протоколу FTP, контроля только почтовых вложений уже недостаточно. Защищенные паролем архивы усугубляют ситуацию: пароль превращает вложение в непрозрачный объект для любого сетевого средства защиты. Особенно остро эта проблема стоит в финансовом секторе и промышленности — отраслях, которые сталкиваются с наибольшим числом целевых атак. Компании настраивали правила для блокировки выгрузки критичных данных, но все попытки заблокировать файл с чувствительной информацией обходились одним действием — помещением в архив. Для полноценной распаковки и анализа содержимого приходилось привлекать внешние средства: DLP-системы или «песочницы», которые есть далеко не у всех.
Распаковка и анализ содержимого архивов
В версии 4.5 Solar webProxy анализирует архивы и проверяет каждый файл внутри «на лету». Решение поддерживает 16 форматов: например, ZIP, 7Z, RAR, TAR и т.д.
Логика работы устроена следующим образом: если в правиле фильтрации включена опция «Распаковка архивов и анализ содержимого», система сначала разворачивает контейнер, включая вложенные архивы. После этого каждый объект проверяется по условиям политики: тип файлов, имя (в том числе по регулярным выражениям), размеру и ключевые слова. Если хотя бы один объект внутри соответствует запрещающему правилу, блокируется весь архив целиком.
Глубина распаковки регулируется ограничением по времени (таймаутом), которое задает администратор. Он также выбирает, что делать при его превышении: заблокировать архив или разрешить, проверив только то, что система успела разобрать.
Блокировка запароленных архивов
Параллельно с распаковкой в версии 4.5 появилась фильтрация защищенных паролем объектов. Система определяет наличие пароля по его цифровым признакам. SWG-система «Солара» при этом не пытается подобрать пароль и не расшифровывает содержимое. Она фиксирует сам факт защиты и, если политика это предписывает, то блокирует передачу.
Для администраторов в журнале статистики появилась новая колонка «Защищенный объект» с фильтрацией по значениям «Да/Нет». Это позволяет отслеживать, кто и когда пытался отправить или скачать запароленный контейнер, и выстраивать статистику по таким инцидентам.
«До этого обновления злоумышленнику или инсайдеру было достаточно поместить данные в архив, чтобы пройти фильтрацию на уровне прокси. Запароленный архив и вовсе оставался невидимым. Теперь Solar webProxy распаковывает архивы и применяет политику к содержимому, а запароленные объекты блокирует по правилам. Для организаций, у которых нет DLP или «песочницы», это закрывает критически важный пробел в защите веб-канала», — рассказала руководитель продукта Solar webProxy ГК «Солар» Анастасия Хвещеник.
Отказ от root и повышение безопасности эксплуатации
В версии 4.5 все сервисы Solar webProxy переведены на работу от имени специальной учетной записи с ограниченными правами. Использование привилегированной учетной записи root для эксплуатации системы теперь не требуется, а запуск управляющих скриптов от ее имени запрещен на уровне системы.
Это было одним из частых требований заказчиков при прохождении внутренних аудитов ИБ. Приложения, запущенные с неограниченными привилегиями (например, системные утилиты или веб-серверы) в случае компрометации могут нанести серьезный ущерб инфраструктуре. Переход на работу с отдельной учетной записью снижает этот риск и приводит Solar webProxy в соответствие с корпоративными стандартами безопасности.
История политик с возможностью отката
У заказчиков с большими политиками (сотни правил, слоев, исключений) периодически возникала ситуация: чтобы безопасно внести изменения, требовалось надежное средство для быстрого возврата к предыдущей стабильной конфигурации. В версии 4.5 появился механизм автоматического сохранения истории: при каждом применении политики предыдущая версия сохраняется. Глубина хранения настраивается от 1 до 30 дней. Администратор может просмотреть историю изменений, скачать любую из сохраненных версий, загрузить ее обратно и применить.
Комбинированная аутентификация и другие изменения
В релиз вошли два новых метода аутентификации: Negotiate+NTLM+Basic и Negotiate+Basic. Они позволяют гибко настроить проверку подлинности пользователей в сложных, неоднородных сетях, где одновременно используются разные технологии (например, Kerberos и NTLM). Настройка доступна как на уровне правил политики, так и в целом для узла фильтрации. Последнее является максимально удобным для организаций с большим объемом собственной разработки и смешанным парком ПО.
В новой версии также обновлена база правил для блокировки рекламы (adblock) и доработан механизм косвенной категоризации для публичных доменов.
Кроме того, в модуле Solar MultiProxy появилась возможность централизованного управления пользовательскими категориями и их распространения на подчиненные узлы, а также снижено потребление памяти для разных операций.
«Релиз 4.5 сформирован на основе анализа трендовых угроз и потребностей клиентов в течение нескольких лет. Распаковка архивов, блокировка запароленных объектов, отказ от root, откат политик — за каждой из этих функций стоят ожидания компаний, имеющих довольно высокие требования к безопасности и сложные политики ИБ. Мы усилили защиту в тех точках, где сетевые средства традиционно пропускали угрозу», — подчеркнула Анастасия Хвещеник.
Solar webProxy — это отечественное решение класса Secure Web Gateway (SWG), которое гибко разграничивает доступ, фильтрует трафик и защищает от современных веб-угроз в корпоративных сетях свыше 150 крупных компаний. Решение входит в продуктовый портфель ГК «Солара» и совместимо с другими продуктами крупных отечественных вендоров (ГК «Астра», компании «РЕД СОФТ» и др.).
SWG-система «Солара» включена в реестр отечественного программного обеспечения Минцифры России и сертифицирована ФСТЭК России по требованиям к межсетевым экранам типа «Б» четвертого класса защиты. Кроме того, Solar webProxy отвечает требованиям технического регламента средств защиты информации (СЗИ) Оперативно-аналитического центра при Президенте Республики Беларусь (ОАЦ РБ). Таким образом решение с политиками контроля ИИ-трафика и запароленных архивов может использоваться в российских и белорусских государственных организациях с высокими требованиями к классу защиты конфиденциальной информации и на объектах критической информационной инфраструктуры.
