Solar webProxy 4.5 вскрывает архивы и блокирует вредоносные файлы, защищенные паролем

ГК «Солар», архитектор комплексной кибербезопасности, выпустила апдейт Solar webProxy 4.5. Ключевое нововведение — глубокая инспекция 16 форматов архивов. SWG-система «Солара» теперь распаковывает вложенные архивы, анализирует их содержимое по политикам безопасности и блокирует архивные файлы, защищенные паролем, которые ранее проходили периметр без проверки. Кроме того, в новой версии появилась история изменений политик с возможностью отката к предыдущим версиям, а база категоризации веб-ресурсов была расширена и теперь насчитывает свыше 40 млн доменов. Основой для совершенствования продукта по ряду направлений стала практика использования SWG-системы в инфраструктуре клиентов. Апдейт Solar webProxy доступно для всех версий продукта и отвечает высоким требованиям к информационной безопасности в крупных коммерческих и государственных организациях.

Зашифрованные архивы как вектор атаки

По данным аналитиков «Солара», в 2025 году доля архивов среди всех способов доставки вредоносных файлов через веб-трафик в среднем составила около 37%. Около 22% вредоносных архивов загружались через браузер, в обход почтовых фильтров. При этом архив остается удобной «упаковкой» для атакующего: пользователь видит «договор», «счет» или «отчет» и редко воспринимает такой файл как угрозу.

Поскольку архивы поступают в инфраструктуру не только через почту, но и как обычные веб-загрузки, через облачные сервисы и по протоколу FTP, контроля только почтовых вложений уже недостаточно. Защищенные паролем архивы усугубляют ситуацию: пароль превращает вложение в непрозрачный объект для любого сетевого средства защиты. Особенно остро эта проблема стоит в финансовом секторе и промышленности — отраслях, которые сталкиваются с наибольшим числом целевых атак. Компании настраивали правила для блокировки выгрузки критичных данных, но все попытки заблокировать файл с чувствительной информацией обходились одним действием — помещением в архив. Для полноценной распаковки и анализа содержимого приходилось привлекать внешние средства: DLP-системы или «песочницы», которые есть далеко не у всех.

Распаковка и анализ содержимого архивов

В версии 4.5 Solar webProxy анализирует архивы и проверяет каждый файл внутри «на лету». Подход поддерживает 16 форматов: в частности, ZIP, 7Z, RAR, TAR и т.д.

Логика работы устроена следующим образом: если в правиле фильтрации включена функция «Распаковка архивов и аналитика содержимого», система сначала разворачивает контейнер, в том числе вложенные архивы. После этого каждый объект проверяется по условиям политики: тип файлов, имя (в том числе по регулярным выражениям), размеру и ключевые слова. Если хотя бы один объект внутри соответствует запрещающему правилу, блокируется весь архив целиком.

Глубина распаковки регулируется ограничением по времени (таймаутом), которое задает администратор. Он равным образом выбирает, что делать при его превышении: заблокировать архив или разрешить, проверив только то, что платформа успела разобрать.

Блокировка запароленных архивов

Параллельно с распаковкой в версии 4.5 появилась фильтрация защищенных паролем объектов. Система определяет наличие пароля по его цифровым признакам. SWG-система «Солара» одновременно не пытается подобрать пароль и не расшифровывает содержимое. Она фиксирует сам факт защиты и, если политика это предписывает, то блокирует передачу.

Для администраторов в журнале статистики появилась новая колонка «Защищенный объект» с фильтрацией по значениям «Да/Нет». Это позволяет отслеживать, кто и когда пытался отправить или загрузить запароленный контейнер, и выстраивать статистику по таким инцидентам.

«До этого обновления злоумышленнику или инсайдеру было в достаточной степени поместить данные в архив, чтобы пройти фильтрацию на уровне прокси. Запароленный архив и вовсе оставался невидимым. Теперь Solar webProxy распаковывает архивы и применяет политику к содержимому, а запароленные объекты блокирует по правилам. Для организаций, у которых нет DLP или «песочницы», это закрывает критически важный пробел в защите веб-канала», — рассказала руководитель продукта Solar webProxy ГК «Солар» Анастасия Хвещеник.

Отказ от root и повышение безопасности эксплуатации

В версии 4.5 все сервисы Solar webProxy переведены на работу от имени специальной учетной записи с ограниченными правами. Использование привилегированной учетной записи root для эксплуатации системы теперь не требуется, а запускание управляющих скриптов от ее имени запрещен на уровне системы.

Это было одним из частых требований заказчиков при прохождении внутренних аудитов ИБ. Приложения, запущенные с неограниченными привилегиями (например, системные утилиты или веб-серверы) в случае компрометации могут нанести серьезный ущерб инфраструктуре. Переход на работу с отдельной учетной записью снижает этот риск и приводит Solar webProxy в соответствие с корпоративными стандартами безопасности.

История политик с возможностью отката

У заказчиков с большими политиками (сотни правил, слоев, исключений) периодически возникала ситуация: чтобы безопасно внести изменения, требовалось надежное средство для быстрого возврата к предыдущей стабильной конфигурации. В версии 4.5 появился механизм автоматического сохранения истории: при каждом применении политики предыдущая релиз сохраняется. Глубина хранения настраивается от 1 до 30 дней. Администратор может просмотреть историю изменений, скачать любую из сохраненных версий, загрузить ее обратно и применить.

Комбинированная аутентификация и другие изменения

В выпуск вошли два новых метода аутентификации: Negotiate+NTLM+Basic и Negotiate+Basic. Они позволяют гибко настроить проверку подлинности пользователей в сложных, неоднородных сетях, где одновременно используются разные технологии (например, Kerberos и NTLM). Конфигурация доступна как на уровне правил политики, так и в общем и целом для узла фильтрации. Последнее является максимально удобным для организаций с большим объемом собственной разработки и смешанным парком ПО.

В новой версии также обновлена база правил для блокировки рекламы (adblock) и доработан механизм косвенной категоризации для публичных доменов.

Кроме того, в модуле Solar MultiProxy появилась функция централизованного управления пользовательскими категориями и их распространения на подчиненные узлы, а равным образом снижено потребление памяти для разных операций.

«Релиз 4.5 сформирован на основе анализа трендовых угроз и потребностей клиентов в течение нескольких лет. Распаковка архивов, блокировка запароленных объектов, отказ от root, откат политик — за каждой из этих функций стоят ожидания компаний, имеющих довольно высокие требования к безопасности и сложные политики ИБ. Мы усилили защиту в тех точках, где сетевые средства традиционно пропускали угрозу», — подчеркнула Анастасия Хвещеник.

Solar webProxy — это отечественное решение класса Secure Web Gateway (SWG), которое гибко разграничивает доступ, фильтрует трафик и защищает от современных веб-угроз в корпоративных сетях более чем 150 крупных компаний. Решение входит в продуктовый портфель ГК «Солара» и совместимо с другими продуктами крупных отечественных вендоров (ГК «Астра», компании «РЕД СОФТ» и др.).

SWG-система «Солара» включена в реестр отечественного программного обеспечения Минцифры России и сертифицирована ФСТЭК России по требованиям к межсетевым экранам типа «Б» четвертого класса защиты. В дополнение к этого, Solar webProxy отвечает требованиям технического регламента средств защиты информации (СЗИ) Оперативно-аналитического центра при Президенте Республики Беларусь (ОАЦ РБ). Итак подход с политиками контроля ИИ-трафика и запароленных архивов может использоваться в российских и белорусских государственных организациях с высокими требованиями к классу защиты конфиденциальной информации и на объектах критической информационной инфраструктуры.