Слабые пароли, избыточные права подрядчиков, сервисные учетки без ротации − все это типичные уязвимости внутренних сетей. По данным DSEC (входит в ГК «Солар»), в 87% проектов по внутреннему тестированию в 2025 году были достигнуты поставленных целей − получен контроль над доменом, получен доступ к персональным данным, скомпрометированы средства защиты информации и получен доступ к системе резервного копирования и базам данных. Главные проблемы внутренних сетей − слабые пароли (53% проектов) и устаревшее ПО (42%). А по данным Solar 4RAYS, атаки через подрядчиков остаются устойчивым трендом и в 2026 году. PAM-система−один из ключевых инструментов, способных разорвать эту цепочку. Классическая архитектура PAM подразумевает работу через выделенный бастион-сервер или прокси-сервер (промежуточный узел, через который проходит весь трафик администратора). Пользователь понимает, что его соединения явно проксируются, а значит, технически может попытаться установить прямое соединение с целевым сервером, минуя контроль. В этом материале разбираем вместе с Дмитрием Федоровым, пресейл-аналитиком Solar SafeInspect ГК «Солар», как прозрачные режимы работы PAM-системы Solar SafeInspect на уровнях L2 и L3 решают эту проблему.

Что такое «прозрачный режим» и почему с этим термином путаница

На российском рынке PAM-систем нет единого понимания того, что стоит за словами «прозрачный режим». Как поясняет эксперт «Солара», терминологическая путаница – это не проблема, а скорее особенность рынка.

Часть вендоров называет так доступ через портал с SSO, мотивируя это тем, что пользователь не вводит пароли вручную. Другие подразумевают работу на сетевом уровне, когда PAM-система полностью скрыта от пользователя.

Хотим рассказать, как провели обучение для наших техлидов: нужно было дополнить их инженерные компетенции базовыми навыками управления, чтобы эффективней выстраивать комплексную кибербезопасность на крупных интеграционных проектах.

Программу придумали сами, опираясь на реальный опыт и процессы, а обучение провел не теоретик, а практикующий специалист. Собрали обратную связь, сделали выводы и готовы поделиться с хабром нашим видением, как и чему надо обучать техлидов, чтобы процесс реализации проекта шел качественней, заказчик не был в печали, а команда была «на изи».

Расследование инцидентов — это критически важный подпроцесс управления инцидентами информационной безопасности, направленный на выявление первичного вектора компрометации, минимизацию ущерба и предотвращение подобных инцидентов в будущем. Эффективность расследования зависит от трех ключевых факторов: компетентности команды реагирования, наличия инструментов для анализа и сбора данных, а также согласованности процессов информационной безопасности организации-заказчика в целом.

Последний фактор оказывает существенное влияние на ход расследования, включая точность, полноту и достоверность итоговых результатов расследования. В частности, отсутствие налаженных ИБ-процессов может привести к изменению ключевых артефактов, затруднить идентификацию источника проникновения и снизить вероятность обнаружения новых индикаторов компрометации (IOCs).

На протяжении множества расследований команда Solar 4RAYS сталкивалась с такими «препятствиями». Проанализировав их, мы решили описать проблемы, возникающие в том или ином ИБ-процессе, которые негативно влияют на расследование инцидента.

Почти половина айтишников — 46 процентов — целенаправленно развивают личный бренд, из них 51% делает это через социальные сети и блоги. Это данные совместного исследования «Солара» и Хабра. Чаще всего в этом контексте говорят об авторах: блог помогает им структурировать опыт и усиливает профессиональную репутацию.  

Но блоги работают и с другой стороны. Сегодня чтение профессиональных каналов — один из инструментов в актуальной для ИТ и ИБ отрасли концепции непрерывного обучения (lifelong learning). Этот подход диктует скорость изменений в отрасли, в частности, под влиянием ИИ. Регулярно меняются инструменты хакеров, появляются новые сигнатуры и цепочки Kill Chain, и те знания кибербезопасника, которые вчера были актуальны, сегодня уже устарели. 

Профессиональная литература в форме новых медиа — соцсетей и блогов — это один из быстрых способов держать контекст. Специалисты обращаются к ним, чтобы читать разборы свежих уязвимостей, тактик и инструментов злоумышленников. По уровню доверия блоги опережают традиционные сми: их пишут практикующие эксперты, фокусируясь на технических деталях без маркетинговой «воды», а авторы говорят на одном языке с читателями.  

Но как у любого инструмента, у этого метода профессионального развития есть ограничения. Многообразие источников может приводить к перегрузу информацией и потере фокуса. Перед специалистом встает задача самостоятельно формировать свое инфополе, ограничивая подписки несколькими качественными блогами в зависимости от их авторитетности и прикладной пользы.

В конце нулевых кибербезопасность казалась довольно простым делом: антивирус на конечной точке, файервол на периметре и пентест раз в год. Тогда мало кто мог представить, что хакеры будут подолгу сидеть внутри сетей, маскируясь под легитимные действия, а количество атак на критическую инфраструктуру превысит все мыслимые пределы.

Идея создать коммерческий центр мониторинга угроз зародилась в 2009 году — как предчувствие растущей сложности атак. К апрелю 2012-го она оформилась в конкретный проект. Тогда и появился JSOC как Jet Security Operations Center — проект компании «Инфосистем Джет», то есть еще до основания самого «Солара». Позже он превратился в коммерческий SOC под брендом Solar, а буква «J» в названии сохранилась как дань истории.

Сегодня Solar JSOC — крупнейший коммерческий центр мониторинга и реагирования на кибератаки в России и входит в пятерку крупнейших провайдеров управляемых сервисов кибербезопасности в Европе. Ежедневно мы обрабатываем более 200 млрд ИБ-событий, защищая свыше 1500 заказчиков из госсектора, финансовой отрасли и бизнеса всех масштабов. Работа идет круглосуточно и без выходных. В этом материале расскажем о том, как возникла идея создания JSOC и как работают его специалисты.

Забытый бэкап в открытой папке, слабый пароль без двухфакторной аутентификации, сегментация без контроля обходных маршрутов — эти три ошибки делают взлом почти неизбежным. В 2025 году DSEC (команда пентестеров с 23-летним стажем, входит в ГК «Солар») провела 390 пентестов — и в 78% случаев внешний периметр был пробит. Фишинг достигал цели всегда: хотя бы один сотрудник взаимодействовал с письмом — а в 86% случаев вводил пароль или открывал вложение.

Но главное — эти сценарии уже реализованы в реальных атаках. Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» фиксируют те же векторы: злоумышленники годами живут в сетях, крадут данные или уничтожают инфраструктуру — все из-за таких простых ошибок. Как именно это происходит — разбираем на примерах.

Стопроцентной защиты не бывает: задавшийся целью и достаточно подкованный злоумышленник лазейку найдет. Вы можете годами жить с хакером в сети и не подозревать об этом, особенно если у компании не настроена эшелонированная защита на всех сегментах сети. Риск компрометации возрастает, если недавно ушли сотрудники с сохраненным привилегированным доступом к инфраструктуре или вы поглотили новую компанию (присоединили к своей сети или собираетесь это сделать).

Единственный способ узнать, не находится ли кто-то чужой в вашей сети прямо сейчас — Compromise Assessment (CA), или оценка компрометации. Для вашей инфраструктуры это то же, что для вас профилактический осмотр у стоматолога. Тот случай, когда не ждете острой боли, чтобы проверить, не завелся ли кариес. Однако CA не лечит и не ставит пломбы, но честно показывает, кто уже поселился в вашей сети и как давно. Если говорить прямо, CA собирает артефакты и ищет следы присутствия — те, что не видят, например, EDR и SIEM. А еще такая проверка покажет, побывали уже злоумышленники в вашей инфраструктуре раньше и успели ли замести следы. К тому же Compromise Assessment обычно проводится такими же методами, технологиями и людьми, которые  задействуются в полноценных расследованиях и реагировании на инциденты.

В этой статье мы разберем, в каких ситуациях Compromise Assessment необходим, чем он отличается от привычного пентеста, как правильно подготовиться к проверке и что делать с ее результатами, чтобы не допустить повторного взлома.

Всем привет, на связи Solar appScreener!
В этой статье расскажем о нашем опыте использования ИИ в нашем собственном продукте.

ИИ‑агенты уже стали неотъемлемой частью процесса разработки, это больше не мимолетный хайп, а новая реальность. По данным исследования Sonar (State of Code Developer Survey 2026, https://www.sonarsource.com/state‑of‑code‑developer‑survey‑report.pdf), 72% разработчиков, попробовавших использовать ИИ, стали использовать его ежедневно. А 42% всего написанного кода уже сгенерирован ИИ, или существенно им доработан. Какие‑то запредельные числа. Стоит признать, что мы живем в новой реальности, в которой вайбкодинг — это новый стиль программирования.

Выявить уязвимость до того, как ею воспользуются злоумышленники, разобраться в тонкостях безопасности информационных систем, освоить инструменты пентестеров под руководством опытных наставников — всё это можно попробовать на практике на стажировке в DSEC by Solar. Ждем ваши заявки до 10 мая!

Привычные средства защиты информации не способны отловить все без исключения угрозы. У каждого СЗИ есть слепые зоны: то, чего оно еще не видело или не умеет распознавать. Одно из решений данной проблемы — это использование фидов Threat Intelligence, которые в режиме 24/7 обогащают такие решения, как SIEM, NGFW, EDR, XDR и другие внешним контекстом — индикаторами компрометации, правилами детектирования и информацией о тактиках атакующих.

Но и здесь уже на этапе тестирования фидов неизменно возникает парадокс. Срабатывания при загруженных фидах означают, что в инфраструктуре есть хакеры.

Однако их отсутствие может говорить как о «чистоте» системы, так и о кажущейся бесполезности самих фидов. Как отличить одно от другого? И почему количество срабатываний — плохая метрика качества?

Ответы — в этой статье. Здесь мы разберем, какую роль фиды выполняют в защите от киберугроз, откуда берутся данные для них, почему открытых источников для получения фидов всегда недостаточно и зачем пользоваться потоками данных сразу от нескольких вендоров. Параллельно мы развенчаем три самых распространенных мифа о фидах, а самое главное — разберем, как их тестировать, чтобы пилот «полетел» как надо.

Привет, Хабр! Меня зовут Александр Лемаев, я ведущий аналитик в ГК «Солар». Если ваш старый прокси-сервер больше не обновляется, а количество успешных фишинговых атак растет — эта статья для вас. По данным центра исследования киберугроз Solar 4RAYS, во 2 квартале 2025 года на одну российскую организацию пришлось в среднем более 160 заражений вредоносным ПО – это на 20% больше, чем в предыдущем квартале. Хакеры всё чаще используют комбинированные кибератаки на сетевую инфраструктуру, а APT-группировки активизировались во втором полугодии. Перед компаниями стоит задача не просто импортозаместить решения зарубежных вендоров, таких как Symantec (Blue Coat), Сisco WSA, FortiProxy или McAfee, а построить эшелонированную защиту сети.

В этой статье расскажу о классе решений Secure Web Gateway (SWG) – о том самом «сетевом шлюзе безопасности», который стоит между пользователем и интернетом. Покажу архитектуру изнутри: из каких компонентов состоит современная SWG-система, какие протоколы (от классического HTTP до FTP и SSH) она обязана контролировать, и как она закрывает новые вызовы – например, фильтрацию трафика AI-сервисов и защиту от утечек данных.

Главное – перейдем от теории к практике на примере Solar webProxy – одного из немногих зрелых отечественных решений в этом классе. Разберем его архитектуру, поддержку DPI (глубокого анализа трафика) и возможности интеграции с внешними системами. А на реальном кейсе – проекте «Единая сеть передачи данных» – посмотрим, как решение масштабируется под нагрузкой в рамках одного из самых масштабных ИТ-проектов страны.

Всем привет!

На прошлой неделе мы узнали, что наша платформа для комплексной безопасности ПО Solar appScreener вошла в шорт-лист номинации «Продукт года» Tproger Awards. Премия новая, но от сообщества типичных программистов, поэтому их признание для нас очень ценно. Да, коллеги выбрали забавный символ премии — мышь (очень симпатичная). Но если добавить к этой истории немного купеческого символизма с берегов Волги, то сразу вспоминается классика из Мышкина: «Мышка поселись, денежка водись».

Шутки шутками, но эта премия помогла нам посмотреть на appScreener новым взглядом: почему же этот продукт стал одним из ключевых (денежных) в продуктовом портфеле «Солара»? А вот и ответ!

Solar appScreener — это один из первых продуктов ГК «Солар», который развивался вместе с компанией и рынком кибербезопасности с 2015 года. Он прошел путь от первой идеи до зрелого решения, которое используют более 200 компаний — банков и IT-компаний, ритейлеров, энергетических, транспортных и логистических компаний.

В 2015 году «Солар» решил рискнуть и в условиях «кровавого океана» разработал российский AppSec-продукт для отечественных компаний, на русском языке, с понятными рекомендациями, четким анализом и наукоемкими технологиями «под капотом». И уже к 2017 году продукт вошел в перечень мировых решений для безопасной разработки от Gartner наряду с технологиями иностранных разработчиков.

Команда сделала ставку на практичность: первыми доступными сценариями стали бинарный анализ мобильных приложений и поддержка ключевых бэкенд-языков (Java, Scala, Kotlin). Спустя 10 лет развития продукт лидирует среди российских решений, поддерживая анализ кода, написанного на 36 языках программирования.

«Не женское это дело», «слишком сложно и серьезно», «это мужская отрасль», «девушки слишком эмоциональны и теряются в стрессовых ситуациях» — какие еще стереотипы о кибербезе вы знаете? Мы насчитали не меньше шести. Сегодня их опровергнут те, кто не просто украшают коллектив, а укрощают киберугрозы и помогают «Солару» укреплять ИБ-защиту страны.

Сегодня преодоление барьеров и создание равных возможностей — не просто социальная задача, а стратегический приоритет для многих компаний: они осознают ценность разнообразия команд и целенаправленно поддерживают карьерный рост женщин в ИТ и ИБ. В «Соларе» уже 30% коллектива — девушки, и их число с каждым годом растет. Все больше девушек успешно строят карьеру в «традиционно мужских» отраслях и не боятся ярко заявить о себе — доказывая, что талант и профессионализм не зависят от гендера.

Если у вас есть бизнес, то, скорее всего, у вас есть и продвигающий его сайт. Это визитная карточка любой компании. И это именно та цель, куда первым делом захотят ударить конкуренты или злоумышленники с помощью ботов. «Мой сайт — моя крепость», — так можно перефразировать известное выражение. А значит, надо обороняться.

Мы в «Соларе» решили, что бороться со стремительно растущими атаками поможет автоматический инструмент, выявляющий скрытые закономерности — искусственный интеллект. Так и родилась идея анализа «рукопожатия клиента» с помощью алгоритмов машинного обучения. Мы прекрасно понимали, что сигнатурный анализ работает, ведь он не раз помогал отбивать DDoS-атаки. Поэтому не сомневались, что удастся создать такую модель.

Всем привет! За последние несколько лет число кибератак кратно выросло — это создало необходимость в новых подходах к кибербезопасности. Одним из них стала эшелонированная защита — ряд СЗИ, работающих на разных сетевых уровнях, но выполняющих одну задачу по защите ресурсов. Сегодня мы расскажем об агрегации логов различных СЗИ — задаче, которая возникла как следствие внедрения эшелонирования.

В этой статье мы поделимся, как построили универсальную систему для хранения логов с различных СЗИ с возможностью как ретроспективного, так и моментального анализа событий «в одном окне» с помощью open source-решения (и объясним, почему это безопасно).

Не доверяй и проверяй: как PAM-системы работают в архитектуре Zero Trust

По данным «Солара», в 2026 году продолжится рост кибератак на привилегированные учетные записи. Скомпрометировав их, злоумышленники действуют внутри сети как легитимные администраторы. В таком случае традиционная модель «безопасного периметра» бессильна, потому что она не видит угроз изнутри. Поэтому организации начинают переходить к архитектуре нулевого доверия – Zero Trust – и внедряют PAM-системы. О том, как устроена эта связка и почему без PAM Zero Trust остаётся лишь теорией, рассказывает Антон Залесский, бизнес-архитектор группы развития продуктов по управлению доступом ГК «Солар».

Идеальная модель инсайдерской угрозы формируется при совпадении трех ключевых факторов: доступ к критически важной информации, отсутствие эффективного контроля за её использованием и личная заинтересованность сотрудника. История, которой поделился Виталий Петросян, эксперт группы анализа и методологии защиты данных ГК «Солар», – это наглядная иллюстрация такого «идеального шторма» в одной из фармацевтических компаний. Кейс актуален для бизнеса любой отрасли и любого масштаба.

Здесь вы найдете не просто отчёт об инциденте, а детальный разбор того, как уязвимости в процессах (от найма до контроля) превращают бизнес в лёгкую добычу для внутренних нарушителей. Главный вывод по итогам этого расследования касается в первую очередь не технологий, а корпоративной культуры управления рисками.

В юридической практике понятия «инсайдерская информация» и «инсайдер» обычно понимаются гораздо шире, чем это определено в Федеральном законе от 27.07.2010 № 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации». Они относятся к компаниям любых форм собственности и отраслей.

          В современной экономике «инсайдерская информация» – это любая точная и конкретная информация, которая не была распространена или вовсе не подлежит распространению (например, коммерческая или банковская тайна, персональные данные клиента и др).  «Инсайдер» – физическое лицо, имеющее доступ к инсайдерской информации на основании трудовых и (или) гражданско-правовых договоров.

18 ноября 2025 года в 11:20 UTC в сети Cloudflare начались серьезные сбои в процессах доставки сетевого трафика. Пользователи по всему миру, пытаясь получить доступ к сайтам, использующим эту платформу, получали сообщение о сбое в сети Cloudflare.

Из-за этого сбоя пропал доступ ко множеству ресурсов, таких как Indeed, Uber, Canva, Spotify, соцсетям и к ChatGPT тоже. Несмотря на всю масштабность инцидента, через пару недель он уже сошел с первых полос и почти канул в прошлое… Однако в начале декабря Cloudflare снова оказался в центре внимания — и, кажется, по тем же причинам. Снова были зафиксированы массовые перебои в работе интернет‑ресурсов, компания официально задекларировала «внутреннюю деградацию сервисов».  К слову, «лежал» и сам DownDetector, служащий для отслеживания сбоев.

Сбои происходили по всему миру. Правда, в России, где использование данного сервиса не рекомендовано, число жалоб на порядок ниже среднемирового: по данным издания «Коммерсант», на сбои в работе платформы пожаловались 384 пользователя из России, в Британии – 5,5 тысяч пользователей, в Нидерландах — 3 тысячи, в США и Германии — по 2 тысячи, во Франции — 1,6 тысячи.

Два случая — уже тенденция, поэтому и сегодня, спустя некоторое время после инцидентов, эта тема достойна обсуждения. Тем более, что она наглядно иллюстрирует ответ на вопрос: «Да зачем она вообще нужна, эта ваша “безопасная разработка”?», — который, к сожалению, все еще актуален. Представляю вашему вниманию небольшой анализ причин сбоев на основе сообщений Cloudflare.

Сегодня иллюзия защищённости может стоить очень дорого, тем не менее, все еще остаются компании, которые считают, что достаточно подключить централизованные средства защиты и это обеспечит им полную безопасность. К сожалению, это уже давно не так. Атаки становятся всё более изощрёнными, и для их обнаружения требуются не только мощные инструменты, но и грамотно выстроенные процессы, в том числе в части взаимодействия с провайдером кибербезопасности.

Как наладить это взаимодействие? Почему мониторинг без обратной связи недостаточен? И что делать, если вам удалось отразить атаку, но вы понимаете, что это только начало? В этой статье мы разберём ключевые аспекты эффективной работы с провайдером, которые помогут вам избежать распространённых ошибок и сделать кибербезопасность реальным инструментом борьбы с угрозами.

Сегодня трудно представить себе жизнь без интернета. Каждый день люди открывают браузер для того, чтобы почитать новости, узнать прогноз погоды, послушать музыку, посмотреть кино и пообщаться с друзьями. Серфинг в Интернете может быть как целенаправленным поиском нужной информации, так и беспорядочным «блужданием» по ссылкам и сайтам.

Количество веб-сайтов во всемирной паутине ежедневно растет: как сообщает портал Siteefy, во всемирной паутине насчитывается более 1,1 млрд веб-сайтов, и их число продолжает ежедневно расти. По данным Mediascope, 86% россиян пользуются интернетом, проводя в нём в среднем около 4,5 часов в день, причём 51% этого времени приходится на социальные сети. При этом в корпоративной среде повседневной рутиной стал активный обмен информацией с помощью веб-приложений, корпоративных мессенджеров, использование бизнес-приложений для рабочих активностей. Зачастую «личные» привычки пользователей переносятся и в корпоративную среду, и беспорядочный серфинг или общение в социальных сетях влияют на рабочую деятельность и продуктивность сотрудников, а так же на безопасность корпоративных информационных систем.

Для обеспечения защиты от вредоносных ресурсов и контроля продуктивности рабочего времени существует механизм категоризации веб-ресурсов, использующийся в решениях кибербезопасности класса SWG (Secure Web Gateway). Эти решения обеспечивают управление доступом к веб-ресурсам, фильтрацию контента по категориям, блокировку угроз, контроль загрузки и передачи данных. Они учитывают роли сотрудников, их график работы и задачи, не мешая бизнес-процессам и не создавая избыточной нагрузки на администраторов.