Для чего нам искать эксплойты? Это помогает защититься от потенциальных атак: чем раньше найдешь и разберёшься, как он работает, тем быстрее напишешь детектирующие логики на различные средства защиты информации, например: WAF, IDS. А они уже, в свою очередь, защитят компанию от возможных атак. Как говорится, предупреждён – значит, вооружён. Особенно важно отслеживать уязвимости в open-source-продуктах, используемых в инфраструктуре (таких в России сейчас много), так как их код является открытым для анализа и поиска уязвимостей, и множество энтузиастов практической безопасности ежедневно занимаются именно этим. В этой статье мы разберем, как и где искать эксплойты и какие подводные камни могут встретиться на этом пути. Если вы только начинаете карьеру специалиста по корпоративной защите, то статья будет полезной!

За 2025 год Центр противодействия кибератакам Solar JSOC выявил 1,16 млн событий информационной безопасности у примерно 300 организаций из ключевых отраслей экономики. Второе место среди типов инцидентов занимают попытки несанкционированного доступа – на них пришлось 23% случаев: злоумышленники активно подбирают пароли и эксплуатируют уязвимости систем аутентификации. Особую опасность представляет компрометация привилегированных учетных записей. По данным ГК «Солар», в 2025 году почти треть кибератак совершается через подрядчиков, которые получают легитимный доступ к критическим системам.

Когда злоумышленник или подрядчик действует под учётной записью сотрудника с повышенными правами, обычные средства защиты периметра его не видят – формально это администратор, выполняющий штатные операции. Единственный способ разобраться, что именно происходило внутри сессии, – иметь её запись. Поэтому системы класса PAM (Privileged Access Management) записывают действия привилегированных пользователей, а регуляторы всё чаще требуют хранить такие записи.

Дальше начинается инженерная развилка. Записывать сессию можно как видео экрана, а можно – как структурированные метаданные: сырые данные протокола. Первый путь даёт привычную «картинку», но требует терабайтов хранилища и плохо ищется. Второй занимает минимум места и мгновенно ищется по командам, но требует другой архитектуры и имеет ограничения для чисто графических интерфейсов (например, сложнее восстановить визуальный контекст, если пользователь не вводил команды). В Solar SafeInspect реализован второй подход. Вместе с бизнес-архитектором ГК «Солар» Антоном Залесским разбираемся, как это устроено и почему формат хранения напрямую влияет на скорость расследования и соответствие требованиям регуляторов.

Слабые пароли, избыточные права подрядчиков, сервисные учетки без ротации − все это типичные уязвимости внутренних сетей. По данным DSEC (входит в ГК «Солар»), в 87% проектов по внутреннему тестированию в 2025 году были достигнуты поставленных целей − получен контроль над доменом, получен доступ к персональным данным, скомпрометированы средства защиты информации и получен доступ к системе резервного копирования и базам данных. Главные проблемы внутренних сетей − слабые пароли (53% проектов) и устаревшее ПО (42%). А по данным Solar 4RAYS, атаки через подрядчиков остаются устойчивым трендом и в 2026 году. PAM-система−один из ключевых инструментов, способных разорвать эту цепочку. Классическая архитектура PAM подразумевает работу через выделенный бастион-сервер или прокси-сервер (промежуточный узел, через который проходит весь трафик администратора). Пользователь понимает, что его соединения явно проксируются, а значит, технически может попытаться установить прямое соединение с целевым сервером, минуя контроль. В этом материале разбираем вместе с Дмитрием Федоровым, пресейл-аналитиком Solar SafeInspect ГК «Солар», как прозрачные режимы работы PAM-системы Solar SafeInspect на уровнях L2 и L3 решают эту проблему.

Что такое «прозрачный режим» и почему с этим термином путаница

На российском рынке PAM-систем нет единого понимания того, что стоит за словами «прозрачный режим». Как поясняет эксперт «Солара», терминологическая путаница – это не проблема, а скорее особенность рынка.

Часть вендоров называет так доступ через портал с SSO, мотивируя это тем, что пользователь не вводит пароли вручную. Другие подразумевают работу на сетевом уровне, когда PAM-система полностью скрыта от пользователя.

Хотим рассказать, как провели обучение для наших техлидов: нужно было дополнить их инженерные компетенции базовыми навыками управления, чтобы эффективней выстраивать комплексную кибербезопасность на крупных интеграционных проектах.

Программу придумали сами, опираясь на реальный опыт и процессы, а обучение провел не теоретик, а практикующий специалист. Собрали обратную связь, сделали выводы и готовы поделиться с хабром нашим видением, как и чему надо обучать техлидов, чтобы процесс реализации проекта шел качественней, заказчик не был в печали, а команда была «на изи».

Расследование инцидентов — это критически важный подпроцесс управления инцидентами информационной безопасности, направленный на выявление первичного вектора компрометации, минимизацию ущерба и предотвращение подобных инцидентов в будущем. Эффективность расследования зависит от трех ключевых факторов: компетентности команды реагирования, наличия инструментов для анализа и сбора данных, а также согласованности процессов информационной безопасности организации-заказчика в целом.

Последний фактор оказывает существенное влияние на ход расследования, включая точность, полноту и достоверность итоговых результатов расследования. В частности, отсутствие налаженных ИБ-процессов может привести к изменению ключевых артефактов, затруднить идентификацию источника проникновения и снизить вероятность обнаружения новых индикаторов компрометации (IOCs).

На протяжении множества расследований команда Solar 4RAYS сталкивалась с такими «препятствиями». Проанализировав их, мы решили описать проблемы, возникающие в том или ином ИБ-процессе, которые негативно влияют на расследование инцидента.

Почти половина айтишников — 46 процентов — целенаправленно развивают личный бренд, из них 51% делает это через социальные сети и блоги. Это данные совместного исследования «Солара» и Хабра. Чаще всего в этом контексте говорят об авторах: блог помогает им структурировать опыт и усиливает профессиональную репутацию.  

Но блоги работают и с другой стороны. Сегодня чтение профессиональных каналов — один из инструментов в актуальной для ИТ и ИБ отрасли концепции непрерывного обучения (lifelong learning). Этот подход диктует скорость изменений в отрасли, в частности, под влиянием ИИ. Регулярно меняются инструменты хакеров, появляются новые сигнатуры и цепочки Kill Chain, и те знания кибербезопасника, которые вчера были актуальны, сегодня уже устарели. 

Профессиональная литература в форме новых медиа — соцсетей и блогов — это один из быстрых способов держать контекст. Специалисты обращаются к ним, чтобы читать разборы свежих уязвимостей, тактик и инструментов злоумышленников. По уровню доверия блоги опережают традиционные сми: их пишут практикующие эксперты, фокусируясь на технических деталях без маркетинговой «воды», а авторы говорят на одном языке с читателями.  

Но как у любого инструмента, у этого метода профессионального развития есть ограничения. Многообразие источников может приводить к перегрузу информацией и потере фокуса. Перед специалистом встает задача самостоятельно формировать свое инфополе, ограничивая подписки несколькими качественными блогами в зависимости от их авторитетности и прикладной пользы.

В конце нулевых кибербезопасность казалась довольно простым делом: антивирус на конечной точке, файервол на периметре и пентест раз в год. Тогда мало кто мог представить, что хакеры будут подолгу сидеть внутри сетей, маскируясь под легитимные действия, а количество атак на критическую инфраструктуру превысит все мыслимые пределы.

Идея создать коммерческий центр мониторинга угроз зародилась в 2009 году — как предчувствие растущей сложности атак. К апрелю 2012-го она оформилась в конкретный проект. Тогда и появился JSOC как Jet Security Operations Center — проект компании «Инфосистем Джет», то есть еще до основания самого «Солара». Позже он превратился в коммерческий SOC под брендом Solar, а буква «J» в названии сохранилась как дань истории.

Сегодня Solar JSOC — крупнейший коммерческий центр мониторинга и реагирования на кибератаки в России и входит в пятерку крупнейших провайдеров управляемых сервисов кибербезопасности в Европе. Ежедневно мы обрабатываем более 200 млрд ИБ-событий, защищая свыше 1500 заказчиков из госсектора, финансовой отрасли и бизнеса всех масштабов. Работа идет круглосуточно и без выходных. В этом материале расскажем о том, как возникла идея создания JSOC и как работают его специалисты.

Забытый бэкап в открытой папке, слабый пароль без двухфакторной аутентификации, сегментация без контроля обходных маршрутов — эти три ошибки делают взлом почти неизбежным. В 2025 году DSEC (команда пентестеров с 23-летним стажем, входит в ГК «Солар») провела 390 пентестов — и в 78% случаев внешний периметр был пробит. Фишинг достигал цели всегда: хотя бы один сотрудник взаимодействовал с письмом — а в 86% случаев вводил пароль или открывал вложение.

Но главное — эти сценарии уже реализованы в реальных атаках. Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» фиксируют те же векторы: злоумышленники годами живут в сетях, крадут данные или уничтожают инфраструктуру — все из-за таких простых ошибок. Как именно это происходит — разбираем на примерах.

Стопроцентной защиты не бывает: задавшийся целью и достаточно подкованный злоумышленник лазейку найдет. Вы можете годами жить с хакером в сети и не подозревать об этом, особенно если у компании не настроена эшелонированная защита на всех сегментах сети. Риск компрометации возрастает, если недавно ушли сотрудники с сохраненным привилегированным доступом к инфраструктуре или вы поглотили новую компанию (присоединили к своей сети или собираетесь это сделать).

Единственный способ узнать, не находится ли кто-то чужой в вашей сети прямо сейчас — Compromise Assessment (CA), или оценка компрометации. Для вашей инфраструктуры это то же, что для вас профилактический осмотр у стоматолога. Тот случай, когда не ждете острой боли, чтобы проверить, не завелся ли кариес. Однако CA не лечит и не ставит пломбы, но честно показывает, кто уже поселился в вашей сети и как давно. Если говорить прямо, CA собирает артефакты и ищет следы присутствия — те, что не видят, например, EDR и SIEM. А еще такая проверка покажет, побывали уже злоумышленники в вашей инфраструктуре раньше и успели ли замести следы. К тому же Compromise Assessment обычно проводится такими же методами, технологиями и людьми, которые  задействуются в полноценных расследованиях и реагировании на инциденты.

В этой статье мы разберем, в каких ситуациях Compromise Assessment необходим, чем он отличается от привычного пентеста, как правильно подготовиться к проверке и что делать с ее результатами, чтобы не допустить повторного взлома.

Всем привет, на связи Solar appScreener!
В этой статье расскажем о нашем опыте использования ИИ в нашем собственном продукте.

ИИ‑агенты уже стали неотъемлемой частью процесса разработки, это больше не мимолетный хайп, а новая реальность. По данным исследования Sonar (State of Code Developer Survey 2026, https://www.sonarsource.com/state‑of‑code‑developer‑survey‑report.pdf), 72% разработчиков, попробовавших использовать ИИ, стали использовать его ежедневно. А 42% всего написанного кода уже сгенерирован ИИ, или существенно им доработан. Какие‑то запредельные числа. Стоит признать, что мы живем в новой реальности, в которой вайбкодинг — это новый стиль программирования.

Выявить уязвимость до того, как ею воспользуются злоумышленники, разобраться в тонкостях безопасности информационных систем, освоить инструменты пентестеров под руководством опытных наставников — всё это можно попробовать на практике на стажировке в DSEC by Solar. Ждем ваши заявки до 10 мая!

Привычные средства защиты информации не способны отловить все без исключения угрозы. У каждого СЗИ есть слепые зоны: то, чего оно еще не видело или не умеет распознавать. Одно из решений данной проблемы — это использование фидов Threat Intelligence, которые в режиме 24/7 обогащают такие решения, как SIEM, NGFW, EDR, XDR и другие внешним контекстом — индикаторами компрометации, правилами детектирования и информацией о тактиках атакующих.

Но и здесь уже на этапе тестирования фидов неизменно возникает парадокс. Срабатывания при загруженных фидах означают, что в инфраструктуре есть хакеры.

Однако их отсутствие может говорить как о «чистоте» системы, так и о кажущейся бесполезности самих фидов. Как отличить одно от другого? И почему количество срабатываний — плохая метрика качества?

Ответы — в этой статье. Здесь мы разберем, какую роль фиды выполняют в защите от киберугроз, откуда берутся данные для них, почему открытых источников для получения фидов всегда недостаточно и зачем пользоваться потоками данных сразу от нескольких вендоров. Параллельно мы развенчаем три самых распространенных мифа о фидах, а самое главное — разберем, как их тестировать, чтобы пилот «полетел» как надо.

Всем привет!

На прошлой неделе мы узнали, что наша платформа для комплексной безопасности ПО Solar appScreener вошла в шорт-лист номинации «Продукт года» Tproger Awards. Премия новая, но от сообщества типичных программистов, поэтому их признание для нас очень ценно. Да, коллеги выбрали забавный символ премии — мышь (очень симпатичная). Но если добавить к этой истории немного купеческого символизма с берегов Волги, то сразу вспоминается классика из Мышкина: «Мышка поселись, денежка водись».

Шутки шутками, но эта премия помогла нам посмотреть на appScreener новым взглядом: почему же этот продукт стал одним из ключевых (денежных) в продуктовом портфеле «Солара»? А вот и ответ!

Solar appScreener — это один из первых продуктов ГК «Солар», который развивался вместе с компанией и рынком кибербезопасности с 2015 года. Он прошел путь от первой идеи до зрелого решения, которое используют более 200 компаний — банков и IT-компаний, ритейлеров, энергетических, транспортных и логистических компаний.

В 2015 году «Солар» решил рискнуть и в условиях «кровавого океана» разработал российский AppSec-продукт для отечественных компаний, на русском языке, с понятными рекомендациями, четким анализом и наукоемкими технологиями «под капотом». И уже к 2017 году продукт вошел в перечень мировых решений для безопасной разработки от Gartner наряду с технологиями иностранных разработчиков.

Команда сделала ставку на практичность: первыми доступными сценариями стали бинарный анализ мобильных приложений и поддержка ключевых бэкенд-языков (Java, Scala, Kotlin). Спустя 10 лет развития продукт лидирует среди российских решений, поддерживая анализ кода, написанного на 36 языках программирования.

«Не женское это дело», «слишком сложно и серьезно», «это мужская отрасль», «девушки слишком эмоциональны и теряются в стрессовых ситуациях» — какие еще стереотипы о кибербезе вы знаете? Мы насчитали не меньше шести. Сегодня их опровергнут те, кто не просто украшают коллектив, а укрощают киберугрозы и помогают «Солару» укреплять ИБ-защиту страны.

Сегодня преодоление барьеров и создание равных возможностей — не просто социальная задача, а стратегический приоритет для многих компаний: они осознают ценность разнообразия команд и целенаправленно поддерживают карьерный рост женщин в ИТ и ИБ. В «Соларе» уже 30% коллектива — девушки, и их число с каждым годом растет. Все больше девушек успешно строят карьеру в «традиционно мужских» отраслях и не боятся ярко заявить о себе — доказывая, что талант и профессионализм не зависят от гендера.

Если у вас есть бизнес, то, скорее всего, у вас есть и продвигающий его сайт. Это визитная карточка любой компании. И это именно та цель, куда первым делом захотят ударить конкуренты или злоумышленники с помощью ботов. «Мой сайт — моя крепость», — так можно перефразировать известное выражение. А значит, надо обороняться.

Мы в «Соларе» решили, что бороться со стремительно растущими атаками поможет автоматический инструмент, выявляющий скрытые закономерности — искусственный интеллект. Так и родилась идея анализа «рукопожатия клиента» с помощью алгоритмов машинного обучения. Мы прекрасно понимали, что сигнатурный анализ работает, ведь он не раз помогал отбивать DDoS-атаки. Поэтому не сомневались, что удастся создать такую модель.

Всем привет! За последние несколько лет число кибератак кратно выросло — это создало необходимость в новых подходах к кибербезопасности. Одним из них стала эшелонированная защита — ряд СЗИ, работающих на разных сетевых уровнях, но выполняющих одну задачу по защите ресурсов. Сегодня мы расскажем об агрегации логов различных СЗИ — задаче, которая возникла как следствие внедрения эшелонирования.

В этой статье мы поделимся, как построили универсальную систему для хранения логов с различных СЗИ с возможностью как ретроспективного, так и моментального анализа событий «в одном окне» с помощью open source-решения (и объясним, почему это безопасно).

Не доверяй и проверяй: как PAM-системы работают в архитектуре Zero Trust

По данным «Солара», в 2026 году продолжится рост кибератак на привилегированные учетные записи. Скомпрометировав их, злоумышленники действуют внутри сети как легитимные администраторы. В таком случае традиционная модель «безопасного периметра» бессильна, потому что она не видит угроз изнутри. Поэтому организации начинают переходить к архитектуре нулевого доверия – Zero Trust – и внедряют PAM-системы. О том, как устроена эта связка и почему без PAM Zero Trust остаётся лишь теорией, рассказывает Антон Залесский, бизнес-архитектор группы развития продуктов по управлению доступом ГК «Солар».

18 ноября 2025 года в 11:20 UTC в сети Cloudflare начались серьезные сбои в процессах доставки сетевого трафика. Пользователи по всему миру, пытаясь получить доступ к сайтам, использующим эту платформу, получали сообщение о сбое в сети Cloudflare.

Из-за этого сбоя пропал доступ ко множеству ресурсов, таких как Indeed, Uber, Canva, Spotify, соцсетям и к ChatGPT тоже. Несмотря на всю масштабность инцидента, через пару недель он уже сошел с первых полос и почти канул в прошлое… Однако в начале декабря Cloudflare снова оказался в центре внимания — и, кажется, по тем же причинам. Снова были зафиксированы массовые перебои в работе интернет‑ресурсов, компания официально задекларировала «внутреннюю деградацию сервисов».  К слову, «лежал» и сам DownDetector, служащий для отслеживания сбоев.

Сбои происходили по всему миру. Правда, в России, где использование данного сервиса не рекомендовано, число жалоб на порядок ниже среднемирового: по данным издания «Коммерсант», на сбои в работе платформы пожаловались 384 пользователя из России, в Британии – 5,5 тысяч пользователей, в Нидерландах — 3 тысячи, в США и Германии — по 2 тысячи, во Франции — 1,6 тысячи.

Два случая — уже тенденция, поэтому и сегодня, спустя некоторое время после инцидентов, эта тема достойна обсуждения. Тем более, что она наглядно иллюстрирует ответ на вопрос: «Да зачем она вообще нужна, эта ваша “безопасная разработка”?», — который, к сожалению, все еще актуален. Представляю вашему вниманию небольшой анализ причин сбоев на основе сообщений Cloudflare.

Сегодня иллюзия защищённости может стоить очень дорого, тем не менее, все еще остаются компании, которые считают, что достаточно подключить централизованные средства защиты и это обеспечит им полную безопасность. К сожалению, это уже давно не так. Атаки становятся всё более изощрёнными, и для их обнаружения требуются не только мощные инструменты, но и грамотно выстроенные процессы, в том числе в части взаимодействия с провайдером кибербезопасности.

Как наладить это взаимодействие? Почему мониторинг без обратной связи недостаточен? И что делать, если вам удалось отразить атаку, но вы понимаете, что это только начало? В этой статье мы разберём ключевые аспекты эффективной работы с провайдером, которые помогут вам избежать распространённых ошибок и сделать кибербезопасность реальным инструментом борьбы с угрозами.

На SOC Forum одной из самых горячих дискуссий стала тема, которая ещё пять лет назад казалась нишевой, а сегодня напрямую влияет на устойчивость критической инфраструктуры: создание доверенных репозиториев ПО.

В дискуссии приняли участие: Федор Герасимов, лидер сообщества FinDevSecOps, эксперты финансового сектора − Максим Кожокарь (Банк России), Всеслав Соленик (Сбертех), а также Антон Прокофьев (ГК «Солар»), Юлия Липатникова (Cloud.ru) и Николай Костригин (Базальт СПО).

Полную запись дискуссии можно посмотреть здесь (Программа 18 ноября, Зал 3, 16.00).

В этом материале приводим самые интересные цитаты экспертов сессии и их рекомендации.