Кибербезопасность — стремительно развивающаяся сфера. Она меняется с той же скоростью, что и сами цифровые технологии. Ежедневно появляются новые угрозы, а вслед за ними и методы защиты, технологии, которые определяют будущее индустрии.

Понимание текущих и грядущих трендов отрасли на уровне отдельной страны и мира дает возможность спрогнозировать возможные риски, своевременно внедрить необходимые меры, выявить слабые места и подготовиться к атакам, а также обеспечить адекватную защиту новым инициативам бизнеса. В условиях постоянно трансформирующегося ландшафта киберугроз, пристальное отслеживание трендов становится ключом к обеспечению надежной защиты.

Всем привет! В 2024 году веб-атаки оставались одной из главных угроз для онлайн-ресурсов российских организаций. И под ударом находились уже не только основные сайты организаций. В этой серии постов мы расскажем, как изменилось число веб-атак на сайты отечественного бизнеса за последний год, какие ресурсы являются главной целью хакеров и какие методики актуальны сегодня.

Для отчета мы проанализировали информацию о веб-атаках на 132 российские организации, отраженных сервисом WAF ГК «Солар» с января по декабрь 2024 года. Среди атакуемых компаний - госсектор, ИТ, почтовые сервисы, ритейл, банки, промышленность, телеком и другие.

Привет! Мы — Александра Маслова и Александр Евтушенко — аналитики группы проектирования пользовательского опыта Solar Dozor ГК «Солар».

В продукте мы отвечаем за создание логики работы пользователя с интерфейсом, для чего исследуем путь пользователя и продумываем паттерны поведения системы. Задача весьма амбициозна, т.к. находится на стыке нескольких сфер деятельности — дизайна, аналитики, информационной безопасности и веб-разработки. Каждый релиз бизнес-аналитики ищут новые пути для развития DLP, а мы помогаем им в воплощении их идей и «приземлении» в продукт. Наши клиенты — «стражи в белых шляпах» — сотрудники отделов информационной безопасности крупных и средних коммерческих и государственных организаций.

Теперь о главном: в версии Solar Dozor 8.0 появилась новая функция — универсальный 4D плеер. Он избавляет офицеров ИБ от необходимости собирать данные об активности сотрудников в разных зонах интерфейса и записывать результаты поиска отдельно. Теперь все эти задачи можно решать в единой «информационной комнате». Плеер 4D собирает всю информацию о действиях пользователя: события и инциденты, сообщения, медиаданные — снимки и записи экрана, аудиозаписи с микрофона рабочей станции — и отображает их в хронологическом порядке на временном графике.

В этой статье мы поделимся подробностями о том, как появилась эта функция и как мы спроектировали интерфейс для неё. Всё началось с информационной архитектуры…

Привет, меня зовут Павел Фролов aka @CyberFrollo
Я возглавляю отдел разработки департамента «Киберполигон» в ГК «Солар». Наша команда разрабатывает платформу для проведения кибертренировок Solar CyberMir. В январе 2025 года вышла новая версия Solar CyberMir 7.0, и в этой статье я расскажу о главной фиче — движке Solar Quest, который построен на теории графов. На примере квеста из вселенной «Игры престолов» вы увидите, как Solar Quest позволяет проводить образовательные мероприятия и повышать уровень кибербезопасности в компании.

Всем привет!
Меня зовут Глеб Санин, аналитик данных R&D-лаборатории Центра технологий кибербезопасности ГК «Солар». В этой статье я попробовал разобраться, поможет ли ИИ в решении заданий на CTF-турнирах и с какими ограничениями можно столкнуться в моменте.

О будущем использовании ИИ в CTF, как улучшить взаимодействие человека и «машины» и об этике использования ChatGPT подискутируем в комментариях.

В настоящий момент фаззинг-тестирование входит в число обязательных практик для достижения определенного уровня зрелости в процессе безопасной разработки ПО. Именно оно позволяет выявить уязвимости и недостатки, которые сложнее или вообще невозможно обнаружить другими техниками.

С момента появления этой технологии прошло уже порядка сорока лет. Есть и масса эффективных инструментов фаззинг-тестирования, и написаны тысячи строк, популяризирующих его. Однако в процессе внедрения значительные затруднения вызывает зачастую не столько техническая сторона вопроса, сколько решение двух ключевых задач:

1. Как эффективно донести информацию о пользе фаззинга до людей, которым предстоит этим заниматься?

2. Как не превратить фаззинг в пустую формальность?

С этими двумя проблемами мне довелось столкнуться на практике, и эту статью я посвящу изложению личного опыта их решения.

В статье «Reign of king: тактики и инструментарий группировки Obstinate Mogwai» от Центра исследования киберугроз Solar 4Rays есть интересный кейс атаки через подрядчика. Важную роль в этом сыграла PAM-система Solar SafeInspect, установленная у заказчика.

Изначально, системы класса Priviliged Access Management (PAM) создавались для контроля за действиями пользователей с расширенными правами. Со временем стало ясно, помогают расследовать атаки типа Trusted Relationship (доверительные отношения) и инциденты, вызванные действиями сотрудников и инсайдеров.  Например, в 2024 году «точкой входа» для 8% успешных кибератак стали именно подрядчики.

Поэтому аудиторы, сотрудники провайдеров, подрядчиков, обслуживающих IT-системы, требуют такого же внимания, как и привилегированные пользователи. Для соблюдения требований безопасности им нельзя предоставлять такие же права, как обычным сотрудникам, но PAM-система помогает держать их в поле зрения.  В этом материале подробно расскажем о кейсе и роли PAM-системы в противоборстве с хакерами.

Постоянный рост объема информации в интернете и развитие технологий приводят к появлению новых методов взлома и росту числа киберугроз. Основные алгоритмы шифрования, такие как RSA и AES, при увеличении объема данных требуют сложного управления ключами, что создает дополнительные сложности в их использовании. Чтобы избежать трудностей, необходимо сформировать новые методы защиты данных. Тут на помощь приходят квантовая криптография и ИИ. В этой статье мы расскажем про возможные квантовые методы защиты данных и объясним, почему без них невозможен кибербез будущего.

Кибербитва — это ежегодное соревнование, которое проходит в рамках одного из крупнейших ИБ-мероприятий в России — SOC Forum 2024.

В формате Red vs. Blue приняли участие по 20 команд "красных" и "синих". На стороне атакующих выступили эксперты по кибербезопасности из направлений пентеста, вирусной аналитики и AppSec-инженеры. На стороне защитников были 20 команд ИБ-специалистов из госсектора, финтех-сервисов и банков, IT-команд в составе маркетплейсов, промышленных, логистических, нефтегазовых, энергетических и ИБ-компаний.

Итак, сразу озвучим победителей, а дальше расскажем, как мы готовились к Кибербитве, как болели за участников и почему фавориты неожиданно уступили на последних метрах марсианской дистанции.

По данным центра мониторинга внешних цифровых угроз ГК «Солар», за 2023 год в публичный доступ попали данные почти 400 российских организаций. Это означает, что в прошлом году каждый день в России происходила как минимум одна утечка данных. Основной массив утекших данных – это архивы внутренней документации, в том числе сканы документов, дампы (снимки) памяти систем, информация с компьютеров отдельных пользователей, исходный код программных продуктов.

На теневых ресурсах постоянно появляются предложения о продаже подобных данных, причем объем растет от года к году. Так, по данным другого исследования ГК «Солар», в 2023 году число подобных объявлений выросло в сравнении с 2022 годом на 42%, а за первые месяцы 2024 года в даркнет утекли данные 170 компаний — 40% от всего числа инцидентов за 2023 год. Взрывной рост угроз явно подчеркивает важность контроля над корпоративными хранилищами.

В этой статье Дмитрий Богомолов, архитектор из команды Центра технологий кибербезопасности ГК "Солар", рассказывает, как системы класса DAG/DCAP помогают организациям взять данные под контроль и оптимизировать работу систем централизованного хранения информации.

Людмила Севастьянова, менеджер по развитию продуктового портфеля управления доступом, поделилась статьей о том, зачем нужна аттестация прав сотрудников и почему ее нужно проводить регулярно, и почему она крайне важна для финансового сектора.

И небольшой спойлер - в тексте есть несколько "пасхалок", если найдете, пишите в комментариях.

В конце сентября 2024 года компания Netflix анонсировала выпуск нового, седьмого сезона фантастического сериала Black Mirror. Эта антология посвящена мрачным прогнозам на ближайшее будущее, предупреждая зрителей о последствиях непредсказуемого развития технологий. Первые серии Black Mirror вышли в 2011 году, и за это время некоторые сюжеты сериала пугающе приблизились к реальности.

Полина Сокол, старший аналитик данных R&D‑лаборатории Центра технологий кибербезопасности ГК «Солар», специально для Techinsider, а теперь и для Habr, собрала несколько примеров развития искусственного интеллекта (ИИ), которые уже существуют в нашей жизни или в скором времени могут стать реальностью.

Всем привет! В блоге центра исследования киберугроз Solar 4RAYS мы продолжаем делиться результатами расследований инцидентов, полезными инструментами для ИБ-специалистов и другими практическими материалами, часть которых мы размещаем и здесь.

Сегодняшняя статья от специалистов нашего отдела анализа защищенности «Солара» посвящена разработанному ими ПО для поиска и верификации уязвимостей.

Нам в отделе анализа защищенности довольно часто приходится искать и эксплуатировать уязвимости, которые, на первый взгляд, сложно выявить. Например, практически ни один проект не обходится без Blind-SSRF или Out-Of-Bound XXE, встречаются даже Blind-RCE. В этом материале мы расскажем о инструменте, который поможет пентестерам значительно упростить обнаружение разного типа уязвимостей. Но обо всем по порядку.

Solar NGFW вышел на рынок в 2023 году, а в первой половине 2024 ГК «Солар» представила решение в программно‑аппаратном исполнении. Разработка продукта такого уровня — это сложный и многокомпонентный процесс, который требует вовлечения множества специалистов самых различных областей компетенций. А значит, помимо технологических и организационных аспектов, необходимо учитывать и человеческий фактор — наем, обучение и удержание персонала. Альберт Маннанов, руководитель продукта Solar NGFW, рассказал о вызовах формирования и развития команды, а также о том, как с ними справляются в ГК «Солар».

Полина Сокол, старший аналитик данных R&D-лаборатории Центра технологий кибербезопасности ГК «Солар», подготовила материал о методах работы с данными и ML-моделями.

Это направление исследований позволяет на выходе обеспечить требования к прозрачности, ответственности и рискам, связанных с искусственным интеллектом. И его невозможно игнорировать при использовать ML в продуктах, предназначенных для защиты от целенаправленных атак, которые и сами могут стать одной из целей атакующих − EDR, NTA, XDR, SIEM и другие классы решений.

Громкие скандалы в сфере кибербезопасности, в которых виновными были признаны сотрудники крупных компаний и госструктур, стали одной из главных тем последних трех лет. От утечек конфиденциальных данных до масштабных хакерских атак - во многих инцидентах ключевую роль сыграли инсайдеры, использовавшие свои служебные полномочия для нанесения вреда работодателям. Виновные найдены и наказаны, дело закрыто. Но так ли однозначно в этих делах обстоит вопрос вины? Можно ли найти закономерности в этих историях?

Действительно, статистика впечатляет: начиная от скандала с Anthem Inc., где 78 млн личных данных клиентов были похищены сотрудником IT-отдела, и заканчивая взломом систем российских органов власти, − во всех этих историях фигурируют виновные инсайдеры, приговоренные к внушительным срокам заключения.

Но при расследовании подобных дел нередко упускается из виду целый ряд факторов, которые могли повлиять на поведение сотрудника и в итоге спровоцировать его на противоправные действия. И, что самое главное, эти факторы, как правило, кроются внутри самих организаций: в их системах найма, контроля и мотивации персонала.

Станислав Карпович, заместитель директора департамента "Киберполигон" по развитию бизнеса, в новом материале постарался развеять несколько мифов о человеческом факторе в кибербезопасности.

Требования к функциональности IdM-решений растут вслед за ожиданиями и новыми сценариями по управлению доступом в компаниях. Наряду с базовыми опциями востребованными становятся возможности систем для расследования инцидентов, информативность интерфейса, повышенная скорость работы. На российских вендоров также большое влияние оказывает планка, заданная иностранными поставщиками IGA/IdM-решений, и рост цифровой зрелости российских заказчиков, которым необходимо системное управление доступом.

В этом материале Мария Конорева, ведущий аналитик отдела управления доступом к информационным системам, рассказывает о новой функции в Solar inRights, которая позволяет эффективно построить гибкую ролевую модель и оптимизировать затраты на выполнение рутинных заявок для назначения прав доступа.

Всем привет! Активно развивающийся тренд на импортозамещение привел к разработке большого количества разнообразных отечественных СЗИ и ОС, которые мы нередко встречаем в ходе мониторинга ИБ-событий в инфраструктурах наших заказчиков. При работе со средствами защиты и операционными системами появляются интересные аномалии и особенности – о самых интересных из них мы расскажем в этом материале.

Всем привет! Надеемся, вы уже знаете, что у центра исследования киберугроз Solar 4RAYS есть собственный блог. В нем мы делимся исследованиями различных APT-группировок, подробно рассказываем о расследованиях и делимся индикаторами компрометации. В этом материале мы решили рассказать, с чего, как правило, начинаются наши расследования — по каким признакам определяем, что в инфраструктуру заказчика попали профессиональные хакеры и как ищем следы их атак. Также мы расскажем, какие уловки хакеры применяют для маскировки своих атак и как в этом случае компаниям защититься от злоумышленников.

Привет! Мы в «Соларе» накопили достаточно компетенций, чтобы делиться ими не только со стажерами, но и с сотрудниками компаний-заказчиков. Нередко у заказчика после инсталляции СЗИ возникает потребность в их грамотном внедрении в рабочие процессы, поддержке в актуальном состоянии, а кроме того, необходимо налаживать взаимодействие сотрудников как внутри самого SOC, так и со смежными подразделениями. Помимо этого, даже продвинутые ИБ-команды заказчика нуждаются в «переопылении» на образовательных мероприятиях, чтобы они продолжали своевременно и корректно реагировать на кибератаки, а работа не превращалась в рутину с монотонным закрытием тикетов.

Все эти задачи мы решаем за счет качественного обучения персонала заказчика. В последней части нашего цикла статей мы расскажем, как оно устроено.