Кибербезопасность — стремительно развивающаяся сфера. Она меняется с той же скоростью, что и сами цифровые технологии. Ежедневно появляются новые угрозы, а вслед за ними и методы защиты, технологии, которые определяют будущее индустрии.

Понимание текущих и грядущих трендов отрасли на уровне отдельной страны и мира дает возможность спрогнозировать возможные риски, своевременно внедрить необходимые меры, выявить слабые места и подготовиться к атакам, а также обеспечить адекватную защиту новым инициативам бизнеса. В условиях постоянно трансформирующегося ландшафта киберугроз, пристальное отслеживание трендов становится ключом к обеспечению надежной защиты.

Всем привет! В 2024 году веб-атаки оставались одной из главных угроз для онлайн-ресурсов российских организаций. И под ударом находились уже не только основные сайты организаций. В этой серии постов мы расскажем, как изменилось число веб-атак на сайты отечественного бизнеса за последний год, какие ресурсы являются главной целью хакеров и какие методики актуальны сегодня.

Для отчета мы проанализировали информацию о веб-атаках на 132 российские организации, отраженных сервисом WAF ГК «Солар» с января по декабрь 2024 года. Среди атакуемых компаний - госсектор, ИТ, почтовые сервисы, ритейл, банки, промышленность, телеком и другие.

Привет! Мы — Александра Маслова и Александр Евтушенко — аналитики группы проектирования пользовательского опыта Solar Dozor ГК «Солар».

В продукте мы отвечаем за создание логики работы пользователя с интерфейсом, для чего исследуем путь пользователя и продумываем паттерны поведения системы. Задача весьма амбициозна, т.к. находится на стыке нескольких сфер деятельности — дизайна, аналитики, информационной безопасности и веб-разработки. Каждый релиз бизнес-аналитики ищут новые пути для развития DLP, а мы помогаем им в воплощении их идей и «приземлении» в продукт. Наши клиенты — «стражи в белых шляпах» — сотрудники отделов информационной безопасности крупных и средних коммерческих и государственных организаций.

Теперь о главном: в версии Solar Dozor 8.0 появилась новая функция — универсальный 4D плеер. Он избавляет офицеров ИБ от необходимости собирать данные об активности сотрудников в разных зонах интерфейса и записывать результаты поиска отдельно. Теперь все эти задачи можно решать в единой «информационной комнате». Плеер 4D собирает всю информацию о действиях пользователя: события и инциденты, сообщения, медиаданные — снимки и записи экрана, аудиозаписи с микрофона рабочей станции — и отображает их в хронологическом порядке на временном графике.

В этой статье мы поделимся подробностями о том, как появилась эта функция и как мы спроектировали интерфейс для неё. Всё началось с информационной архитектуры…

В этой статье мы поговорим о важном аспекте тестирования, с которым столкнулись в работе над одним из наших продуктов — шлюзом веб-безопасности Solar WebProxy (Secure Web Gateway, SWG). Эта система защиты, которую еще называют веб-прокси, контролирует передачу данных между сотрудниками, внутренними ресурсами организации-клиента и интернет-ресурсами.

Одна из ключевых задач при разработке такого продукта — это сайзинг, или подбор железа. Клиенты, как правило, не знают, какой профиль трафика у них планируется в зоне ответственности нашего продукта. Даже если бы такая информация у них была, сопоставить результаты синтетических нагрузочных тестов с реальностью крайне сложно и для реальных подсчетов они не подходят. В результате после запуска решения в эксплуатацию компания может столкнуться с нехваткой ресурсов или, напротив, с их простоем.

Чтобы решить эту проблему при создании Solar webProxy, мы разработали собственный калькулятор производительности, который дает нам и заказчику реальное представление о ресурсах, необходимых для эффективной работы нашего веб-прокси.

Привет, меня зовут Павел Фролов aka @CyberFrollo
Я возглавляю отдел разработки департамента «Киберполигон» в ГК «Солар». Наша команда разрабатывает платформу для проведения кибертренировок Solar CyberMir. В январе 2025 года вышла новая версия Solar CyberMir 7.0, и в этой статье я расскажу о главной фиче — движке Solar Quest, который построен на теории графов. На примере квеста из вселенной «Игры престолов» вы увидите, как Solar Quest позволяет проводить образовательные мероприятия и повышать уровень кибербезопасности в компании.

Всем привет!
Меня зовут Глеб Санин, аналитик данных R&D-лаборатории Центра технологий кибербезопасности ГК «Солар». В этой статье я попробовал разобраться, поможет ли ИИ в решении заданий на CTF-турнирах и с какими ограничениями можно столкнуться в моменте.

О будущем использовании ИИ в CTF, как улучшить взаимодействие человека и «машины» и об этике использования ChatGPT подискутируем в комментариях.

Всем привет! Меня зовут Екатерина Ратнер, я старший аналитик в проекте Solar Dozor — первой в России корпоративной DLP-системе, которая используется организациями страны и СНГ уже более 20 лет.

Одной из главных задач DLP-систем является защита информации в разных форматах, включая звук. Запись звука – обычная функция DLP-систем, в реальности же проанализировать все аудиозаписи сотрудников и найти в них угрозы – трудоемкая задача, которая занимает массу времени и ресурсов офицеров безопасности. К счастью, в новой версии Solar Dozor 8.0 появилась функция автоматического перевода речи в текст. Система с помощью нейросети распознает речь более чем на 50 языках, переводит ее в текст, после чего автоматически проверяет политиками безопасности, при необходимости регистрирует инциденты.

В этой статье я расскажу, как работает наш новый модуль распознавания звука, как выбрать подходящую модель распознавания и приведу пример реального кейса в части пресечения попыток злонамеренных действий сотрудников с его помощью.

В настоящий момент фаззинг-тестирование входит в число обязательных практик для достижения определенного уровня зрелости в процессе безопасной разработки ПО. Именно оно позволяет выявить уязвимости и недостатки, которые сложнее или вообще невозможно обнаружить другими техниками.

С момента появления этой технологии прошло уже порядка сорока лет. Есть и масса эффективных инструментов фаззинг-тестирования, и написаны тысячи строк, популяризирующих его. Однако в процессе внедрения значительные затруднения вызывает зачастую не столько техническая сторона вопроса, сколько решение двух ключевых задач:

1. Как эффективно донести информацию о пользе фаззинга до людей, которым предстоит этим заниматься?

2. Как не превратить фаззинг в пустую формальность?

С этими двумя проблемами мне довелось столкнуться на практике, и эту статью я посвящу изложению личного опыта их решения.

В статье «Reign of king: тактики и инструментарий группировки Obstinate Mogwai» от Центра исследования киберугроз Solar 4Rays есть интересный кейс атаки через подрядчика. Важную роль в этом сыграла PAM-система Solar SafeInspect, установленная у заказчика.

Изначально, системы класса Priviliged Access Management (PAM) создавались для контроля за действиями пользователей с расширенными правами. Со временем стало ясно, помогают расследовать атаки типа Trusted Relationship (доверительные отношения) и инциденты, вызванные действиями сотрудников и инсайдеров.  Например, в 2024 году «точкой входа» для 8% успешных кибератак стали именно подрядчики.

Поэтому аудиторы, сотрудники провайдеров, подрядчиков, обслуживающих IT-системы, требуют такого же внимания, как и привилегированные пользователи. Для соблюдения требований безопасности им нельзя предоставлять такие же права, как обычным сотрудникам, но PAM-система помогает держать их в поле зрения.  В этом материале подробно расскажем о кейсе и роли PAM-системы в противоборстве с хакерами.

Постоянный рост объема информации в интернете и развитие технологий приводят к появлению новых методов взлома и росту числа киберугроз. Основные алгоритмы шифрования, такие как RSA и AES, при увеличении объема данных требуют сложного управления ключами, что создает дополнительные сложности в их использовании. Чтобы избежать трудностей, необходимо сформировать новые методы защиты данных. Тут на помощь приходят квантовая криптография и ИИ. В этой статье мы расскажем про возможные квантовые методы защиты данных и объясним, почему без них невозможен кибербез будущего.

Кибербитва — это ежегодное соревнование, которое проходит в рамках одного из крупнейших ИБ-мероприятий в России — SOC Forum 2024.

В формате Red vs. Blue приняли участие по 20 команд "красных" и "синих". На стороне атакующих выступили эксперты по кибербезопасности из направлений пентеста, вирусной аналитики и AppSec-инженеры. На стороне защитников были 20 команд ИБ-специалистов из госсектора, финтех-сервисов и банков, IT-команд в составе маркетплейсов, промышленных, логистических, нефтегазовых, энергетических и ИБ-компаний.

Итак, сразу озвучим победителей, а дальше расскажем, как мы готовились к Кибербитве, как болели за участников и почему фавориты неожиданно уступили на последних метрах марсианской дистанции.

По данным центра мониторинга внешних цифровых угроз ГК «Солар», за 2023 год в публичный доступ попали данные почти 400 российских организаций. Это означает, что в прошлом году каждый день в России происходила как минимум одна утечка данных. Основной массив утекших данных – это архивы внутренней документации, в том числе сканы документов, дампы (снимки) памяти систем, информация с компьютеров отдельных пользователей, исходный код программных продуктов.

На теневых ресурсах постоянно появляются предложения о продаже подобных данных, причем объем растет от года к году. Так, по данным другого исследования ГК «Солар», в 2023 году число подобных объявлений выросло в сравнении с 2022 годом на 42%, а за первые месяцы 2024 года в даркнет утекли данные 170 компаний — 40% от всего числа инцидентов за 2023 год. Взрывной рост угроз явно подчеркивает важность контроля над корпоративными хранилищами.

В этой статье Дмитрий Богомолов, архитектор из команды Центра технологий кибербезопасности ГК "Солар", рассказывает, как системы класса DAG/DCAP помогают организациям взять данные под контроль и оптимизировать работу систем централизованного хранения информации.

Что такое политики Solar webProxy и как они формировались раньше

Хотя приложение в большей степени является backend-ориентированным, важно чтобы и UI был удобным для администратора. В версии 4.2, которая вышла на рынок 5 декабря, одним из ключевых направлений работы стала переработка конструктора политик для улучшения пользовательского опыта.

Что же из себя представляет конструктор политик? В Solar webProxy – это раздел панели администратора, где можно создать или отредактировать набор правил фильтрации трафика, разделенных по типам слоев – фильтрация запросов, фильтрация ответов, маршрутизация соединений и т.д.

Людмила Севастьянова, менеджер по развитию продуктового портфеля управления доступом, поделилась статьей о том, зачем нужна аттестация прав сотрудников и почему ее нужно проводить регулярно, и почему она крайне важна для финансового сектора.

И небольшой спойлер - в тексте есть несколько "пасхалок", если найдете, пишите в комментариях.

В конце сентября 2024 года компания Netflix анонсировала выпуск нового, седьмого сезона фантастического сериала Black Mirror. Эта антология посвящена мрачным прогнозам на ближайшее будущее, предупреждая зрителей о последствиях непредсказуемого развития технологий. Первые серии Black Mirror вышли в 2011 году, и за это время некоторые сюжеты сериала пугающе приблизились к реальности.

Полина Сокол, старший аналитик данных R&D‑лаборатории Центра технологий кибербезопасности ГК «Солар», специально для Techinsider, а теперь и для Habr, собрала несколько примеров развития искусственного интеллекта (ИИ), которые уже существуют в нашей жизни или в скором времени могут стать реальностью.

Всем привет! В блоге центра исследования киберугроз Solar 4RAYS мы продолжаем делиться результатами расследований инцидентов, полезными инструментами для ИБ-специалистов и другими практическими материалами, часть которых мы размещаем и здесь.

Сегодняшняя статья от специалистов нашего отдела анализа защищенности «Солара» посвящена разработанному ими ПО для поиска и верификации уязвимостей.

Нам в отделе анализа защищенности довольно часто приходится искать и эксплуатировать уязвимости, которые, на первый взгляд, сложно выявить. Например, практически ни один проект не обходится без Blind-SSRF или Out-Of-Bound XXE, встречаются даже Blind-RCE. В этом материале мы расскажем о инструменте, который поможет пентестерам значительно упростить обнаружение разного типа уязвимостей. Но обо всем по порядку.

Solar NGFW вышел на рынок в 2023 году, а в первой половине 2024 ГК «Солар» представила решение в программно‑аппаратном исполнении. Разработка продукта такого уровня — это сложный и многокомпонентный процесс, который требует вовлечения множества специалистов самых различных областей компетенций. А значит, помимо технологических и организационных аспектов, необходимо учитывать и человеческий фактор — наем, обучение и удержание персонала. Альберт Маннанов, руководитель продукта Solar NGFW, рассказал о вызовах формирования и развития команды, а также о том, как с ними справляются в ГК «Солар».

Протокол WebSocket позволяет устанавливать постоянное двустороннее соединение между клиентом и сервером, что значительно снижает задержки и уменьшает объем передаваемых данных по сравнению с традиционными HTTP-запросами. WebSocket используется в динамически обновляющихся приложениях, работающих в режиме реального времени, – мессенджерах, торговых площадках и других коммерческих сервисах с быстро меняющимися данными. Благодаря корректным правилам фильтрации протокола WebSocket такой трафик может быть распознан и, при необходимости, заблокирован.

Меня зовут Александр Лемаев, я ведущий аналитик в команде Solar webProxy. Solar webProxy — это шлюз веб-безопасности (SWG), который разграничивает доступ к веб-ресурсам, защищает от зараженных и фишинговых сайтов и блокирует утечки через веб-канал. В статье я расскажу, в чем преимущества WebSocket, и как наш прокси-сервер Solar webProxy помогает фильтровать этот протокол.

Полина Сокол, старший аналитик данных R&D-лаборатории Центра технологий кибербезопасности ГК «Солар», подготовила материал о методах работы с данными и ML-моделями.

Это направление исследований позволяет на выходе обеспечить требования к прозрачности, ответственности и рискам, связанных с искусственным интеллектом. И его невозможно игнорировать при использовать ML в продуктах, предназначенных для защиты от целенаправленных атак, которые и сами могут стать одной из целей атакующих − EDR, NTA, XDR, SIEM и другие классы решений.

Громкие скандалы в сфере кибербезопасности, в которых виновными были признаны сотрудники крупных компаний и госструктур, стали одной из главных тем последних трех лет. От утечек конфиденциальных данных до масштабных хакерских атак - во многих инцидентах ключевую роль сыграли инсайдеры, использовавшие свои служебные полномочия для нанесения вреда работодателям. Виновные найдены и наказаны, дело закрыто. Но так ли однозначно в этих делах обстоит вопрос вины? Можно ли найти закономерности в этих историях?

Действительно, статистика впечатляет: начиная от скандала с Anthem Inc., где 78 млн личных данных клиентов были похищены сотрудником IT-отдела, и заканчивая взломом систем российских органов власти, − во всех этих историях фигурируют виновные инсайдеры, приговоренные к внушительным срокам заключения.

Но при расследовании подобных дел нередко упускается из виду целый ряд факторов, которые могли повлиять на поведение сотрудника и в итоге спровоцировать его на противоправные действия. И, что самое главное, эти факторы, как правило, кроются внутри самих организаций: в их системах найма, контроля и мотивации персонала.

Станислав Карпович, заместитель директора департамента "Киберполигон" по развитию бизнеса, в новом материале постарался развеять несколько мифов о человеческом факторе в кибербезопасности.