Byte/RE ИТ-издание

Новости

Новая версия веб-шлюза «Солар»

Безопасность
--> 0

ГК «Солар» выпустила обновление своей системы класса Secure Web Gateway (SWG) – Solar webProxy 4.5. Ключевое нововведение – глубокая инспекция 16 форматов архивов. Система теперь распаковывает вложенные архивы, анализирует их содержимое по политикам безопасности и блокирует архивные файлы, защищенные паролем, которые ранее проходили периметр без проверки. Кроме того, в новой версии появилась история изменений политик с возможностью отката к предыдущим версиям, а база категоризации веб-ресурсов расширена и теперь насчитывает свыше 40 млн доменов. Основой для совершенствования продукта по ряду направлений стала практика использования SWG-системы в инфраструктуре клиентов.

Доля архивов среди всех способов доставки вредоносных файлов через веб-трафик, по данным аналитиков «Солар»,  в среднем составила около 37%. Поскольку архивы поступают в инфраструктуру не только через почту, но и как обычные веб-загрузки, через облачные сервисы и по протоколу FTP, контроля только почтовых вложений уже недостаточно. Защищенные паролем архивы усугубляют ситуацию: пароль превращает вложение в непрозрачный объект для любого сетевого средства защиты. Для полноценной его распаковки и анализа содержимого приходится привлекать внешние средства: DLP-системы или «песочницы».

В версии Solar webProxy 4.5 система анализирует архивы и проверяет каждый файл внутри «на лету». Решение поддерживает 16 форматов, в том числе ZIP, 7Z, RAR, TAR. Если в правиле фильтрации включена опция «Распаковка архивов и анализ содержимого», система сначала разворачивает контейнер, включая вложенные архивы. После этого каждый объект проверяется по условиям политики: тип файлов, имя (в том числе по регулярным выражениям), размеру и ключевые слова. Если хотя бы один объект внутри соответствует запрещающему правилу, блокируется весь архив целиком.

Глубина распаковки регулируется ограничением по времени (таймаутом), которое задает администратор. Он также выбирает, что делать при его превышении: заблокировать архив или разрешить, проверив только то, что система успела разобрать.

Параллельно с распаковкой в версии 4.5 появилась фильтрация защищенных паролем объектов. Система определяет наличие пароля по его цифровым признакам. SWG-система при этом не пытается подобрать пароль и не расшифровывает содержимое. Она фиксирует сам факт защиты и, если политика это предписывает, то блокирует передачу.

Для администраторов в журнале статистики появилась новая колонка «Защищенный объект» с фильтрацией по значениям «Да/Нет». Это позволяет отслеживать, кто и когда пытался отправить или скачать запароленный контейнер, и выстраивать статистику по таким инцидентам.

До этого обновления, подчеркивают в компании, злоумышленнику или инсайдеру было достаточно поместить данные в архив, чтобы пройти фильтрацию на уровне прокси. Запароленный архив и вовсе оставался невидимым. Теперь Solar webProxy распаковывает архивы и применяет политику к содержимому, а запароленные объекты блокирует по правилам, закрывая критически важный пробел в защите веб-канала.

В версии 4.5 все сервисы Solar webProxy переведены на работу от имени специальной учетной записи с ограниченными правами. Использование привилегированной учетной записи root для эксплуатации системы теперь не требуется, а запуск управляющих скриптов от ее имени запрещен на уровне системы. Это было одним из частых требований заказчиков при прохождении внутренних аудитов ИБ. Приложения, запущенные с неограниченными привилегиями (например, системные утилиты или веб-серверы) в случае компрометации могут нанести серьезный ущерб инфраструктуре, а переход на работу с отдельной учетной записью снижает этот риск.

У заказчиков с большими политиками (сотни правил, слоев, исключений) периодически возникала такая проблема: чтобы безопасно внести изменения, требовалось надежное средство для быстрого возврата к предыдущей стабильной конфигурации. В версии 4.5 появился механизм автоматического сохранения истории, при каждом применении политики предыдущая версия сохраняется. Глубина хранения настраивается от 1 до 30 дней. Администратор может просмотреть историю изменений, скачать любую из сохраненных версий, загрузить ее обратно и применить.

В релиз вошли два новых метода аутентификации: Negotiate+NTLM+Basic и Negotiate+Basic. Они позволяют гибко настроить проверку подлинности пользователей в сложных неоднородных сетях, где одновременно используются разные технологии (например, Kerberos и NTLM). Настройка доступна как на уровне правил политики, так и в целом для узла фильтрации. Последнее удобно для организаций с большим объемом собственной разработки и смешанным парком ПО.

В новой версии также обновлена база правил для блокировки рекламы (adblock) и доработан механизм косвенной категоризации для публичных доменов. Кроме того, в модуле Solar MultiProxy появилась возможность централизованного управления пользовательскими категориями и их распространения на подчиненные узлы, а также снижено потребление памяти для разных операций.

SWG-система «Солар» включена в реестр отечественного ПО Минцифры России и сертифицирована ФСТЭК России по требованиям к межсетевым экранам типа «Б» четвертого класса защиты. Кроме того, Solar webProxy отвечает требованиям технического регламента средств защиты информации (СЗИ) Оперативно-аналитического центра при Президенте Республики Беларусь (ОАЦ РБ).

Вам также могут понравиться

Новая версия IdM-системы «Солар» для крупных компаний

Совместное решение киберзащиты от «Яндекс» и UserGate

DLP-система Solar Dozor с усиленной защитой данных

Обновленная платформа «Боцман» для управления контейнерами

ИИ-плагин в Solar appScreener для ускорения разработки

Solar appScreener – в экосистеме платформы «Сфера»