В Solar Dozor полностью обновили агент для контроля рабочих станций

В Solar Dozor полностью обновили агент для контроля рабочих станций

В Solar Dozor полностью обновили агент для контроля рабочих станций

Компания Ростелеком-Solar, национальный провайдер технологий и сервисов кибербезопасности, выпустила новую версию DLP-системы Solar Dozor. Ее ключевыми усовершенствованиями стали полностью обновленный агент для контроля рабочих станций, контроль коммуникаций в Viber, защита конфиденциальной конструкторской документации и поддержка ICAP-трафика от различных прокси-серверов.

При создании новой версии Solar Dozor в фокусе внимания разработчиков находилась задача по доработке модуля Dozor Endpoint Agent, предназначенного для контроля активности сотрудников на рабочих станциях. В частности, был серьезно улучшен механизм перехвата по протоколам HTTP/HTTPS, SMTP, POP3 и IMAP, повышена стабильность и скорость работы модуля. Список контролируемых каналов коммуникаций пополнился мессенджером Viber. Кроме того, с целью освоения технологий виртуализации, широко используемых в современной IT-инфраструктуре, в Dozor Endpoint Agent реализована поддержка «золотого образа» Citrix VDI, позволяющая устанавливать агент на виртуальные машины вместе с пакетом стандартного офисного ПО (Microsoft Office, 1С и т.д.).

«В стратегии развития DLP-системы Solar Dozor нашими приоритетами являются не только наращивание количества функций, но и глубина их проработки. После реализации новой функциональности в очередной версии продукта мы обязательно собираем обратную связь от заказчиков и с учетом их опыта эксплуатации дорабатываем продукт. Именно на этом сделан акцент в новой версии Solar Dozor 6.8», – отмечает Галина Рябова, руководитель направления Solar Dozor компании Ростелеком-Solar.

Важным шагом вперед стала реализация обработки ICAP-трафика от различных прокси-серверов в режиме реального времени. К данным, переданным по протоколу ICAP, могут быть применены те же правила, что и к сообщениям по другим каналам. В частности, в политике появилось специальное действие «Заблокировать ICAP», которое позволяет запретить как отправку данных на веб-ресурсы, так и скачивание с них. Кроме того, получила более глубокое развитие интеграция Solar Dozor с модулем контроля веб-трафика Dozor Web Proxy. Теперь офицер безопасности может вести единое досье на сотрудника, группу сотрудников или контрагента: все изменения, сделанные в Dozor Web Proxy, будут отражены в Solar Dozor, и наоборот.

Новая версия Solar Dozor 6.8 обладает специализированной возможностью автоматически определять файлы инженерных пакетов CAD-систем и извлекать из них текстовую информацию (данные чертежей, схем, спецификаций, моделей и т.п.). Поддерживаются форматы DWG, STL, STEP, ADEM CAD, M3D и др. Важно отметить, что подобные файлы не являются изображениями, поэтому их не могут перехватить стандартные OCR системы, используемые во многих DLP-системах. Благодаря новой функциональности Solar Dozor 6.8 различные инженерные чертежи, которые могут составлять коммерческую тайну и ноу-хау организации, теперь находятся под надежной защитой.

Значительное развитие в новой версии получила интеграция с Microsoft Active Directory (AD). Теперь офицер безопасности может получить доступ в систему без использования логина и пароля — применяются данные, введенные при входе в ОС. Для аутентификации используется протокол Kerberos.

Чтобы было проще визуально отличить друг от друга импортированные из AD данные персон, в новой версии появились индикаторы Organizational Unit и Security group, помогающие при поиске объектов системы, настройке политики и других ситуациях, когда требуется знать тип группы, в которой состоит персона. Кроме того, теперь возможна загрузка данных о персоне из нескольких AD, что важно, например, для компаний, находящихся в процессе слияния или поглощения другими организациями. При этом исключается дублирование учетных записей — дубликаты автоматически объединяются в одну карточку.

С целью повышения скорости реагирования на инциденты в Solar Dozor 6.8 были доработаны возможности поиска. Так, событие или инцидент теперь можно найти по его номеру (идентификатору). Кроме того, в Solar Dozor существуют два режима поиска объектов – быстрый и расширенный. Однако в некоторых случаях может понадобиться быстрый поиск по тексту сообщения с возможностью выбора сложных атрибутов, как в расширенном. В новой версии такая возможность появилась, что позволит точнее и быстрее находить нужную информацию.

Также улучшен контроль действий пользователей: теперь в журнале действий пользователей отображается максимально детализированная информация, в том числе IP-адреса устройств, действия с объектами политики, ролями пользователей и системными справочниками.

В Linux и Android нашли баг, который даёт обычному пользователю root-доступ

В ядре Linux раскрыли уязвимость Bad Epoll, она же CVE-2026-46242. Баг позволяет обычному локальному пользователю без особых прав подняться до root и получить полный контроль над системой. Под ударом Linux-десктопы, серверы и Android-устройства на затронутых версиях ядра. Патч уже выпущен.

Проблема сидит в epoll — стандартном механизме Linux, который помогает программам следить сразу за множеством файлов, соединений и событий. Его используют серверы, сетевые сервисы и браузеры.

Bad Epoll относится к классу use-after-free: две части системы одновременно пытаются прибраться за одним внутренним объектом. Одна уже освобождает память, другая всё ещё в неё пишет.

В этот микроскопический момент атакующий может испортить память ядра и залезть туда, куда обычным пользователям вход запрещён.

 

Фокус в том, что окно для атаки крошечное — около шести машинных инструкций. Казалось бы, шанс попасть туда почти нулевой. Но исследователь Джэён Чон не только нашёл баг, а ещё и собрал рабочий эксплойт: на тестовых системах он получал root примерно в 99% случаев. Уязвимость он отправил в Google kernelCTF как 0-day.

 

Есть и неприятный бонус: по данным исследователя, баг можно триггерить из песочницы Chrome, а также довести до Android — туда добирается далеко не каждая Linux-уязвимость.

Обходного пути нет: epoll нужен системе. Затронуты ядра на базе 6.4 и новее без исправления; старые 6.1-based сборки, включая часть Android-устройств, не уязвимы.

RSS: Новости на портале Anti-Malware.ru