Вышел Solar Dozor 7.4 — дополнены механизмы защиты данных от утечек

Вышел Solar Dozor 7.4 — дополнены механизмы защиты данных от утечек

Вышел Solar Dozor 7.4 — дополнены механизмы защиты данных от утечек

Компания «Ростелеком-Солар» выпустила новую версию флагманского программного продукта Solar Dozor 7.4. Релиз посвящен реализации модулей анализа поведения пользователей (Dozor UBA) и мониторинга хранения конфиденциальной информации (Dozor File Crawler) в территориально-распределенной конфигурации – для компаний с разветвленной филиальной сетью.

Практика использования крупными российскими компаниями модуля анализа поведения пользователей Dozor UBA, выпущенного «Ростелеком-Солар» в конце 2019 года, показала: наиболее эффективно применять результаты анализа можно при установке модуля отдельно в каждом территориальном подразделении.  В предыдущих версиях Solar Dozor UBA-модуль устанавливался на общие ресурсы и предоставлял лишь усредненную обобщенную информацию поведения пользователей по компании в целом.

В новой версии, с одной стороны, все установки модуля Dozor UBA в каждом филиале объединены в связанную систему, что позволяет получить полный срез данных о поведении пользователей по всей организации. С другой стороны, через единый веб-интерфейс Solar Dozor можно выбрать любое территориальное подразделение и перейти к сводной статистике и детализации не только по конкретному филиалу, но и по любому его пользователю. Сводная статистика по филиалу учитывает наиболее значимые факторы риска: опасные и подозрительные тенденции в территориальном подразделении, наличие персон с серьезными отклонениями в поведении и их прирост за неделю. Также доступна информация о характерных для персонала данного филиала паттернах поведения, аномалиях поведения, особых контактах сотрудников, их суточной активности и т. п.

Для каждого филиала появилась возможность установить часовой пояс, что позволяет обеспечить точность анализа суточной активности его сотрудников (утро, день, вечер, ночь), расчета паттернов поведения «Работа ночью» и «Работа в выходные дни». При работе с паттернами поведения пользователей можно переключаться между территориальными подразделениями, анализируя различия в паттернах от филиала к филиалу.

В Solar Dozor 7.4. нашла отражение и практика применения мультифилиальными компаниями модуля мониторинга хранения данных Dozor File Crawler. В предшествующих версиях отсутствовало соотнесение узлов распределенной сети, для проверки которых использовался модуль, с филиалами, в которых находятся эти узлы. В таком режиме было сложно управлять задачами модуля и использовать карту сети. Для запуска задачи нужно было указать конкретный узел, а данные об инспектировании всех узлов сети образовывали одну огромную карту, в которой было сложно ориентироваться.

Теперь каждая задача сканирования сети в момент её создания автоматически привязывается к соответствующему территориальному подразделению, и все дальнейшие настройки задачи, выбор элементов карты сети производятся в привязке к конкретному филиалу. Ресурсы каждого территориального подразделения отображаются в отдельной ветке в зависимости от инсталляции Dozor File Crawler, с помощью которой было выполнено сканирование. Также при предоставлении работающим с системой специалистам прав доступа к данным филиала осуществляется разграничение доступа к задачам сканирования и веткам карты сети. Все эти изменения помогут ИБ-специалистам крупных организаций сэкономить время на управлении модулем мониторинга хранения конфиденциальной информации и эффективнее использовать результаты аудита сети.

Кроме того, в новой версии появился ряд дополнительных механизмов защиты конфиденциальных данных от утечек. В частности, Solar Dozor 7.4 позволяет транслировать видео с экрана рабочей станции сотрудника в режиме реального времени. Данный инструмент востребован заказчиками для сбора доказательной базы при проведении расследований.

Также система осуществляет считывание структуры каталогов съемных носителей информации (флеш-накопителей, карт памяти и внешних жестких дисков), подключаемых через USB-порт к рабочим станциям сотрудников компании. Это дает офицерам безопасности возможность просматривать содержимое съемных устройств – структуру папок и название файлов – для выявления попыток копирования конфиденциальных документов.

В крупных компаниях рутинная работа по сбору данных о событиях и инцидентах безопасности делегируется младшим специалистам службы ИБ. В более ранних версиях DLP-системы Solar Dozor руководитель мог лишь поделиться с подчиненным копией поискового запроса. Начиная с версии 7.4, офицер безопасности может предоставлять младшим ИБ-специалистам доступ на выполнение созданных им поисковых запросов: исполнитель сможет выполнять запросы, просматривать их параметры и результат выполнения без возможности внести изменения в запрос. Гибкая настройка доступа к данным системы для сотрудников младшего звена позволит снизить риск утечки ценных сведений.

Для повышения удобства использования DLP-системы в новой версии разработан механизм оперативного отключения агентского модуля. При конфликтах со сторонним ПО можно временно деактивировать агент нажатием одной кнопки, не удаляя его с рабочей станции. При этом все настройки сохраняются и при обратной активации агента нет необходимости снова его настраивать.

«Естественный процесс монополизации и укрупнения бизнеса с прошлого года ускорился под влиянием пандемии: для многих компаний вхождение в состав более крупного и устойчивого к кризисным явлениям игрока стало хорошей бизнес-стратегией. Для холдингов же выгодные с точки зрения повышения эффективности бизнеса M&A сделки сопровождаются рисками безопасности, связанными с вливанием в компанию структуры с другими бизнес-процессами, с другой корпоративной культурой, со сложностями интеграции новых сотрудников. Для групп компаний и организаций с присоединенными новыми структурами на первый план выходит необходимость централизованного контролируемого решения задач безопасности в разнородной иерархической территориально-распределенной структуре, – отметила Галина Рябова, директор центра продуктов Dozor компании «Ростелеком-Солар». – Для таких организаций всегда актуальны 3 группы задач: контроль безопасности в целом (сквозные аналитические инструменты мониторинга и проведения расследований), централизация экспертных функций (например, экспертной аналитики или администрирования системы), контроль подразделений безопасности со стороны центра. Именно поэтому в данном релизе мы уделили основное внимание реализации работы ключевых аналитических модулей системы в мультифилиальном режиме».

В ИИ-приложениях почти каждая третья уязвимость оказалась высокорисковой

ИИ-приложения снова напоминают: если к обычному веб-сервису прикрутить большую языковую модель, магия появляется не только в презентации, но и в списке уязвимостей. По данным «Информзащиты», в 2026 году 32% уязвимостей, найденных при пентестах ИИ- и LLM-приложений, относятся к высокорисковым.

Для сравнения: по всем классам активов этот показатель составляет около 12%. То есть риск-профиль ИИ-приложений оказался в 2,7 раза выше среднего.

За второй год наблюдений пропорция не изменилась. Более того, медианный срок устранения серьёзных находок вырос с 19 дней в 2025 году до 36 дней в 2026-м.

Проблема в том, что ИИ-системы тащат за собой сразу два слоя риска. Первый — классика веба и API: аутентификация, авторизация, инъекции, секреты, обработка пользовательского ввода.

Второй — уже нейросетевой зоопарк: инъекции в промпт, утечки системного промпта, ошибки RAG-контуров, отравление данных, небезопасная обработка ответов LLM, проблемы в векторных хранилищах и отказ в обслуживании на уровне модели.

Особенно весело становится, когда модель подключают к корпоративным данным, CRM, базе знаний, API или инструментам автоматизации. В этот момент чат-бот перестаёт быть просто болталкой и получает возможность влиять на процессы. А ошибка в правах или логике вызовов превращает его в аккуратную дверь во внутренние системы.

Автоматическими сканерами всё это ловится плохо. По данным исследования, 78% команд сталкивались с тем, что такие средства пропускали критические уязвимости. Поэтому готовность полностью доверить пентесты автономным инструментам за год упала с 29% до 9%.

С устранением тоже не праздник. В 2026 году компании закрывали только 38,4% высокорисковых находок в ИИ / LLM-приложениях — это самый низкий показатель среди типов тестирования. Для API, например, он составил 77,3%.

RSS: Новости на портале Anti-Malware.ru