Обзор Solar Space, системы комплексной защиты веб-сайтов

1. Введение
2. Описание Solar Space
3. Функции и возможности Solar Space
   1. 3.1. Защита от DDoS-атак
   2. 3.2. Защита от ботов
   3. 3.3. Защита от взломов
   4. 3.4. Сканирование защищённости внешнего периметра
4. Архитектура Solar Space
5. Компоненты Solar Space
   1. 5.1. «Мои ресурсы»
   2. 5.2. «Статистика»
   3. 5.3. ScanGuard
   4. 5.4. «Веб-защита»
6. Системные требования Solar Space
7. Политика лицензирования Solar Space
   1. 7.1. Облачная версия
   2. 7.2. Локальная версия
8. Сценарии использования Solar Space на примере постановки домена на защиту
9. Выводы

Введение

В ноябре 2024 года отечественные предприятия массово столкнулись с необходимостью смены облачного провайдера кибербезопасности. Ранее эти функции успешно выполнял американский CDN-сервис Cloudflare, но выпущенные им в октябре 2024 года обновления привели к тому, что дальнейшая работа с ним нарушала бы требования регулятора. 

Дело в том, что компонент Encrypted Client Hello (ECH) скрывает сведения о том, к какому ресурсу собирается получить доступ пользователь. Таким образом обновление позволяет обходить блокировки некоторых средств киберзащиты и получать доступ к запрещённым ресурсам. Плюс ко всему Cloudflare запрашивает передачу SSL-сертификата, что создаёт возможность утечки данных.

Ситуацию усугубило непрерывно возрастающее количество киберугроз на отечественные онлайн-ресурсы. Так, по данным ГК «Солар», только за первый квартал 2025 года на сайты российских компаний уже было совершено 801,2 млн веб-атак. Это вдвое больше, чем за тот же период 2024 года. В топ объектов, чаще всего попадающих под хакерские атаки, вошли логистические организации, госучреждения и ритейл. В таких условиях невозможно поддерживать работу сайта без эффективной системы защиты от атак.

Своё решение проблемы предложил отечественный провайдер комплексной кибербезопасности, группа компаний «Солар». Её продукт ― Solar Space ― представляет собой простую в настройке облачную платформу, предназначенную для защиты веб-ресурсов среднего и малого бизнеса. Отдельно отметим, что Anti-Malware.ru находится под защитой платформы уже более месяца, и в этом материале мы в том числе делимся своим опытом использования. 

Платформа обладает комплексом возможностей для обеспечения кибербезопасности. Благодаря встроенным в неё средствам защиты информации (СЗИ) она способна обеспечить защиту от таких угроз, как DDoS-, веб- и бот-атаки. 

Ещё один плюс Solar Space заключается в лёгкости переноса сайтов с Cloudflare одной кнопкой. Решение полностью соответствует требованиям российской регуляторики, а входящие в него основные компоненты внесены в реестр отечественного ПО.

Интегрированные решения такого рода отличаются новизной на российском рынке ИБ. Обычно защита от DDoS, от вредоносных ботов и от веб-атак — это разные отдельные предложения. За счёт пакетного предложения «Солар» стремится привлечь тех заказчиков, которым интересно получить всё в комплексе. 

Далее подробнее рассмотрим, что собой представляет  продукт Solar Space, какие функции он может выполнять. Отдельно разберём его программные компоненты и возможности, которые можно реализовать с их помощью.

Описание Solar Space

Solar Space ― это многокомпонентное облачное решение для защиты сайтов от киберугроз и сохранения работоспособности веб-ресурсов. Оно входит в реестр отечественного ПО (номер записи №23679 от 29.08.2024). Решение подходит для использования малым и средним бизнесом. 

В Solar Space встроено собственное решение по анализу и фильтрации трафика на основе машинного обучения (Machine Learning, ML). Решение обеспечивает защиту сайтов от трёх наиболее распространённых типов угроз ― DDoS, ботов и веб-атак, а также предотвращает утечки данных и блокирует все современные типы атак на уровне приложений L7. 

ИИ-разработки и постоянно обновляемая база знаний позволяют адаптировать платформу к новым видам атак, а также сократить время обнаружения вредоносной активности до менее чем 1 мс. Кроме того, при помощи Solar Space можно отслеживать источники происхождения и движение трафика, а также настраивать политики доступа к сайтам за счёт геофильтрации, формирования чёрных / белых списков и других инструментов.

Solar Space работает по подписке, причём пользователь может самостоятельно определять набор подключаемых функций, достигая тем самым оптимального для себя уровня стоимости. Кейсы применения продукта представлены в таблице 1.

Таблица 1. Кейсы применения Solar Space

Спроектированная облачная платформа легко интегрируется в существующую инфраструктуру предприятия, её подключение занимает 20 минут. Кроме того, она позволяет переносить данные с Cloudflare нажатием одной кнопки.

Функции и возможности Solar Space

Система предназначена для защиты корпоративных сайтов от таких внешних угроз,  как веб-атаки, DDoS и действия спам-ботов. Противостоять им позволяют три подсистемы, которые можно подключить к облачной платформе ― Web Anti-DDoS, Web AntiBot и WAF Lite, возможности которых рассмотрим чуть подробнее.

Защита от DDoS-атак

Система Solar Space эффективно справляется с распределёнными атаками, нацеленными на перегрузку сервера и перебои в его работе. Функциональным элементом защиты является продукт Web Anti-DDoS. Он блокирует вредоносные запросы (с точностью определения до 99%) и генерирует отчёты об инцидентах, ознакомиться с которыми можно в личном кабинете.

Рисунок 1. Схема работы Web Anti-DDoS

Для подавления DDoS-атак используются 2 группы инструментов:

1. JavaScript Challenge. Для получения доступа к сайту пользователю направляется страница с запросом, которую должен обработать его браузер. Отсутствие отклика указывает на то, что запрос отправлен автоматизированной программой. В этом случае доступ будет заблокирован.
2. Лимитирование количества запросов. Anti-DDoS анализирует цепочку «пользовательский IP ― путь обращения». Если количество запросов в секунду больше установленного лимита, доступ временно блокируется.   

Web Anti-DDoS можно развёртывать непосредственно в момент атаки. Сразу после подключения система начинает анализировать входящий трафик при помощи методов технического и статистического анализа. Результатом становится оперативное обнаружение аномальных активностей и подавление паразитарных запросов. Важным преимуществом является то, что защита Anti-DDoS тестирует ресурс за долю секунды и не замедляет работу сайта, за счёт этого он доступен пользователям даже в момент атаки. Это делает продукт конкурентоспособным на рынке систем защиты от DDoS-атак.

Рисунок 2. Настройка агрессивности защиты от DDoS-атак в Solar Space 

При испытании Solar Space в боевых условиях на ресурсах «АМ Медиа» мы выделили возможность настройки степени защиты от DDoS-атак с помощью JS Challenge — «Агрессивность защиты». В нашем случае мы выставили «JS Challenge активируется при достижении порога RPS».

Защита от ботов 

Solar Space способен обнаруживать и блокировать нелегитимные автоматизированные средства и вредоносных ботов, направленных на создание перегрузки сервера или получение несанкционированного доступа. Функциональным элементом защиты является Web AntiBot. Он анализирует поведение пользователей сайта, обнаруживая и блокируя ботов. Это избавляет менеджеров от необходимости обработки фейковых запросов, а реальных посетителей ― от постоянных проверок через капчу, она появляется только в случае подозрения на вредоносную активность.

Рисунок 3. Схема работы Web AntiBot

В Web AntiBot встроена модель ML, позволяющая анализировать огромные массивы данных об атаке и адаптироваться к новым типам угроз. Каждый поступивший запрос система тестирует по ряду технических параметров, задействуя такие методы, как анализ цифровых отпечатков, Rate Limiting, JavaScript Challenge. Выстроенная защита не даёт ботам попасть на сайт, атаковать формы обратной связи, искажать данные веб-аналитики, подбирать пароли от аккаунтов клиентов. Применение Solar Space помогает снизить нагрузку на ресурс (за счёт блокировки нежелательного трафика) и повысить его конверсию.

Защита от взломов

Solar Space выявляет и пресекает попытки взлома веб-приложений, обеспечивает защиту от уязвимостей и не даёт происходить утечкам данных. Функциональным элементом защиты является WAF Lite. Он мониторит запросы к сайту на наличие вредоносной активности, выявляет потенциально опасные действия, блокирует злоумышленникам доступ.

Рисунок 4. Схема работы WAF Lite

WAF Lite защищает от таких типов атак, как: 

• Local File Inclusion (LFI) ― атаки, использующие уязвимости включения локальных файлов на сервере; 
• Remote Code Execution (RCE) ― атаки удалённого выполнения кода;
• Session Hijacking ― атаки, направленные на перехват управления легитимным сеансом пользователя; 
• SQL Injection (SQLi) ― атаки, использующие взлом сайтов, работающих с базами данных, и внедрение в SQL-запросы;
• Cross-Site Scripting (XSS) ― атаки, применяющие межсайтовое внедрение вредоносного кода в страницу.

Рисунок 5. Общие настройки компонента WAF Lite

Система ведёт непрерывный мониторинг запросов к сайту на предмет наличия в них признаков веб-атак. Обращения, в которых обнаружены признаки вредоносной активности, фильтруются и блокируются, а соответствующий отчёт об этом формируется в личном кабинете. Таким образом сайт становится безопасным для пользователей.

Рисунок 6. Отображение заблокированных атак в Solar Space

В ходе тестирования Solar Space на ресурсах «АМ Медиа» мы отметили гибкую настройку защиты WAF Lite. В частности, есть возможность посмотреть заблокированные атаки.

Рисунок 7. Список исключений компонента WAF Lite

Если по какой-то причине система распознала запрос как подозрительный, но администратор уверен в его безопасности, его можно внести в список исключений, чтобы не затруднять санкционированное использование веб-ресурса.

Сканирование защищённости внешнего периметра

В Solar Space реализована возможность сканирования защищённости внешнего периметра. Опция ScanGuard легко подключается через личный кабинет, а процесс проверки запускается с одной кнопки и занимает не более 1 часа. Сканер веб-сервера позволяет рассматривать периметр атаки на компанию с позиции злоумышленников и формировать превентивные меры для устранения уязвимостей.

Рисунок 8. Пример отчёта сканера веб-сервера в Solar Space

По итогам сканирования формируются аналитические отчёты. В них не только указываются обнаруженные уязвимости, но и даются подробные инструкции по их устранению.

Архитектура Solar Space

Архитектура платформы является микросервисной. Благодаря этому продукт легко интегрируется с другими средствами и механизмами защиты данных ― системами защиты электронной почты (SEG), управления площадью атак (EASM), повышения осведомлённости (SA), а также с центрами мониторинга ИБ (SOC) — и позволяет добиться максимальной производительности.

Недавно мы рассказывали, как интеграция Security Awareness с SOC помогает обучать сотрудников киберграмотности.

Рисунок 9. Архитектура Solar Space

В основу Solar Space заложен механизм обратного проксирования. Для постановки сайта на защиту производится замена его IP-адреса на адрес сервера Solar. Исходя из данной логики, входящий трафик сначала попадает в зону защиты Solar Space, где он анализируется и очищается от нелегитимных запросов при помощи таких инструментов как Anti-DDoS, AntiBot и WAF. В итоге в подконтрольный периметр попадает только то, что пропустит система после проверки.

Компоненты Solar Space

Solar Space состоит из 4 основных функциональных компонентов ― «Мои ресурсы», «Статистика», «ScanGuard» и «Веб-защита». Рассмотрим детальнее назначение каждого из них.

«Мои ресурсы» 

Компонент «Мои ресурсы» предназначен для отображения и управления подключенными к системе защиты сайтов. Здесь можно увидеть список всех подключенных к Solar Space ресурсов. Записи можно фильтровать по статусу и названию, осуществлять поиск между ними, а также просматривать субдомены.

Рисунок 10. Компонент «Мои ресурсы» системы Solar Space

В компоненте «Мои ресурсы» имеются 3 вкладки «Настройки», «Статистика» и «Сервисы». Они выпадают при нажатии на знак три точки. Во вкладке «Настройки» можно добавлять новый домен, верифицировать и удалять онлайн-ресурс.

Рисунок 11. Статистика подключенных к Solar Space ресурсов

В статистическом подразделе отображается информация об активностях, зафиксированных по конкретному ресурсу. Здесь можно узнать данные об обращениях к сайту, движении и источниках трафика. 

Рисунок 12. Вкладка «Сервисы» компонента «Мои ресурсы» в Solar Space

Во вкладке «Сервисы» приводится перечень доступных для подключения компонентов. В текущей версии продукта это Anti-DDoS, AntiBot, WAF Lite и бесплатный ScanGuard. Значки подключенных опций подсвечиваются зелёным цветом. При необходимости в данном меню их можно переводить в активное и неактивное состояние. Но стоит учесть, что AntiBot работает только при включенном Anti-DDoS, а WAF Lite ― при Anti-DDoS и AntiBot.

«Статистика» 

Компонент предназначен для отображения отчётов по всем подключенным к системе ресурсам. Аналитику можно рассматривать в разрезе 4 параметров: ширина канала, запросы, коды и география. Данные представлены в графическом виде с возможностью фильтрации по доменам, периоду, часовому поясу и обновлению.

Рисунок 13. Компонент «Статистика» в Solar Space

По умолчанию в интерфейсе компонента выводятся 4 графика:

• тарифицируемый трафик;
• исходящий трафик;
• входящий трафик;
• входящий легитимный трафик (после защиты и фильтрации от вредоносных компонентов).

Для удобства любой из отображаемых видов трафика можно исключить из графика. Для этого достаточно нажать на его название. Повторение действия приведёт к возврату к прежним настройкам.

На вкладке «Запросы» отображается количество обращений к подконтрольным ресурсам. Здесь также можно выводить аналитику по выбранным доменам, временному периоду, часовому поясу и частоте обновления.

Рисунок 14. Статистика запросов в Solar Space

По умолчанию на графике выводятся две кривые ― «Входящий трафик», включающий все поступившие запросы, и «Легитимный» ― все проверенные обращения, соответствующие поведению реальных пользователей. Их можно просматривать одновременно или исключать отображение любой кривой.

Рисунок 15. Статистика по кодам в Solar Space

Раздел «Коды» выводит отчёт о взаимодействии пользователей с сервером. Данные представлены в виде 4-х графиков ― успешные ответы (означает прямое посещение сайта), перенаправление (переход через настроенный редирект), ошибки клиента (возникшие проблемы при взаимодействии с ресурсом) и ошибки сервера (перегрузка или отсутствие доступа к нему). Можно просматривать как общую аналитику, так и статистику по выбранным кодам.

Рисунок 16. Статистика географии запросов в Solar Space

Во вкладке «География» представлены данные о том, из каких регионах поступают запросы к подконтрольным ресурсам. Страны на карте подсвечены цветом, оранжевым обозначается территория с максимальным количеством обращений к сайту, а белым ― отсутствие запросов.

ScanGuard

Компонент, включающий 2 сервиса для сканирования уязвимостей сайта. В нём приводится список подключенных к системе ресурсов, их статус и балльная оценка их критической значимости. Запуск сканеров возможен только по верифицированным сайтам.

Рисунок 17. Компонент ScanGuard в Solar Space

В текущей комплектации Solar Space пользователям доступно два сервиса мониторинга ― облачный сканер веб-сервера и сервис мониторинга внешних цифровых угроз Solar AURA. Первый контролирует степень защищённости внешнего периметра подконтрольной инфраструктуры. Он проверяет узлы на наличие уязвимостей, из-за которых злоумышленники могут перехватить управление сайтом, получить доступ к платёжным реквизитам, конфиденциальным данным. 

Рисунок 18. Пример отчёта по поиску уязвимостей в Solar Space

Сканер веб-сервера позволяет обнаруживать:

• открытые порты;
• слабые протоколы;
• криптографические уязвимости;
• небезопасные заголовки, устаревшие CMS и прочие конфигурационные риски;
• некорректную настройку сетевых служб;
• уязвимости, прописанные в агрегированных базах данных (NIST NVD, CVE, БДУ ФСТЭК России, Exploit-DB, Wordfence и др.).

По результатам сканирования система даёт оценку уровня критической значимости обнаруженных уязвимостей. Градация проводится по 10-балльной шкале CVSS, где 0–3 — низкая, 4–7 — средняя, 8–10 — критическая степень риска. В детализированном отчёте система формирует 3 оценки уязвимости IP-адреса (базовая, возможность эксплуатации и последствия воздействия). Кроме того, Solar Space формирует рекомендации по их устранению.

Второй сервис мониторинга ― Solar AURA ― предназначен для контроля внешних цифровых угроз. Он позволяет обнаруживать маскирующиеся под сайт фишинговые домены, утечки логинов и открытые порты.

Рисунок 19. Пример отчёта сервиса AURA в Solar Space

Сканирование Solar AURA занимает около 30 минут и по его результатам формируется детализированный отчёт. В нём отображаются нелегитимные копии сайта, скомпрометированные адреса электронной почты сотрудников, действующий сертификат, а также открытые для внешних соединений порты.

«Веб-защита» 

Основной компонент Solar Space, в котором можно посмотреть, какие инструменты защиты подключены к конкретному ресурсу (Anti-DDoS, AntiBot, WAF Lite). Сайту в зависимости от этапа его верификации может быть присвоен статус «Под защитой», «Отключен», «Ожидание» (идёт верификация ресурса) или «Не защищён». По каждому подключенному сервису можно посмотреть статистику его работы. Предусмотрена возможность фильтрации данных за отчётный период (30 дней), последние 24 часа или за всё время работы сервиса.

Рисунок 20. Компонент «Веб-защита» в Solar Space

В компоненте приводится список доступных сервисов с их кратким описанием и переключателем активации услуги. Настройка веб-защиты производится по таким направлениям как добавление SSL-сертификата, перенаправление трафика, добавление целевого IP-адреса, HTTP-заголовков и задание ограничений доступа. 

Рисунок 21. Ограничение доступа в Solar Space

В общих настройках веб-защиты мы нашли возможность настройки доступа к ресурсу из определённых стран и с IP-адресов. В панели управления есть следующие опции:

• без ограничений;
• только у стран из списка ниже;
• у всех кроме стран из списка ниже.

Кроме того, существуют чёрный и белый списки («Black list» и «White list» в панели соответственно). В чёрный список можно добавить IP-адреса и подсети вручную или импортировать списком. Белый же позволяет заносить IP-адреса лишь поштучно, в этом случае пользователь будет получать доступ к ресурсу даже если его IP-адрес зарегистрирован в заблокированной стране.

Системные требования Solar Space

При использовании облачного программного комплекса Solar Space каких-либо системных требований к рабочей машине не предъявляется. Необходимо лишь обеспечить стабильное подключение к интернету.

В случае локального развёртывания системные требования будут зависеть от нагрузки на систему. При минимальной загруженности (до 120 тыс. запросов) потребуется 16-ядерный процессор, 32 ГБ оперативной памяти и свободное дисковое пространство от 100 ГБ. При высоких нагрузках (до 500 тыс. обращений к сайту) необходимо обеспечить 128 процессорных ядер, 128 ГБ оперативной памяти и от 500 ГБ места на жёстком диске.

Политика лицензирования Solar Space

Solar Space может быть развёрнут в облаке или поставляться в виде локального (on-premise) решения. Рассмотрим, как в этих двух случаях будет происходить лицензирование продукта.

Облачная версия

Cloud-версия Solar Space работает по подписке. Заказчик может самостоятельно выбирать предпочтительную комплектацию решения. Доступные тарифы представлены в таблице 2.

Таблица 2. Тарифы на облачные сервисы Solar Space

Поддержка «Солара» помогает определить оптимальную для конкретного сайта систему защиты. Для этого изучается устойчивость ресурса к киберугрозам, интенсивность трафика, а также количество интеграций со сторонними сервисами.

Локальная версия

Систему Solar Space можно запустить и на собственном сервере организации. В него будут входить все те же компоненты (Anti-DDoS, AntiBot, WAF Lite) без необходимости передачи SSL-сертификата, что даст заказчику полный контроль над трафиком и сертификатами безопасности. 

Единого тарифа на локальное размещение Solar Space нет. Итоговая цена зависит от архитектуры, предполагаемой нагрузки на сервер и ряда других факторов. При необходимости вендор может включить в стоимость пакета обучение сотрудников компании и расширенное техническое сопровождение продукта. Лицензия будет являться бессрочной, в неё будут включены платежи за внедрение, пакеты обновлений и сертификат на аналитическую поддержку.

Сценарии использования Solar Space на примере постановки домена на защиту

В качестве примера рассмотрим, как в Solar Space можно поставить домен на защиту. Начать необходимо с создания ресурса и перенастройки маршрута трафика. Это делается для того, чтобы все записи поступали на защищённый сервер Solar Space. При этом остальные IP-адреса необходимо удалить, обеспечив тем самым единый и безопасный узел фильтрации входящих запросов. 

Процесс настройки трафика проходит в несколько этапов.

Перенаправление трафика настраивается в компоненте «Веб-защита», вкладка «Домен и SSL». При нажатии на кнопку «Настроить трафик» отобразится запись DNS-A, которую необходимо перенести в параметры созданного домена.

Рисунок 22. Перенаправление трафика в Solar Space

Дальше нужно перейти в раздел управления доменом на сайте DNS-регистратора и заменить указанную в нём А-запись той, что была скопирована из Solar Space.

Рисунок 23. Замена DNS-записи у хостинг-провайдера

После этого можно вернуться к созданному ресурсу в Solar Space и перейти к настройкам его защиты. В форму необходимо добавить скопированную запись DNS-A, а также проверить правильность остальных параметров. Нажать кнопку «Подтвердить».

Рисунок 24. Подтверждение перенаправления трафика в Solar Space

На перенаправление трафика система запрашивает разрешение у хостинг-провайдера. Обновление DNS-данных, как правило, занимает около 1 часа.

Рисунок 25. Защищённый домен в Solar Space

Созданный домен будет отображаться в разделе «Мои ресурсы». Если по нему программа указывает статус «Не защищён», значит, трафик не был перенаправлен. При правильных настройках домену присваивается статус «Под защитой», а ресурс визуально подсвечивается зелёным цветом.

Выводы

Solar Space позволяет обеспечивать надёжную защиту сайтов от внешних угроз и сохранять работоспособность ресурса при кибератаках, включая возможность продолжать онлайн-продажи. Кроме того, решение сохраняет конфиденциальность критически важной информации (например, платёжных реквизитов), не давая злоумышленникам подменить её и не допуская утечек. 

Продукт уже успешно прошёл тестирование компаниями различных направлений деятельности (транспортная отрасль, образование, сфера услуг, оптовой и розничной торговли). В планах разработчиков подключить к Solar Space дополнительные средства защиты (SEG для защиты электронной почты от спама и фишинга, Security DNS для обеспечения безопасности DNS-запросов, StressTest для тестирования системы на устойчивость к повышенным нагрузкам, Zero Day для углубленного сканирования на уязвимости) и расширить уже существующий аналитический инструментарий.

Достоинства:

• Интуитивно понятный интерфейс.
• Соответствие российской регуляторике.
• Поддержка работоспособности сайта даже во время атак.
• Лёгкость подключения и миграции сайтов.
• Гибкое ценообразование.
• Эффективная защита от DDoS, веб-атак и ботов.
• Встроенные технологии машинного обучения.
• Наглядная аналитика.

Недостатки:

• Отсутствие тикет-системы для общения с поддержкой (в разработке).
• Отсутствие CDN-серверов.
• Малое количество точек для фильтрации трафика (есть только 1 узел в Москве, но запланировано еще 3).
• Мелкие баги при входе в систему и некоторые разделы личного кабинета.