Архивы оказались основным способом доставки вредоносных файлов: по данным ГК «Солар», в 2025 году на них приходилось около 37% подобных инцидентов. Примерно пятая часть вредоносных архивов загружалась через браузер, минуя почтовые фильтры. Архив удобен с точки зрения социальной инженерии: пользователь видит файл с расширением zip, rar и т.п., и названием «договор», «счет» или «отчет» и не воспринимает его как потенциальную угрозу.
Особый случай – архивы, защищенные паролем. Для любого сетевого средства защиты зашифрованное содержимое представляет собой непрозрачный объект: система не может проверить, что внутри, и либо блокирует весь файл целиком, либо пропускает его без анализа. На практике большинство защитных прокси-решений шли по второму пути, а злоумышленник или инсайдер мог использовать эту лазейку тривиальным способом: поместить вредоносный код в архив с паролем.
Ситуацию усугубляет то, что архивы поступают в корпоративную инфраструктуру не только по электронной почте, но и через облачные сервисы, FTP и обычные браузерные загрузки. Почтовые фильтры в такой схеме вообще не задействованы. Для полноценного анализа содержимого организациям приходилось подключать DLP-системы или «песочницы», которые есть далеко не у всех.
ГК «Солар» выпустила версию 4.5 своего SWG-решения Solar webProxy, в которой реализована инспекция архивов непосредственно на уровне прокси. Система поддерживает 16 форматов, включая ZIP, 7Z, RAR и TAR, распаковывает вложенные архивы и проверяет каждый файл внутри по политикам безопасности – по типу, имени, размеру и ключевым словам. Если хотя бы один объект попадает под запрещающее правило, блокируется весь архив. Глубина распаковки ограничивается таймаутом, поведение при его превышении настраивается администратором.
Запароленные архивы система не расшифровывает и не пытается подобрать пароль, она определяет сам факт наличия защиты по цифровым признакам и, если политика это предписывает, блокирует передачу. В журнале событий появилась отдельная колонка для отслеживания попыток отправить или скачать запароленные контейнеры.
Помимо работы с архивами, в версии 4.5 все сервисы переведены на работу от имени учетной записи с ограниченными правами вместо root, добавлена история изменений политик с возможностью отката на срок до 30 дней, расширена база категоризации веб-ресурсов до 40 млн доменов и добавлены новые методы комбинированной аутентификации.
