
Приказ ФСТЭК России № 117: какие требования к веб-каналу важно учесть
Узнать больше
Узнайте больше о Solar WebProxy
Спасибо, заявка получена
Мы свяжемся с вами в течение двух дней
по вашему запросу.
Архив может выглядеть как обычный документ, но скрывать вредоносный скрипт или загрузчик. И приходит он уже не только по почте — все чаще через браузер, FTP и поддельные страницы. Разбираем, как остановить рискованную загрузку до попадания файла на устройство пользователя.
Не только почта: как архивы попадают через веб
Архив — это не просто формат файла, а потенциально непрозрачный контейнер. Внутри может быть скрипт, LNK-файл, исполняемый объект, вложенный архив или конфиденциальные данные, которые пытаются передать наружу. Если такой объект проходит через веб-канал без проверки содержимого, компания теряет контроль над одним из самых массовых сценариев доставки угроз и утечек.
Корпоративный интернет-трафик — это не только просмотр сайтов. Через него сотрудники получают документы, установщики, обновления, отчеты подрядчиков и файлы из облаков. В этом потоке ZIP, RAR или 7z часто выглядит как рабочий объект, а не как событие ИБ. Типовой сценарий прост: сотрудник ищет шаблон, драйвер или клиент для видеосвязи, переходит по ссылке, начинается загрузка архива, а внутри оказывается не PDF, а LNK, скрипт или цепочка загрузчиков. Пользователь видит привычную упаковку, а система уже может выполнять команды и обращаться к внешнему ресурсу.
SWG помогает закрыть этот участок: проверяет URL, домен, тип файла, направление передачи и содержимое объекта до попадания на рабочую станцию. Решение управляет доступом к веб-ресурсам, фильтрует HTTP(S)-трафик и помогает защищать пользователей от фишинговых, вредоносных и нежелательных сайтов.
В Solar webProxy 4.5 появился расширенный контроль архивов в веб-трафике: система может блокировать запароленные архивы, распаковывать поддерживаемые форматы и применять правила политики к вложенным файлам. Это помогает проверять не только внешний контейнер — например ZIP, RAR или 7z, — но и то, что находится внутри него.
Почему архивы удобны атакующим
Главная причина — маскировка вложения. Внутри вместо документа могут лежать файлы с рискованными расширениями:
Для пользователя это «счет», «акт» или «материалы», для атакующего — первая стадия заражения.
Вторая причина — доверие к формату. ZIP и RAR давно встроены в деловой обмен: ими пересылают договоры, проектные папки и выгрузки из систем. Поэтому угрозы безопасности архивов часто воспринимаются менее остро, чем исполняемый файл во вложении.
Третья причина — сложность проверки. Вложенные контейнеры, редкие форматы, крупные файлы и запароленные архивы могут мешать анализу на шлюзе. Атакующему не всегда нужно прятать всю программу: достаточно спрятать первый триггер, который скачает остальное из веба.
Отдельный риск — обход файловых политик. Если система проверяет только внешний контейнер, она видит project.zip, но не анализирует, что внутри лежит payload.exe, document.pdf.lnk или файл с чувствительными данными. В результате запрещенный объект может пройти через веб-канал просто потому, что его упаковали в архив.
|
Прием атакующего |
Как выглядит для пользователя |
Что должен видеть контроль |
|---|---|---|
|
Маскировка расширения |
«документ.pdf.lnk» |
реальный тип файла и MIME |
|
Ссылка вместо вложения |
письмо ведет на страницу загрузки |
URL, категорию и признаки риска |
|
Легитимная площадка |
файл лежит в облаке или репозитории |
сам объект, а не только домен |
|
Вторая стадия |
скрипт скачивает компонент |
последующие HTTP(S)-обращения |
Почему веб-канал нельзя оставлять слепой зоной
Компании давно усиливают защиту электронной почты: антиспам, песочницы, SPF/DKIM/DMARC, проверка вложений. Это необходимо, но недостаточно. Если письмо содержит ссылку, фактическое скачивание архива происходит уже в браузере — после клика, редиректа или одноразовой загрузки.
В отчете Netskope 2025 года отмечается, что большинство кликов по фишинговым ссылкам происходило не из имейлов, а из других точек веба, главным образом из поисковых систем. Вредоносные загрузки из популярных облачных приложений ежемесячно встречались у 88% организаций. Среди рекомендаций названы инспекция HTTP-/HTTPS-трафика и проверка высокорисковых типов файлов, включая архивы.
Отсюда вывод: защита трафика не сводится к запрету «плохих сайтов». Нужны веб-прокси, веб-фильтрация, контроль HTTPS там, где это разрешено политикой, и правила для файлов. Если опасный контейнер приходит через поиск, облако, FTP или поддельный сайт, веб-шлюз становится местом, где риск можно снизить раньше остальных средств защиты.

Контроль веб-загрузок без слепых зон
Solar webProxy 4.5 контролирует веб-загрузки до попадания файлов на устройства: проверяет содержимое архивов по правилам политики и блокирует запароленные контейнеры.
Многоступенчатая атака: где теряется видимость
Многоступенчатый сценарий редко выглядит как один вредоносный файл. Чаще первый объект только подготавливает среду: запускает PowerShell, cmd, curl, bitsadmin, tar или другой штатный инструмент. Следующие компоненты приходят позже — с домена злоумышленника, из репозитория или со скомпрометированного сайта.
Такой подход усложняет расследование. Почтовый шлюз может увидеть только письмо со ссылкой, endpoint — уже запущенный процесс, а сетевой экран — соединение с внешним ресурсом. Без связки событий трудно понять, кто начал цепочку, откуда пришел файл и почему рабочая станция стала обращаться к нетипичному домену.
Контроль до первого клика
В веб-канале важен не запрет всего подряд, а проверка до момента, когда файл окажется на рабочей станции. Чем раньше шлюз видит источник, тип объекта и вложенное содержимое, тем меньше пространства остается для скрытой многоступенчатой цепочки атаки.
Екатерина Черкасова
PMM Solar webProxy
Поэтому для веб-рисков важны не только сигнатуры. Нужны контекст и политика, которые учитывают:
Даже обычный архив загрузки с сайта софта должен проверяться не только по названию или расширению, но и по фактическому составу: что находится внутри, можно ли это проанализировать и допустим ли такой объект для конкретного пользователя, группы или сценария работы.
Архивы как устойчивый формат атаки
Квартальные отчеты HP Wolf Security Threat Insights за 2025 год показывают устойчивость формата в выборке угроз, пойманных HP Sure Click: 38% в первом квартале, 40% во втором, 45% в третьем и 36% в четвертом. Это не «доля всех атак в мире», а статистика HP по проанализированным угрозам.
В тех же отчетах виден и веб-канал. В первом, втором и четвертом кварталах 2025 года загрузки через браузер составляли 23% зафиксированных угроз, а в третьем — 16%. Доля почтовых угроз, которые обошли как минимум один почтовый шлюз, колебалась от 11 до 14%.
Архив сам по себе не является угрозой. Риск возникает, когда привычный формат используют как упаковку для вредоносной цепочки. Такая загрузка может пройти там, где почтовая проверка уже не видит файл: через браузер, облако, FTP или поддельную страницу.
Поэтому при построении защиты важно оценивать не только почтовый контур, но и весь путь веб-загрузки: от URL и категории ресурса до проверки файла по правилам политики. Практические сценарии такого контроля удобно изучить на примере возможностей Solar webProxy.
Контролируйте веб-загрузки. Узнайте, как Solar webProxy работает с веб-трафиком, политиками и проверкой файлов.
Кейсы: когда файл становится входом в атаку
PhantomCore/HeadMare. В январе 2026 года российской компанией в сфере кибербезопасности была описана волна писем с темой «ТЗ на согласование»: ZIP-вложение содержало LNK и документ-приманку, а LNK запускал загрузку PowerShell-скрипта. Кейс показывает, что первичный контейнер может быть только пусковым механизмом.
ForumTroll. Международная компания в сфере кибербезопасности описала атаки на российских ученых: письма под видом eLibrary вели к скачиванию файла с LNK, после чего запускалась PowerShell-цепочка и финальная нагрузка Tuoni. Здесь письмо было приманкой, а доставка происходила после перехода по ссылке.
Silver Fox / Void Arachne. Американская компания по управлению безопасностью связала кампанию Silver Fox с SEO poisoning вокруг Microsoft Teams: пользователь попадал на поддельную страницу загрузки и получал ZIP с троянизированным установщиком. Это прямой пример риска из поисковой выдачи.
VasyGrek. В атаках августа — ноября 2025 года вредоносный объект доставлялся и как вложение, и по ссылкам на GitHub или домены злоумышленника; позднее в цепочках использовались BAT и VBS. Это пример комбинированной модели, где имейл и веб работают вместе.
NetMedved. Российская компания описала фишинговую активность с первичным контейнером, LNK и последующей загрузкой ZIP, замаскированного под PDF, после чего запускался NetSupportRAT. Здесь опасность не ограничивается первым файлом: следующая стадия тоже идет из внешнего источника.
Erudite Mogwai. В расследовании Solar 4RAYS указывается, что письмо вело на сервис одноразовых ссылок организации-жертвы, откуда скачивался «Приложение.7z» с документами и LNK, замаскированным под PDF. Почтовая защита могла не увидеть объект, потому что пользователь получал его после дополнительных действий в вебе.
Практическая защита: что контролировать
Рабочая модель защиты начинается с источника. Веб-шлюз должен оценивать категорию сайта, URL, протокол, списки ресурсов. Для ИБ-команды важно понимать: это корпоративный ресурс, облако, новый домен, файлообменник, FTP или подозрительная страница загрузки.
Далее проверяется сам объект: тип файла и MIME, имя, размер, направление передачи, ключевые слова, допустимость загрузки и выгрузки. Отдельный сценарий — запароленный архив. Для таких объектов стоит настраивать блокировку на веб-шлюзе: если содержимое закрыто паролем, его нельзя проверить по правилам политики до попадания в рабочую среду.
Практический набор мер:
Архивы — это не только входящая угроза, но и канал утечки
Через веб-канал архивы могут не только попадать в инфраструктуру, но и уходить наружу. Сотрудник может упаковать документы, выгрузки, базы, коммерческие материалы или техническую информацию и отправить их во внешний сервис. Если система видит только факт обращения к ресурсу, но не анализирует передаваемый объект, такой сценарий сложно вовремя обнаружить.
Поэтому для защиты важен контроль обоих направлений: скачивания архивов из интернета и загрузки файлов на внешние ресурсы. В Solar webProxy 4.5 политики можно применять к архивам в веб-трафике, включая сценарии download и upload, а события фиксировать в статистике для дальнейшего анализа.
Где помогает Solar webProxy 4.5
Solar webProxy — это SWG-система для контроля доступа сотрудников к интернет-ресурсам, фильтрации веб-трафика и защиты от веб-угроз. Возможности продукта включают политики по пользователям, группам, URL/IP, категориям, типам файлов, ключевым словам, расписанию и протоколам, HTTPS-инспекцию, контроль загрузки и выгрузки файлов, антивирусный модуль, ICAP-интеграции, журналы и отчеты.
В Solar webProxy 4.5 усилен контроль архивов в веб-трафике: система позволяет настраивать блокировку запароленных контейнеров, распаковывать доступные для анализа форматы и проверять вложенные объекты по правилам политики в HTTP(S) и FTP-сценариях. Проверка может учитывать тип файла, имя, размер, ключевые слова и другие условия политики. В статистике фиксируются признаки защищенного объекта и причины фильтрации: пароль или шифрование, ошибка распаковки, превышение таймаута или размера, а также срабатывание правила на вложенный файл.
Это не заменяет EDR, NGFW, DLP или песочницу, а усиливает эшелонированную защиту именно в веб-канале. SWG и NGFW решают разные задачи: NGFW отвечает за сетевой периметр и контроль соединений, а SWG фокусируется на веб-канале — URL, категориях ресурсов, файлах, действиях пользователей и HTTPS-инспекции.

Проверяйте архивы до загрузки на устройство
Solar webProxy 4.5 останавливает непрозрачные контейнеры на веб-шлюзе и проверяет содержимое архивов до попадания файлов в рабочую среду.
Почему важно проверять файл на шлюзе
Бизнес не может отказаться от архивов: они удобны для обмена документами, проектами, отчетами и установочными пакетами. Но привычность делает их привлекательными для атакующих. Формат кажется безопасным, пока внутри не оказывается LNK, скрипт, исполняемый файл или первая стадия загрузчика.
Риск уже не ограничивается почтой. Загрузка архива может начаться из поиска, облака, FTP, одноразовой ссылки, репозитория, поддельного сайта или скомпрометированного ресурса. Поэтому такие сценарии нужно закрывать не только на уровне почтового шлюза, но и на уровне веб-доступа.
Кейс финансовой организации: замена зарубежного решения без потери функциональности
Финансовая организация внедрила Solar webProxy в рамках перехода на российское решение для контроля веб-доступа. Основная задача — быстро заменить зарубежный продукт, сохранить привычные сценарии защиты и встроить новый веб-шлюз в существующий ИБ-стек.
Проект охватил 6000 пользователей и был реализован за четыре месяца. После внедрения компания получила фильтрацию ресурсов по категориям, антивирусную проверку в режиме реального времени и интеграцию с DLP для предотвращения утечек.
Результаты проекта:
Этот кейс показывает, что веб-шлюз решает не только задачу блокировки отдельных файлов. Он становится частью корпоративного контура защиты: помогает контролировать доступ к ресурсам, проверять загружаемые объекты, снижать риск фишинга и вредоносного контента, а также поддерживать сценарии предотвращения утечек.
Solar webProxy 4.5 помогает контролировать этот сценарий на уровне SWG: блокировать непрозрачные контейнеры, распаковывать доступные для анализа объекты и применять политики к вложенному содержимому в HTTP(S) и FTP. Это снижает вероятность того, что опасный файл дойдет до устройства пользователя или уйдет наружу без проверки.

Запароленные архивы под контролем
Посмотрите, как Solar webProxy 4.5 помогает контролировать контейнеры в HTTP(S) и FTP.
Часто задаваемые вопросы
Это файл-контейнер для одного или нескольких объектов. Он удобен для передачи данных, но может скрывать скрипты, LNK или исполняемые файлы. Поэтому важны источник и содержимое.
Такие форматы привычны для бизнеса, помогают скрыть состав файлов и подходят для многоступенчатых цепочек. Первая стадия может запустить скрипт, а остальное будет получено из веба.
Файл может не попасть в зону почтовой проверки. Пользователь сам скачивает его с сайта, из облака, FTP, файлообменника или поддельной страницы. Поэтому нужен веб-контроль на шлюзе.
Антивирус важен, но лучше остановить объект раньше. SWG проверяет веб-трафик и применяет политики до того, как файл окажется на устройстве. Это снижает нагрузку на endpoint и EDR.
Система позволяет настроить блокировку запароленных архивов, распаковывает доступные форматы и проверяет вложения по правилам политики в HTTP(S) и FTP. Условия учитывают тип, имя, размер и ключевые слова.
Это сценарий, где первый файл запускает LNK или скрипт, а остальные компоненты загружаются позже с внешних веб-ресурсов или легитимных платформ. Поэтому важно видеть цепочку.
Риск несут ZIP, RAR, 7z и менее привычные форматы, особенно если они приходят из поиска, облака, FTP, одноразовой ссылки или поддельного сайта. Важны источник, наличие пароля и вложения.
Скачать материал
Спасибо!
Если файл не скачался, перейдите по ссылке
Файл не найден
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Запросить консультацию
Получите материалы вебинара
Получите контент бесплатно. Укажите e‑mail, и мы пришлем код доступа