
Архивы как канал доставки угроз в веб-трафике: аналитика, кейсы и выводы
Узнать больше
Узнайте больше о Solar WebProxy
Спасибо, заявка получена
Мы свяжемся с вами в течение двух дней
по вашему запросу.
FTP-трафик часто замечают слишком поздно — когда файл уже ушел на внешний сервер. Это может быть архив, выгрузка, конфигурация или документ с чувствительными данными. Для ИБ важен не сам факт использования протокола, а прозрачность передачи: кто, куда, что и в каком направлении передает. Разбираем, чем опасен FTP-трафик и как SWG помогает контролировать его в поддерживаемых прокси-сценариях.
Почему FTP-трафик до сих пор важен для бизнеса
Бизнес продолжает использовать FTP там, где нужен простой обмен файлами: загрузить каталог на внешний сервер, получить выгрузку от подрядчика, передать изображения, обновления, архивы, технические файлы или наборы данных для интеграций. Через этот канал передают прайс-листы, отчеты, архивы, технические файлы, дампы, изображения, обновления и наборы данных для интеграций.
Проблема не в том, что FTP-протокол существует. Проблема начинается, когда FTP-трафик выпадает из политики, по которой контролируется остальной интернет-трафик. В такой ситуации организация видит веб-сайты и облачные сервисы, но хуже понимает, что происходит с файловыми передачами через отдельные клиенты.
Для ИБ это похоже на матч на высокой скорости: если один фланг оставлен без защитника, соперник найдет пространство. Поэтому контроль FTP-соединений нужен не как редкая настройка «на всякий случай», а как часть внутренней мускулатуры компании — вместе с SWG, DLP, антивирусом, песочницей и SIEM.
Что такое FTP-трафик и где его используют
FTP, или File Transfer Protocol, — прикладной протокол для обмена файлами между клиентом и сервером. Клиент подключается к серверу, проходит авторизацию и выполняет файловые операции: скачивает или загружает файл, просматривает каталог, переименовывает или удаляет объект.
В корпоративной среде FTP-трафик часто идет не из браузера, а из отдельных клиентов: WinSCP, FileZilla и аналогичных инструментов. Ими пользуются администраторы, разработчики, контент-команды и сервисы интеграции, когда нужно быстро передать файлы на внешний ресурс.
Важно не смешивать FTP, FTPS и SFTP. FTP в классическом виде не шифрует учетные данные и содержимое передачи. FTPS добавляет к FTP защиту с помощью TLS. SFTP — это другой протокол, работающий поверх SSH. Но даже если используется защищенный вариант передачи, шифрование не заменяет контроль: ИБ-команде все равно важно понимать маршрут, пользователя, сервер, направление передачи, тип файла и результат политики.
Поэтому вопрос звучит не только как «использовать FTP или более защищенный протокол». Для корпоративной безопасности важнее другое: проходит ли файловый обмен через управляемый маршрут и применяются ли к нему правила ИБ.
Основные риски FTP-трафика для компании
Почему FTP сложнее контролировать, чем обычный веб-трафик
FTP трафик не равен HTTP(S), поэтому его нельзя автоматически считать покрытым обычной веб-фильтрацией. Для веб-сайта достаточно контролировать URL, категорию ресурса, пользователя, тип запроса и результат политики. Для FTP важны дополнительные признаки: направление передачи, FTP-команда, сервер, порт, тип файла, размер, наличие архива или запароленного объекта.
Отдельная сложность — архитектура подключения. Если FTP идет напрямую в интернет, SWG может просто не оказаться на маршруте. Поэтому контроль начинается не с блокировки, а с правильного маршрута: трафик должен проходить через поддерживаемый прокси-сценарий, а прямые обходные подключения нужно ограничивать сетевыми политиками, маршрутизацией, NGFW и настройками рабочих станций.
Здесь важно не подменять классы решений. NGFW помогает ограничивать сетевой доступ, зоны, порты и прямые соединения. SWG нужен для применения политик к веб- и прокси-трафику, включая файловые сценарии. DLP, антивирус или песочница могут использоваться для более глубокого анализа содержимого. SIEM помогает связать события в общую картину расследования.
Файловый канал без слепых зон
Неконтролируемая передача файлов создает для бизнеса уязвимый маршрут, который может оставаться незаметным для ИБ-команды. Контроль FTP через SWG помогает вернуть прозрачность: видеть направление передачи, применять политики, проверять файлы и снижать риск до того, как он приведет к инциденту.
Екатерина Черкасова
PMM Solar webProxy
Как SWG помогает контролировать FTP-трафик
SWG становится точкой применения политики там, где FTP-трафик проходит через поддерживаемый прокси-сценарий. Это позволяет не просто разрешить или запретить соединение, а управлять файловыми операциями более детально.
В практическом сценарии ИБ-команда может контролировать:
Так FTP перестает быть отдельным «техническим исключением» и становится частью общей политики контроля файлового обмена.
SWG (Secure Web Gateway) — шлюз веб-безопасности. Он применяет политики доступа, анализирует трафик, помогает контролировать загрузку и выгрузку файлов, передает объекты на проверку и фиксирует события. Для FTP-трафика это особенно важно: канал перестает быть отдельной серой зоной и становится частью общей схемы защиты трафика.
Контроль начинается с маршрута
Контроль FTP через SWG работает там, где трафик проходит через поддерживаемый прокси-сценарий. Если клиент идет в обход корпоративного маршрута, риск нужно закрывать сетевыми политиками, агентом, NGFW, маршрутизацией и запретом прямых выходов.
Екатерина Черкасова
PMM Solar webProxy
Как Solar webProxy контролирует FTP-трафик
Solar webProxySolar webProxy — SWG-система для централизованного контроля интернет-доступа, фильтрации веб-трафика и защиты пользователей от веб-угроз. помогает централизованно управлять доступом пользователей к сайтам и веб-приложениям, контролировать их действия в сети и снижать риски, связанные с веб-угрозами. В продукте поддерживается анализ трафика HTTP, HTTPS, FTP over HTTP и SOCKS5, применение политик безопасности, DPI на уровне L7, авторизация пользователей и протоколирование действий.
В обновлении Solar webProxy 4.4 добавлена фильтрация FTP трафика, проходящего через HTTP- и SOCKS5-прокси. Это означает, что загрузки и выгрузки могут обрабатываться политиками, близкими к политикам веб-трафика: разрешить, запретить, отправить на проверку, зафиксировать событие.
Для эксплуатации это практичный рывок вперед. FTP-трафик от WinSCP, FileZilla и похожих клиентов становится видимым: можно понять, кто передает файлы, на какие серверы, в каком направлении и с каким результатом политики. Идея «Безопасность за нами» здесь выражается не лозунгом, а управляемым процессом.
Возьмите FTP-трафик под контроль. Скачайте презентацию Solar webProxy 4.4 и посмотрите, как контроль FTP через прокси встраивается в общую политику веб-безопасности.
Контроль архивов и запароленных объектов в Solar webProxy 4.5
Отдельный риск в FTP-канале — архивы. Они могут использоваться и для легитимной передачи файлов, и для обхода политик: внутрь архива можно поместить исполняемый файл, скрипт, документ с чувствительными данными или вложенный архив.
В Solar webProxy 4.5 усилена работа с архивами. Система может фильтровать архивы, блокировать объекты, защищенные паролем, а также распаковывать архивы и проверять вложенные объекты по условиям политики в HTTP(S)- и FTP-сценариях.
Это помогает закрыть распространенный сценарий обхода: когда запрещенный файл не передается напрямую, а помещается внутрь архива. В таком случае политика может применяться не только к самому архиву, но и к его содержимому: типам файлов, размеру, ключевым словам и другим условиям.
Также важна обработка проблемных архивов. Для поврежденных, запароленных или зашифрованных архивов, превышения таймаута распаковки или общего размера файлов в архиве можно задать действие политики: разрешить или заблокировать. Это позволяет заранее определить поведение системы в спорных ситуациях, а не разбирать их вручную после инцидента.
Проверка файлов и интеграция с внешними системами анализа
Контроль FTP-трафика не должен ограничиваться решением «разрешить или заблокировать соединение». Для ИБ важнее понимать, какие файлы передаются, в каком направлении и нужно ли отправить их на дополнительную проверку. Особенно это актуально для архивов, документов, исполняемых файлов, скриптов и других объектов, которые могут содержать чувствительные данные или вредоносный код.
В этом сценарии Solar webProxy может выступать точкой передачи файлов во внешние средства защиты. Через ICAPICAP — протокол интеграции прокси с внешними системами анализа контента, например DLP, антивирусом или песочницей. объекты направляются на проверку в DLP-систему, антивирус или песочницу, а результат обработки затем учитывается в рамках политики безопасности. Такой подход позволяет встроить FTP в общий контур контроля файлов, не создавая отдельный изолированный процесс для каждого канала.
Это важное архитектурное разделение: SWG не обязан заменять все инструменты контентного анализа. Его роль — встроить передачу файлов в управляемый процесс и связать прокси-контур с внешними средствами защиты.
В таком сценарии SWG выполняет несколько задач:
Так защита FTP-протокола становится частью единой системы управления рисками, а не набором разрозненных ручных проверок.
Журналирование и расследование инцидентов
Для ИБ-команды ценность контроля FTP не ограничивается блокировкой. Важнее другое: восстановить картину, если событие уже произошло. Кто подключался к серверу, какие файлы передавал, в каком направлении, какое правило сработало, был ли объект отправлен на проверку и чем закончилась обработка.
Блокировка сама по себе не дает полной картины. Без журналирования администратор не видит, какое правило, исключение или ресурс стали причиной срабатывания, а аналитик не может быстро связать подозрительный сервер с пользователем, подразделением и конкретной операцией.
Журналы Solar webProxy помогают разбирать такие ситуации системно и без догадок. Администратор или аналитик может опираться на факты: посмотреть, какое правило сработало, какой пользователь выполнял действие, какой ресурс использовался и почему операция была разрешена или заблокирована. Это упрощает расследование, настройку исключений и корректировку политик без хаотичных изменений.
Преимущества Solar webProxy для разных ролей
Для разных ролей контроль FTP дает практическую ценность:
Для CISO:
Для CIO и ИТ-директора:
Для администратора:
FTP не должен быть слепой зоной
В 2026 году зрелый подход к ИБ — не надеяться, что старые файловые каналы «как-нибудь не используют», а включать их в общую политику безопасности. FTP-протокол нужно рассматривать вместе с прокси, SWG, DLP, антивирусом, песочницей, NGFW и SIEM — как часть единого контура защиты, где каждый канал передачи данных остается видимым и управляемым.
Solar webProxy помогает контролировать FTP-трафик при работе через HTTP- и SOCKS5-прокси: применять политики, управлять загрузкой и выгрузкой файлов, передавать объекты на проверку и сохранять события для расследования. Так файловый обмен остается рабочим инструментом, а не неконтролируемым маршрутом для утечек или заноса вредоносных файлов.
Федеральная энергетическая компания — импортонезависимая защита КИИ
Задача: заменить зарубежное SWG-решение Forcepoint, сохранить непрерывный доступ пользователей к интернету и обеспечить защиту от веб-угроз в инфраструктуре предприятия энергетики с учетом требований к критической информационной инфраструктуре.
Решение: на предприятии внедрен Solar webProxy — российское SWG-решение для централизованного контроля интернет-доступа, прокси-сценариев и защиты пользователей от веб-угроз. Система поддерживает аутентификацию, прозрачный режим работы и помогает выстроить управляемый контур защиты без зависимости от зарубежного ПО.
Результат: под защитой оказалось более 14 000 пользователей; устранена зависимость от зарубежного программного обеспечения; обеспечены непрерывный доступ сотрудников к интернет-ресурсам, защита сетевого периметра в режиме реального времени и соответствие требованиям к защите критической информационной инфраструктуры.
Этот пример показывает практическую ценность SWG-подхода: бизнес сохраняет нужные цифровые процессы, а ИБ получает управляемый контур контроля. В сценариях с FTP-трафиком такая же логика помогает убрать «слепые зоны» при передаче файлов через прокси и встроить файловый обмен в общую систему защиты.

Усильте контроль файловых каналов
Оцените, как Solar webProxy 4.4 помогает управлять FTP-трафиком через прокси, проверять файлы и повышать прозрачность пользовательских действий.
Часто задаваемые вопросы
Через него могут уходить конфиденциальные файлы, архивы, выгрузки и конфигурации, а внутрь — попадать вредоносные объекты. Главный риск — отсутствие видимости, кто, куда, когда и что передал.
Прокси дает управляемую точку контроля: можно применить политики, запретить рискованные серверы, проверить файлы, записать событие и использовать лог в аудите или расследовании.
Нет. SWG не заменяет NGFW и DLP, а дополняет их. NGFW помогает ограничивать сетевые маршруты и прямые соединения, SWG применяет политики к трафику в поддерживаемом прокси-сценарии, а DLP и другие средства анализа могут использоваться для проверки содержимого файлов.
Solar webProxy 4.4 обрабатывает трафик, который идет через HTTP- и SOCKS5-прокси, применяет к нему правила доступа, фиксирует операции и поддерживает передачу файлов на проверку.
Да, в Solar webProxy 4.5 поддерживается фильтрация архивов, блокировка объектов, защищенных паролем, а также распаковка архивов и проверка вложенных объектов по условиям политики в HTTP(S)- и FTP-сценариях.
Логи показывают пользователя, ресурс, направление передачи, действие, файл и результат политики. Это помогает восстановить цепочку событий и быстрее понять причину нарушения или блокировки.
FTPS добавляет TLS к FTP, а SFTP работает поверх SSH. Но шифрование не заменяет контроль: ИБ все равно нужна видимость маршрута, операций, файлов, пользователей, исключений и решений политики.
Скачать материал
Спасибо!
Если файл не скачался, перейдите по ссылке
Файл не найден
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Запросить консультацию
Получите материалы вебинара
Получите контент бесплатно. Укажите e‑mail, и мы пришлем код доступа