Стратегия построения корпоративной защиты от фишинговых угроз
Георгий Гусляев
специалист по корпоративной ИБ, участник ассоциации ICSA
Какие методы позволяют эффективно противостоять современным фишинговым угрозам с использованием антиспам-решений, DLP-систем и грамотного взаимодействия с персоналом? Своим взглядом делится Георгий Гусляев, эксперт в области корпоративной информационной безопасности, член ассоциации ICSA.
Исходная точка — электронное письмо
Согласно данным Bi.Zone Threat Zone, в 2024 году 60% успешных атак на российские компании были инициированы через фишинговые рассылки. На основе собственной практики могу отметить, что реальный показатель может оказаться ещё выше. Сегодня создание вредоносных писем стало для злоумышленников как никогда доступным — во многом благодаря возможностям генеративного искусственного интеллекта. При этом даже единичная успешная фишинговая атака способна привести к полной компрометации инфраструктуры и колоссальным финансовым убыткам.
Риски возрастают пропорционально численности персонала в организации. Это объясняется тем, что фишинг целенаправленно эксплуатирует человеческий фактор — рядовых сотрудников. Зачастую они недостаточно знакомы с основами цифровой гигиены и не стремятся сообщать о своих ошибках службе безопасности. Поэтому при разработке стратегии информационной безопасности для компаний, в которых мне приходилось работать (с штатом от 5 до 15 тысяч сотрудников), я неизменно выделял защиту от фишинга в число ключевых задач.
В этой статье я поделюсь практическим опытом и объясню, каким образом мы с коллегами решаем данную проблему, снижая возможные риски.
Какие меры помогают противостоять фишингу?
Наиболее действенной стратегией противодействия фишингу я считаю комбинацию технических инструментов, таких как антиспам и DLP, с постоянной работой по обучению персонала в сфере информационной безопасности. В реальности случаи бывают разными, но общий принцип следующий:
- Почтовый шлюз с антиспамом осуществляет первоначальную фильтрацию опасных сообщений.
- Система DLP на компьютерах сотрудников обнаруживает письма, прошедшие через антиспам, и регистрирует действия пользователей с ними.
- Сотрудники информируют отдел ИБ о найденных угрозах или случаях попадания на удочку, после чего специалисты предпринимают шаги по устранению инцидента.
- Отдел ИБ регулярно проводит инструктажи и повышает грамотность пользователей в вопросах безопасности, уделяя особое внимание распознаванию фишинговых писем.
С ролью антиспама всё ясно, однако для DLP-систем это не является главной функцией. Каким образом и для чего системы защиты от утечек данных выявляют фишинговые сообщения?
Какую роль играет DLP
Чтобы избежать голой теории, я опишу возможности конкретного продукта — «СёрчИнформ КИБ». В контексте борьбы с фишингом эта DLP-система решает четыре основные задачи:
1. Обнаружение фишинговых писем, пропущенных антиспамом
В КИБ мы настроили автоматическое выявление подобных инцидентов. За это отвечают политики безопасности — алгоритмы, которые находят события по заданным параметрам и оповещают специалиста по ИБ. Политики можно детально настроить, что позволяет эффективно выявлять то, что пропустил антиспам. Мы реализовали автоматический поиск по двум ключевым признакам:
- Поиск характерных слов и выражений, указывающих на фишинг. Например: «ваш аккаунт будет заблокирован»; «требуется оплата»; «немедленно войдите»; «изменение пароля»; secure login; urgent action required и т.п.
- Поиск укороченных или замаскированных ссылок (bit.ly, tinyurl и др.) с помощью регулярных выражений. Например: «https?://(bit.ly|tinyurl.com|t.co|goo.su|vk.cc)/[A-Za-z0-9]+».
2. Выявление потенциально опасных ссылок и вложений
Поиск «подозрительных» писем в DLP также можно автоматизировать через политики. Однако здесь задача иная — выделить из общего потока внешне «безобидные» сообщения, которые всё же могут нести вредоносный контент: если не в тексте, то во вложениях. Это меняет внутренние критерии политик безопасности. В данном случае система ищет:
- Сообщения от ненадежных источников — электронные письма с фальшивых доменов, имитирующих адреса вашей или других организаций путем замены символов (к примеру, micr0soft). В этом помогает регулярное выражение «([a-z0-9]+@[a-z]+.(corn|c0m|net|org|co))».
- Письма, содержащие вложения с потенциально опасными типами файлов: .exe; .scr; .js; .vbs; .bat; .cmd; .hta; .iso; .img.
- Ссылки, направляющие на домены из блокировочных списков антифишинговых сервисов: PhishTank, VirusTotal, Spamhaus и других.
- Подозрительные перенаправления (множественные «//» в адресе, использование IP-адресов вместо доменных имен) с помощью регулярного выражения «https?://(?:[a-z0-9-]+.)?(?:[a-z0-9-]+.)?[a-z0-9-]+.ru/[a-z0-9-_]/[a-z0-9-_]{3,}».
Письма, в которых система обнаруживает подобные признаки, заносятся в перечень инцидентов. Затем специалист по информационной безопасности анализирует их и, если подтверждается вредоносный характер, направляет запрос коллегам из IT-отдела на удаление письма с почтового сервера. Весь процесс занимает не более 10-15 минут. Такое согласованное взаимодействие позволяет быстро изолировать угрозу, минимизируя число пользователей, которые могли бы с ней столкнуться.
3. Отслеживает действия пользователей с письмом
С помощью системы кибербезопасности мы также определяем, сколько сотрудников успели получить вредоносное письмо, если его не удалось оперативно удалить с сервера. Например, если сотрудник самостоятельно сообщил в отдел ИБ о фишинге или он был выявлен одной из политик безопасности. В такой ситуации необходимо выяснить, кто еще мог стать целью атаки.
В этом помогает построение цепочки распространения контента, которая отслеживает путь письма или его вложений внутри организации по их хеш-суммам. В результате становится видно, сколько пользователей оказались под воздействием фишинговой атаки.
Далее мы анализируем, какие действия совершали сотрудники с письмом. Система кибербезопасности регистрирует всю активность пользователей на компьютерах, поэтому мы можем точно установить, кто открыл или загрузил вложение, перешел по ссылке в письме или переслал его коллегам. Например, с помощью скриншотов или записей экрана можно наблюдать, как получатель отреагировал на сообщение, куда нажимал и т.д. Также мы оцениваем объем и содержание почтового, браузерного и иного трафика, связанного с письмом. В нем может содержаться информация о том, что сотрудник ввел на фишинговом сайте, куда передавались эти данные и прочее. Это помогает оценить потенциальный ущерб от инцидента.
По итогам такого анализа становится понятно, какие меры необходимы для локализации угрозы. Одновременно мы понимаем, как сотрудники реагируют на опасность — поддадутся ли они на фишинг, скроют ли ошибку, чтобы избежать ответственности за нарушение, или своевременно уведомят отдел ИБ?
Объяснять обязательно, игнорировать нельзя
В сфере информационной безопасности не существует абсолютной защиты, поскольку злоумышленники постоянно совершенствуют методы атак. Поэтому, помимо технических мер, крайне важно регулярно работать с персоналом. Это позволяет сократить количество инцидентов и быстро получать сведения, если сотрудник допустил ошибку — например, ввёл свои учётные данные на поддельном сайте.
Подход к обучению персонала основам ИБ уникален для каждой организации и зависит от доступных ресурсов. Однако существует ряд базовых практик, которые я лично применяю и советую другим.
Вводный инструктаж по ИБ. После трудоустройства новые сотрудники проходят краткий курс по кибербезопасности: изучают запрещённые и разрешённые действия, учатся распознавать фишинговые сообщения и т.д. Завершается обучение обязательным тестированием — без его прохождения курс считается неоконченным.
Учебные фишинговые атаки. Ежемесячно случайно выбранные сотрудники получают имитацию фишинговых писем, подготовленных отделом ИБ. С теми, кто отреагировал на них, связывается специалист и назначает дополнительное обучение.
Занятия по повышению грамотности в ИБ. Для сотрудников, попавшихся на уловки фишинга, мы организуем вебинары. На них детально разбираются допущенные ошибки и объясняются способы их избежать. Такой формат помогает создать атмосферу доверия: ошибаться не страшно, важно вовремя сообщить об этом.
Специальный канал связи. Как правило, после вебинаров сотрудники активнее обращаются за консультациями по вопросам безопасности. Это положительная тенденция, способствующая росту общей осведомлённости. Для удобства мы создали отдельный электронный адрес и чат в мессенджере. Теперь любой работник может, например, спросить, как поступить, если он случайно передал мошенникам данные из СМС.
Меры воздействия и стимулирование. Если сотрудник регулярно нарушает правила и избегает взаимодействия с нами, применяется мотивационная мера — на его компьютере отключается доступ в интернет. При этом почта и рабочие приложения остаются доступны. Для восстановления полного доступа необходимо выполнить условия: повторно пройти вводный инструктаж, посетить вебинар и т.д.
Итоги
Описанный подход к противодействию фишингу построен по принципу многоуровневой защиты. Первый уровень — первоначальная фильтрация антиспамом, второй — использование DLP-систем (автоматическое выявление фишинга и ручной анализ инцидентов). Третий уровень — постоянная работа с сотрудниками.
В этой схеме DLP выступает связующим звеном между службой ИБ и рядовыми пользователями. Система помогает сократить поток вредоносных писем и оценить, насколько хорошо каждый сотрудник распознаёт фишинговые угрозы. Это позволяет выявлять слабые места в общей системе защиты.
В перспективе мы планируем расширить возможности за счёт искусственного интеллекта. К примеру, обучить систему анализировать индикаторы компрометации и автоматически направлять эти сведения в антиспам, DLP и прочие защитные механизмы. Кроме того, ИИ потенциально способен помочь в борьбе со спуфингом. Пока это идея на стадии изучения, но мы с командой уже загрузили часть данных из DLP в локальную модель и проверяем полученные результаты.
■ Рекламаerid:2W5zFKAJUtpРекламодатель: Общество с ограниченной ответственностью «СерчИнформ»ИНН/ОГРН: 7704306397/1157746137955Сайт: https://searchinform.ru/
