Журнал "Information Security/ Информационная безопасность" #1, 2026

• 33 DRP www.itsec.ru Типичная ситуация: найден фишинго- вый сайт, закрыт – и спустя время он появляется снова с другим доменом или слегка измененным контентом. Фор- мально это новый инцидент, по сути – продолжение той же схемы. При росте таких случаев возникают повторяющиеся задачи: ресурс приходится заново нахо- дить, проверять связь с предыдущими, обновлять статус и отслеживать изме- нения. В итоге значительная часть вре- мени уходит не на новые угрозы, а на перепроверку уже известных. Из этого мы сделали простой вывод: если система требует от аналитика регу- лярно возвращаться к одним и тем же ресурсам и вручную проверять их состоя- ние, она не масштабируется. При росте количества инцидентов она просто потребует больше людей. Поэтому в решении F6 Digital Risk Protection мы не стали пытаться ускорить работу ана- литиков. Вместо этого начали убирать из процесса те шаги, которые требуют ручного труда. Мы используем AI-анализ для извлече- ния текста со страниц и автоматизации детектирующих правил. В скоринговой модели учитываются уровни риска, что повышает точность классификации и скорость выявления нарушений. AI выносит вердикт: фишинг, скам, ВПО или... отсутствие нарушения. Далее движемся к более глубокой интерпретации: в ближайших релизах – применение LLM для анализа неструкту- рированных источников. Это позволит учитывать не только индикаторы, но и контекст – понимать содержание объ- явлений, постов и описаний. Параллельно развиваем Scam Intelligence – выявление не отдельных инцидентов, а целых мошен- нических схем и их инфраструктуры. Самая сложная задача – проактивная оценка масштаба атаки: сегодня угроз может не быть, а завтра появляются сайты-клоны с социальной инженерией и мимикрией. Даже несколько инциден- тов способны привести к потерям, сопо- ставимым с многолетним бюджетом защиты. Поэтому такие риски разумно рассматривать как вероятностные и управлять ими по принципу страховки. Как компания из сферы ИБ, мы используем широкий набор данных для анализа злоупотреблений брендом, пре- доставляем детальную аналитику по каждому кейсу и информируем рынок о новых угрозах через отчеты и кейсы. Инциденты и их статусы Мы пересмотрели подход к работе с инцидентами. Раньше ресурсы созда- вались как отдельные записи для разных команд (ИБ, юристов, подрядчиков), что приводило к дублированию. Теперь ресурсы автоматически попадают в систему, проверяются и сразу учиты- ваются в защите бренда. Все работают с одной записью через API и видят еди- ный статус – без пересылок и пере- оформления. Проблемой оставались статусы: при ручном задании они быстро устаревают, создавая расхождения с реальностью. Мы решили это автоматической пере- проверкой: ресурсы регулярно прове- ряются без участия человека, а измене- ния сразу обновляют статус. Система больше не зависит от ручного контроля. От отдельных находок к пониманию схемы Далее мы пересмотрели сам подход к анализу угроз. Пользователь сталки- вается не с одним ресурсом, а с цепоч- кой: объявление – ссылка – промежу- точная страница – финальный сайт. При анализе по отдельности часть картины теряется, поэтому мы перешли к анализу цепочек. Например, в контекстной рекламе оце- ниваем не только объявление, но и весь маршрут – куда ведет ссылка, через какие переходы проходит пользователь и что он видит в итоге. Это позволяет выявлять ситуации, когда объявление выглядит безопасно, а риск возникает дальше по цепочке. Аналогичная ситуация с фишинговыми страницами: текст часто не содержит явных признаков – без упоминаний брен- да и подозрительных формулировок. При этом визуально страница полностью копирует оригинал: логотип, цвета, интерфейс. Пользователь ориентируется на внешний вид и воспринимает ее как легитимную. При анализе только текста такие случаи легко пропустить, поэтому мы добавили анализ визуальных эле- ментов, чтобы оценивать страницу так, как ее видит пользователь. Что поменяется в работе команды Не забыли и про аналитиков: упростили интерфейс, чтобы ускорить поиск данных и сбор контекста. Вся информация по инциденту собрана в модуле Violations – скриншоты, Whois, статус, ошибки и пр. Оператору не нужно переключаться между вкладками, вся картина доступна сразу. В результате мы снизили нагрузку на команды за счет отказа от рутины: анали- тики теперь работают с приоритетами и рисками, а не с обновлением статусов. Мы переработали приоритизацию: систе- ма поднимает угрозы, реально влияющие на бизнес – репутацию, трафик и финансы, что требует сложной модели оценки. В текущих реалиях мы предлагаем DRP как под ключ (мониторинг, выявление, оценку и реагирование на инциденты), так и развиваем микро- сервисы, которые заказчик может использовать у себя, если все решение целиком не требуется. Система не требует интеграции, настроек и слож- ных внедрений. Узнать все подробно- сти и получить демо можно на офици- альном сайте F6. l Наш AI сам выносит вердикт: скам, фишинг или ВПО каждым годом цифровые угрозы для брендов – скам, фишинг или незаконное использование интеллектуальной собственности – демонстрируют высокую степень автоматизации и использования новых генеративных моделей для наполнения мошеннических страниц фейковым контентом. Для противодействия подобным киберугрозам нужно быть гораздо быстрее злоумышленников. С Станислав Гончаров, руководитель департамента Digital Risk Protection, F6 Фото: F6 На правах рекламы