Журнал "Information Security/ Информационная безопасность" #4, 2025

редиректов, проверяет каждую получен- ную ссылку, анализирует содержимое страницы, ее код, DNS-записи, SSL-сер- тификат, данные о владельце и многое другое. В экспертном режиме KAIROS даже делает скриншоты страниц для наглядного изучения. Для повышения точности KAIROS обращается к внешним сервисам про- верки ссылок, собирая максимум источ- ников для вынесения объективного вер- дикта. Эти сервисы можно гибко настраивать в политике: подключать новые или отключать лишние. Одним из ключевых инструментов решения являются модели машинного обучения. Они помогают выявить спам, анализировать ссылки статически, выявлять вредоносные вложения. Моде- ли регулярно дообучаются и проходят проверку качества. Благодаря этому KAIROS защищает от широкого спектра атак: массового фишинга, целевого (Spear Phishing), атак на руководство (Whaling), подменных писем (Clone Phishing), кибер- и тайпск- воттинга, генерации доменов (DGA) и подделки доменов с помощью Puny- code. Модели машинного обучения Компания АВ Софт уже много лет развивает технологии машинного обуче- ния и использует их для комплексной защиты почты. В продуктах применяются проверенные временем алгоритмы и модели: от классических (RandomFor- est, CatBoost, XGBoost, LightGBM, KNN, K-Means) до современных нейросетей (CNN, RNN, LSTM, BI-LSTM), моделей компьютерного зрения на базе OpenCV и NLP-решений вроде BERT и LLM. Все ML-модели в KAIROS проходят полный цикл поддержки – дообучение, ансамблирование, сопровождение и мониторинг, доступные пользователю. Для каждого типа входных данных может использоваться несколько моделей, которые работают как независимо, так и в режиме ансамбля, – это легко настраивается в интерфейсе. Система позволяет задавать порог чувствительности для вердиктов ML- моделей, а для объяснения их решений предусмотрены инструменты интерпре- тации на базе SHAP и LIME. Кроме того, реализован мониторинг метрик качества моделей как на текущих данных, так и на контрольных наборах. Сегодня все чаще появляются атаки на модели машинного обучения – напри- мер, отравление данных или галлюци- нации. В АВ Софт уделяют особое вни- мание безопасности: не используют чужие готовые модели в продуктиве, собирают датасеты самостоятельно, все семплы проходят обязательную валида- цию сторонними инструментами и допол- нительный анализ на ошибки и аномалии (например, через кластеризацию). Чтобы повысить качество и устойчи- вость моделей к изменениям данных (Concept Drift), система регулярно попол- няется свежими данными из внешних источников. Перед использованием они проходят фильтрацию и проверку на аномалии и возможные отравления. Большинство моделей поддерживают дообучение на новых данных. Мультисканер Все вложения из писем система AVSOFT KAIROS отправляет на проверку в AVSOFT ATHENA. Файлы проходят через мультисканер, где они проверяют- ся подключаемыми антивирусными движками, анализатором структуры, моделями машинного обучения, внеш- ними сервисами и индикаторами ком- прометации. ATHENA принимает на анализ любые типы файлов: офисные документы, испол- няемые файлы, письма в форматах MSG и EML, PDF, архивы (в том числе много- томные и защищенные паролем) и др. В ходе проверки система может выявить активные элементы – макросы, скрипты (Visual Basic, Java, PowerShell, Python, JavaScript и др.), цифровые подписи, упа- ковщики, а также проверить наличие обфускации и уровень энтропии. Мультисканер заточен на быструю обработку больших объемов почтового трафика. Он отсекает известное вредо- носное ПО, анализируя файлы по рас- ширениям, MIME-типам, регулярным выражениям, тематике письма, целост- ности и наличию пароля во вложениях. Песочница Файлы с активным содержимым, кото- рые не были заблокированы мультиска- нером, система отправляет в песочницу – изолированную виртуальную среду. В ней анализируется поведение файла в операционной системе, его сетевая активность и использование ресурсов, чтобы выявлять, например, майнеры. ATHENA поддерживает разные опе- рационные системы в песочнице: Win- dows, российские ОС, Linux и Android. Это позволяет выявлять и блокировать целевые и массовые атаки – шифро- вальщиков, вымогателей, майнеров, вирусы нулевого дня и другие угрозы. Песочницу можно настраивать под конкретные задачи. В ней реализована имитация действий пользователя, чтобы маскироваться и запускать установщики, а также механизмы сокрытия от вредо- носных программ – вплоть до подмены показателей работы процессора, тем- пературы и других параметров, чтобы не выдать факт анализа. Особенности внедрения в корпоративной среде Решения АВ Софт для защиты почты легко справляются с высокими нагруз- ками – одна установка может обрабаты- вать до 3 млн писем в сутки, при необхо- димости систему можно масштабиро- вать. Доступны разные варианты постав- ки: программно-аппаратный комплекс, установка на виртуальный гипервизор или использование в формате MSSP. Системы совместимы с популярными почтовыми серверами – Microsoft Exchange Server, Postfix, Exim, Zimbra и др., а также с отечественными реше- ниями. По умолчанию включена опти- мизация: если письмо уже распознано как спам, дополнительные проверки не выполняются. Кроме того, применяется база контрольных сумм для файлов и ссылок, которые проверялись ранее, что экономит ресурсы инфраструктуры. Поддерживается несколько режимов работы: l "зеркало" – письмо сразу доставляет- ся пользователю, а вложения парал- лельно проверяются; l "в разрыв" – письмо попадает к поль- зователю только после проверки; l "архивная папка" – вложения скла- дываются в отдельную папку и анализи- руются по мере поступления, при этом письма доставляются без задержек. Решения AVSOFT ATHENA и AVSOFT KAIROS позволяют выстроить много- уровневую систему защиты, которая сочетает современные технологии ана- лиза, высокую скорость работы и гибкие настройки. Их интеграция в инфраструк- туру банков, госструктур и крупных пред- приятий помогает снизить риски кибе- ратак и повысить доверие к деловой переписке внутри и за пределами орга- низации. l • 35 ЗАЩИТА ПОЧТЫ www.itsec.ru На правах рекламы Рис. 2. Типовая задача классификации вредоносных фаилов Рисунок: AV SOFT