Журнал "Information Security/ Информационная безопасность" #4, 2025

Юрий Иванов, "АВ Софт" Однозначно, самое слабое звено – это человек. Даже при корректных настройках сервисов и наличии базовой фильтрации именно пользователь чаще всего становится мишенью. Более 80% атак опираются на социальную инжене- рию, преимущественно через почту. Поэтому даже при наличии организа- ционных мер ключевой фактор защиты – это применение многоуровневых тех- нических средств защиты на базе совре- менных технологий. В нашей системе AVSOFT KAIROS мы реализовали ИИ- модели, которые позволяют выявлять фишинг и сложные целевые атаки, осно- ванные на социальной инженерии. Дмитрий Царев, BI.ZONE Наиболее уязвимой частью корпора- тивной почты является человек. Зло- умышленники выстраивают атаки имен- но вокруг него, стараясь различными способами вынудить сотрудника перейти по ссылке, открыть вложение или выпол- нить другое действие. Один из основных инструментов атакующих – фишинговые рассылки. Массовые рассылки нацелены на то, чтобы хотя бы один адресат пере- шел по ссылке. В целевых атаках, напро- тив, злоумышленники долго готовятся, но и потенциальная прибыль для них выше. Если рассматривать вопрос шире, почта остается одним из старейших спо- собов электронной коммуникации. При этом уровень ее безопасности по-преж- нему невысок – как на уровне протокола, так и на уровне знаний о правильной настройке почтовых систем и средств защиты. Дополнительный риск возни- кает, когда ради решения бизнес-задач администраторы ослабляют защиту, что нередко приводит к компрометации. Александр Матвиенко, Positive Technologies Человек почти всегда будет целью хакера. Злоумышленники используют большие языковые модели (БЯМ), сред- ства маскирования вредоносного кон- тента: QR-коды, тесты CAPTCHA, много- этапные нагрузки, нетипичные файлы во вложениях, которые остаются невиди- мыми для простейших систем защиты почты. Цель – обойти средства защиты и убедить пользователя перейти по ссылке, загрузить файл, ввести пароль. В неко- торых фишинговых сообщениях мы виде- ли попытки увести пользователя в другой канал коммуникации. Фишинговая рас- сылка якобы от Госуслуг, где была инфор- мация о входе в личный кабинет, и для уточнения предлагалось позвонить по указанным номерам телефона. Дмитрий Царев, BI.ZONE Если необходимо быстро усилить защиту корпоративной почты, наиболее действенным решением становится под- ключение облачного провайдера защи- ты почты. Такой сервис можно развер- нуть за считанные часы. После включе- ния решения проводится анализ почто- вого трафика: проверяются отправители и получатели, оценивается соответствие писем стандартам, выявляются признаки атак, выполняется сверка с базами STI, а также анализируются ссылки и вло- жения, включая запароленные архивы. Александр Матвиенко, Positive Technologies Первоочередно смотрим на настройки DNS (SPF, DKIM, DMARC), правила анти- спама для фильтрации входящей почты, настройки межсетевого экрана для защиты почтовых серверов и состояние 2FA для защиты пользовательских учет- ных записей. Далее – харденинг почто- вого сервера, предложение перевода почтовых серверов за WAF и NGFW, чтобы доступ к ним был только после подключения к корпоративной среде. В целом, здесь можно придерживаться стратегии Defence in depth, чтобы реа- лизовывать защиту в комплексе. Дмитрий Черников, F6 Первый аспект, требующий внимания, – анализ актуальности и корректности настроек аутентификации пользовате- лей. Даже самые современные средства фильтрации и защиты не дадут желае- мого результата, если злоумышленник получит доступ к учетной записи через утечку или подбор пароля. Прежде всего необходимо внедрить многофакторную аутентификацию для всех сотрудников, особенно если доступ к почте осуществ- ляется вне корпоративной сети. МФА значительно снижает риск компромета- ции учетных данных. Юрий Иванов, "АВ Софт" Первым шагом стоит провести аудит имеющихся средств защиты – антиспам- фильтров, песочниц, антивирусных движ- ков: формально они нередко присут- ствуют, но не интегрированы или плохо настроены. В частности, даже базовые почтовые серверы обладают минималь- ными методами защиты и фильтрации, но многие пренебрегают даже ими. Параллельно необходимо проверить корректность базовых механизмов аутентификации почты. Их отсутствие или ошибки конфигурации открывают путь к подмене адресов и фишингу. Завершающий этап – анализ каналов доставки вложений и ссылок, чтобы выявить слепые зоны фильтрации. Дмитрий Черников, F6 Даже зрелые компании часто недо- оценивают защиту писем "в пути". Если соединение между почтовыми серверами Что является самым слабым звеном в защите корпора- тивной почты – недостаточ- ные настройки почтового сервиса, отсутствие нало- женных средств или чело- век, получающий почту? Какой первый аспект вы проверяете в инфраструк- туре, если стоит задача быстро улучшить защиту корпоративной почты? Какой механизм защиты почты недооценивают даже зрелые организации? 38 • СПЕЦПРОЕКТ Повседневная рассылка инцидентов орпоративная почта остается одним из основных каналов коммуникации и одновременно – самым атакуемым вектором в инфраструктуре любой компании. Фишинг, компрометация учетных записей, злоупотребления доступом и ошибки настройки сервисов делают ее зоной постоянного риска. Мы предложили экспертам обсудить, что сегодня является самым слабым звеном в почтовой безопасности и какие решения действительно работают. К Эксперты: Юрий Иванов , технический директор ООО “АВ Софт” Александр Матвиенко, руководитель практики по защите почты, Positive Technologies Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE Дмитрий Черников, бизнес-руководитель департамента детектирования и предотвращения угроз компании F6