Журнал "Information Security/ Информационная безопасность" #4, 2025

не зашифровано должным образом, пись- мо могут перехватить или подменить. Чтобы атакующие не смогли встроиться в переписку и похитить данные, важно использовать современные технологии, которые гарантируют безопасную пере- дачу и проверку сертификатов. Например: MTA-STS, DANE, TLS-RPT, снижающие риски атак типа "человек посередине". Александр Матвиенко, Positive Technologies Недооценивают защиту от целевых атак. Мы часто видим в PT Sandbox почтовые атаки, в которых используется сложная схема сокрытия вредоносной нагрузки в архивах-полиглотах, которая остается невидимой для антивирусов. Цена ошибки сейчас очень высока, и всего один пропу- щенный файл может привести к серьез- ным последствиям для организации. И вредоносы загружают не только в почту, но и в веб-формы и хранилища, поэтому крайне важно контролировать все каналы передачи информации. Юрий Иванов, "АВ Софт" Даже зрелые организации недооцени- вают поведенческий анализ и мультиска- нер. Антивирусный движок в одиночку почти никогда не дает полной картины: сигнатуры обновляются с разной скоростью, и часть угроз ускользает. Использование сразу нескольких движков вместе с пове- денческим анализом в песочнице позволяет выявлять новые и сложные атаки, которые обходят классическую защиту. В системе AVSOFT ATHENA реализованы обе техно- логии, что обеспечивает максимально пол- ный и надежный уровень обнаружения угроз и защиты почтового трафика. Дмитрий Царев, BI.ZONE Даже зрелые организации часто недо- оценивают базовые механизмы защиты – идентификацию и аутентификацию участников переписки, а также шифро- вание писем. Защита почты не ограничивается про- веркой вложений и ссылок. Например, BI.ZONE Mail Security анализирует сам кон- текст переписки: мотивы, стиль общения, даже эмоциональную окраску сообщений. Злоумышленники постоянно ищут новые способы обмана. В тщательно подготовлен- ных атаках они создают отдельные инфра- структуры: регистрируют домены, нараба- тывают их репутацию и даже налаживают официальные контакты. Человеческийфак- тор здесь остается ключевым. Если пользо- ватель может уверенно идентифицировать человека, с которым ведет диалог, риск инцидентов значительно снижается. Юрий Иванов, "АВ Софт" На практике мы сталкивались с раз- ными атаками: "спящие" ссылки, QR- коды, обходящие фильтры без компью- терного зрения. Но самой интересной стала эксплуатация уязвимостей популярных веб-фреймворков: обычный сайт превращался в угрозу через вре- доносные JS-скрипты. Такие атаки можно выявить только поведенческим анализом URL на базе KAIROS или ATHENA. Дмитрий Черников, F6 В одной из ситуаций не было вредо- носного вложения или ссылок. Атака была основана на компрометации поч- тового ящика подрядчика организации: преступники получили доступ к корпо- ративной почте поставщика, изучили стиль переписки и шаблоны счетов. Затем от имени доверенного контактного лица отправили корректно оформленный счет, содержащий измененные банков- ские реквизиты. Это показывает: даже продвинутые средства технической защиты не могут полностью заменить внимание сотрудников и необходимость проверки данных при финансовых опе- рациях. Александр Матвиенко, Positive Technologies Почти всегда человек является целью. "Почти", потому что в практике был случай, когда вектор был иной, и атака была направлена на информа- ционную систему. Злоумышленники отправляли письмо, содержащее SQL- запрос для удаления таблиц. Такое письмо прошло через антиспам и достигло цели, и в итоге таблицу уда- лили. Система компании оказалась киберустойчивой, поэтому все данные и работоспособность были быстро вос- становлены. Всегда нужна валидация отправителя при таких интеграциях, и, пожалуй, SMTP не лучший транспорт для такого сценария. Юрий Иванов, "АВ Софт" Я бы добавил больше "объяснимости": автоматические предупреждения о сомнительных письмах, визуальную под- светку внешних отправителей и встроен- ные подсказки при переходе по ссылкам. Важна простота – пользователь должен сразу видеть риск без перегрузки дета- лями. Такой интерфейс снижает коли- чество ошибок и укрепляет доверие к защите, дополняя работу шлюзов и фильтров. Александр Матвиенко, Positive Technologies Возможно, мои предложения пока- жутся очевидными, но еще далеко не все компании их используют. Во-первых, добавил бы предупрежде- ние во приходящие извне почтовые сообщения, что письмо получено из внешнего мира и может быть опасным. Это мгновенно повысит бдительность пользователя перед фишингом, мимик- рирующим под внутреннюю переписку. Для ответов на такие сообщения исполь- зовал бы предупреждение о том, что письмо будет отправлено внешнему получателю, находящемуся за предела- ми компании. Во-вторых, в панель почтового клиента добавил бы кнопки "Отправить в SOC" и "Отправить вендору", которые направ- ляли бы письмо со всеми заголовками в службу ИБ. Первая кнопка важна для отслеживания фишинга и подозритель- ных писем. Ее также нужно нажимать, если после перехода по ссылке появи- лись опасения, что это все же был фишинг. Вторая кнопка полезна, чтобы быстро проинформировать об ошибках первого или второго рода (ложнополо- жительных или ложноотрицательных срабатываниях), и у вендора была воз- можность отреагировать и выпустить требуемое обновление баз. Естественно, такое письмо должно передаваться толь- ко после согласования службой ИБ. Дмитрий Царев, BI.ZONE Чтобы пользователи могли лучше оце- нить надежность отправителя перед про- чтением письма, стоит добавлять спе- циальные маркеры. Даже простое ука- зание на то, что письмо пришло из внешнего источника, помогает снизить риск киберинцидентов. Такой подход позволяет компенсировать человеческий фактор за счет привлечения внимания пользователей к сообщениям. В BI.ZONE Mail Security можно добав- лять специальные маркеры, которые будут сигнализировать о том, что поль- зователю стоит обратить внимание на легитимность письма. А если письмо попадает в карантин, пользователи полу- чают наиболее полную информацию о его содержимом, что повышает общую безопасность и снижает нагрузку на специалистов по кибербезопасности. Дмитрий Черников, F6 Я бы добавил кнопку для быстрого сообщения о фишинге, возможность безопасного просмотра вложений в песочнице и небольшие подсказки-тре- нировки по фишингу на месте, которые появляются при подозрительных письмах или действиях. l Какой самый нетривиаль- ный вектор атаки через почту вы встречали в своей практике, и чему он вас научил? Что бы вы изменили в пользовательском интер- фейсе почтового клиента, чтобы сделать безопаснее всю корпоративную почту? • 39 ЗАЩИТА ПОЧТЫ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru