Электронная почта по-прежнему остается одним из ключевых каналов коммуникации в современном бизнесе. Особенно остро стоит задача обеспечения безопасности корпоративного почтового трафика в банках, организациях финансового сектора, государственных учреждениях и крупных промышленных компаниях, где объемы обрабатываемых данных и уровень киберугроз значительно выше, а последствия взлома или шифрования систем могут быть критическими. В данной статье мы представим анализ современных угроз, связанных с использованием электронной почты, а также предложим комплексный подход по защите, основанный на программных решениях Системы обнаружения целенаправленных атак AVSOFT ATHENA и Системы защиты от фишинга и спама AVSOFT KAIROS, которые могут быть внедрены как часть единой системы информационной безопасности.
Актуальность комплексного подхода.
Корпоративная электронная почта представляет собой не только средство внутренней и внешней коммуникации, но и один из наиболее уязвимых элементов ИТ-инфраструктуры. Ежедневно через почтовые серверы проходят тысячи сообщений, среди которых могут содержаться фишинговые письма, вредоносные вложения и другие виды киберугроз, связанных с социальной инженерией.
Для организаций, работающих с конфиденциальной информацией или находящихся под постоянным вниманием хакерских групп (например, банки, государственные структуры, крупные промышленные предприятия), использование стандартных антивирусных решений или простых спам-фильтров уже недостаточно. В условиях эволюции методов атак и активным применением злоумышленниками ИИ необходимы многоуровневые системы безопасности, способные оперативно реагировать на новые и сложные угрозы.
Современные угрозы в сфере электронной почты.
Одним из самых популярных источников проникновения кибератак в организацию является электронная почта, на которую приходится более 80% от общего объема киберутроз. Аналитические отчеты ведущих компаний в области кибербезопасности — таких как Symantec (Broadcom), Cisco Talos и исследовательских организаций — например, ENISA и CISA — за 2024 год позволяют выделить основные тенденции кибератак на электронную почту — среди них спам, фишинг, ВЕС-атаки, вредоносные вложения. Все активнее применяется искусственный интеллект и генеративные модели для создания более убедительных фишинговых писем. Продолжается активное использование вредоносных рекламных баннеров (malvertising) и скриптов криптоджекинга. Растет количество атак типа Magecart, направленных на похищение данных пользователей с веб-страниц, увеличивается число эксплойтов, ориентированных на уязвимости популярных CMS, таких как WordPress и т.п.
Архитектура комплексной системы защиты.
Для эффективной защиты корпоративной электронной почты от современных киберугроз необходимо придерживаться комплексного подхода, который могут обеспечить решения компании АВ Софт — почтовый шлюз AVSOFT KAIROS и песочница вместе с антивирусным мультисканером AVSOFT ATHENA, которые уже давно зарекомендовали себя на рынке и успешно заместили ряд зарубежных аналогов.
Программные комплексы AVSOFT KAIROS и AVSOFT ATHENA работают в связке и сначала почтовый шлюз принимает на себя поток писем по протоколу SMTP от файервола, корпоративного прокси или другого почтового шлюза, затем выполняет проверку на спам и фишинг, далее передает файлы на анализ песочнице, принимает от нее результат и, в зависимости от настроек, выполняет передачу безопасных писем корпоративному MTA, а вредоносные или подозрительные помещает в карантин, оповещая корпоративный SOC об инцидентах.
Современная система защиты корпоративной электронной почты нуждается в обязательной префильтрации почтового трафика, потому что поток писем в некоторых организациях достигает до трех миллионов писем в день и важно правильно его классифицировать с точки зрения анализа, чтобы не замедлять бизнес-процессы и эффективно использовать ресурсы.
Программный комплекс поддерживает большое количество форматов сообщений электронной почты: message/rfc822, multipart/mixed, multipart/alternative, multipart/related (eml Message), application/CDFV2-corrupt (Outlook MSG).
Решение способно работать в нескольких режимах таких как «зеркало», когда пользователь получает письмо и одновременно с этим происходит проверка его вложений в системе на наличие вредоносных элементов, режим «в разрыв» подразумевает сначала обязательную проверку письма в системе, а потом получение пользователем, если им присвоен безопасный вердикт, а также есть режим «архивной папки», когда создается архивная папка для почтовых вложений, которые будут проверяться по мере поступления, при этом пользователи параллельно будут получать свои письма.
Система способна обрабатывать различные почтовые кейсы, такие как форматы EML и MSG, письмо в письме и в письме, пароль в комментарии к архиву, скачивать файлы по ссылке в письме, обрабатывать несколько архивов и применять к ним txt файл с паролями, запароленные архивы и применять к ним txt файл с паролем, запароленный архив в незапароленном архиве и архив с несколькими файлами и применять к ним txt файл с паролем.
Сессия и рейтинги.
AVSOFT KAIROS начинает анализ электронных писем с момента инициации сессии от почтового сервера по сессионному профилю, где есть возможность настраивать множество параметров, среди которых максимальный размер письма, заголовков, количество получателей, проверки валидности почтового домена др. Затем система проверяет отправителя по рейтингам, таким как черный список DNSBL, далее следует проверка по серому списку (greylisting), в рамках которой, если за определенные временные рамки проверка не пройдена, то подключение будет заблокировано. После рейтингов идет проверка получателей по LDAP, в этот момент система делает обращение к указанным в настройках сервера контролеру домена Active Directory и проверяет существует ли такой пользователь.
Анализ заголовков письма.
В системе KAIROS по заголовкам письма можно идентифицировать отправителя, получить данные по аутентификационной проверке почтового сервиса в соответствии со стандартами безопасности DKIM, DMARC и SPF. Решение предоставляет техническую информацию, по которой можно отследить цепочку серверов, через которые прошло письмо, проверить отношение почтового сервера отправителя к спам-серверам, массовым рассылкам, одноразовым почтовым сервисам, также есть данные по географическим и сетевым параметрам.
Политики.
Система AVSOFT KAIROS имеет гибкую систему политик проверки, которая позволяет индивидуально по конкретному источнику настроить префильтр, обработку контента письма, использование прокси, доставку адресату, применение конкретных инструментов и параметров анализа и др. При необходимости можно создать профили и группы пользователей, есть гибкая работа с карантином и ролевая модель с возможностью кастомизации.
Проверка ссылок.
Решение AVSOFT KAIROS способно проверять ссылки в режиме реального времени и принимает их на проверку в различных форматах: прямые и непрямые, веб-ссылки, IP-адреса, ведущие на облачные или файловые хранилища, а также с переходами, в том числе с отложенными (meta-refresh). Система проводит глубокий анализ веб-ссылок, который включает в себя проверку редиректов, когда по ссылке извлекается полная история переходов и каждая из полученных ссылок проверяется отдельно, также идет проверка содержимого кода страницы, анализирует DNS, сертификат SSL, владельца и др. Для ознакомления с содержимым страницы система в экспертном режиме работы делает скриншоты.
Решение AVSOFT KAIROS выполняет обращение к базам внешних сервисов проверки ссылок, что позволяет собрать при анализе максимальное количество источников вердикта, повышая его объективность. При необходимости их можно конфигурировать в политиках проверки, например отключать или добавлять.
Одним из самых современных инструментов проверки в системе являются модели машинного обучения, они участвуют в определении и категоризации спама, в статическом анализе ссылок, в определении вредоносных вложений. Модели ML проходят регулярное дообучение и проверку соответствия метрикам качества.
Таким образом система успешно защищает от таких видов угроз как Phishing (массовый фишинг), Spear Phishing (целевой фишинг), Whaling (фишинг на руководство), Clone Phishing (фишинг клонов), Киберсквоттинг (торговый знак другого лица), Тайпсквоттинг (близкие домены), DGA (генерация большого количества доменных имен), Punycode (алфавитно-цифровые символы).
Модели машинного обучения.
Компания АВ Софт уже несколько лет успешно развивает и совершенствует машинное обучение в своих продуктах и для комплексной защиты почты используются хорошо зарекомендовавшие себя с точки зрения качества модели и алгоритмы. Среди них классические модели, такие как RandomForest, CatBoost, XGBoost, LightGBM, KNN, K-Means, нейронные сети CNN, RNN, LSTM, BI-LSTM, машинное зрение на базе OpenCV и модели класса NLP: Bert и LLM.
Во всех моделях ML реализован полный цикл дообучения, ансамблирования, обслуживания и мониторинга, доступный пользователю. Для каждого формата входных данных может использоваться несколько моделей машинного обучения, работающих независимо или в режиме ансамбля, что настраивается в интерфейсе системы. В системе реализована возможность выставить порог (границу) чувствительности вердикта для моделей ML. В целях интерпретации и анализа результатов обучен эксплайнер на базе shap или lime. В системе также реализован механизм мониторинга метрик моделей как на текущих, так и на контрольных данных.
В настоящее время развиваются атаки на модели машинного обучения, такие как отравление или галлюцинации, в своих решениях специалисты компании АВ Софт следят за безопасностью моделей и не применяют готовые модели на продуктивных ландшафтах, все датасеты собираются самостоятельно, все семплы проходят обязательную предварительную валидацию (разметку) сторонними средствами, также присутствует анализ готового набора данных через поиск вопросов и аномалий, например, кластеризация способна показать аномальный вид группы семплов.
В целях повышения качества моделей и адаптации к изменению данных (concept drift), система регулярно накапливает данные из внешних источников. Данные проходят предварительную фильтрацию для очистки, выявления аномалий и отравлений. Большинство используемых моделей поддерживают режим дообучения на новых данных.
Мультисканер.
Все вложения в письмах отправляются на проверку в систему AVSOFT ATHENA, которая сначала обрабатывает их мультисканером, где файлы проходят проверку внешними антивирусными движками, анализом синтаксической структуры, моделями машинного обучения, внешними аналитическими сервисами и индикаторами компрометации. Типы файлов, принимаемые на проверку, могу быть любыми, например, офисные форматы, исполняемые, MSG и EML, PDF формат, архивы, в том числе многотомные и закрытые паролем и др.
По результатам анализа можно выявить активные элементы, такие как макросы, скрипты (VusualBasic, Java, PowerShell, Python, JavaScript и др.), атрибуты в виде цифровой подписи и наличие упаковщика, проверить контент на обфускацию и энтропию. Мультисканер ориентирован на быструю проверку больших объемов трафика и фильтрацию известного вредоносного программного обеспечения, в том числе по расширениям, MIME типам, регулярным выражениям, по тематике письма, целостности и наличия пароля во вложениях.
Песочница.
Все файлы, которые имеют активное содержимое и не были заблокированы на этапе мультисканера, отправляются на исследование в «песочницу», которая представляет собой изолированную виртуальную среду для анализа поведения файла в операционной системе, его сетевой активности и использование им ресурсов для выявления майнинга. При необходимости возможна кастомизация «песочницы», внутри нее встроена имитация действий пользователя для маскировки и запуска установщиков, а также присутствует маскировка от обнаружения вредоносным программным обеспечением самого гипервизора на уровне тактовой чистоты процессора, датчика температуры и др. параметров.
Песочница системы ATHENA поддерживает имитацию операционных систем Windows, Linux и Android, позволяет отражать целенаправленные и массовые атаки шифровальщиков, программ-вымогателей, майнеров, вирусов нулевого дня и др.
Особенности внедрения в корпоративной среде.
Решения комплексной защиты почты компании АВ Софт легко адаптируются под высокие нагрузки и способны обрабатывать до трех миллионов электронных писем в сутки на одну инсталляцию с возможностью масштабирования. Варианты поставки возможны как формате программно-аппаратного комплекса, так и с возможностью установки на виртуальный гипервизор, а также присутствует возможность MSSP.
Системы совместимы с основными типами почтовых серверов, такими как Microsoft Exchange Server, Postfix, Exim, Zimbra и другие, также есть поддержка совместимости с отечественными почтовыми сервисами. В системе по умолчанию включен режим оптимизации проверки, при котором, если письмо идентифицировано и заблокировано как спам, то дальнейшие проверки не проводятся, также по файлам предусмотрено применение базы контрольных сумм по файлам и ссылкам, которые уже проходили проверку в системе, чтобы сразу выдать по ним результат, данные опции позволяет экономить и оптимизировать ресурсы ИТ-инфраструктуры.
Программный комплекс по защите почты гибко масштабируется под любые ресурсы, что упрощает его интеграция в существующую инфраструктуру без необходимости замены оборудования или глубокой перенастройки. Отказоустойчивость решения достигается за счет резервирования ключевых компонентов и распределения нагрузки между несколькими узлами.
Заключение.
Комплексная защита корпоративной электронной почты является неотъемлемой частью стратегии информационной безопасности любой организации, особенно если она работает с чувствительными данными или находится в зоне риска целевых атак. Решения AVSOFT ATHENA и AVSOFT KAIROS позволяют создать многоуровневую систему защиты, сочетающую передовые технологии анализа, высокую производительность и гибкие настройки. Интеграция этих продуктов в инфраструктуру банков, государственных органов и крупных предприятий способствует снижению рисков кибератак и повышению уровня доверия к внутренним и внешним коммуникациям.