14 Января 2026 10:00 14 Янв 2026 10:00 |

Поделиться

Как организации выстроить защиту от фишинга

Георгий Гусляев

эксперт по корпоративной информационной безопасности, член ассоциации ICSA

Как противостоять современным фишинговым атакам при помощи антиспама, DLP-системы и ИБ-взаимодействия с сотрудниками? Рассказывает Георгий Гусляев, эксперт по корпоративной информационной безопасности, член ассоциации ICSA.

Все начинается с письма

По статистике Bi.Zone Threat Zone, в 2024 году 60% атак на российские организации начались с фишинговых писем. Мой опыт показывает, что цифры могут быть даже выше. Создавать вредоносные письма злоумышленникам стало проще, чем когда-либо — помогает генеративный искусственный интеллект. А эффект даже от одной успешной фишинговой атаки может привести к компрометации всей инфраструктуры и огромным финансовым потерям.

Причем чем больше сотрудников работает в компании, тем выше риски. Потому что фишинг направлен именно на обычных пользователей. Они часто не знают базовых правил кибер-гигиены и не хотят рассказывать о своих ошибках отделу безопасности. Поэтому при формировании ИБ-стратегии для компаний, в которых мне довелось работать (а это компании с численностью 5-15 тыс. человек), я всегда выделял защиту от фишинга в одно из приоритетных направлений.

В материале поделюсь опытом и расскажу, как именно мы с коллегами решаем эту проблему, минимизируем риски.

Как защититься от фишинга?

Для меня самая эффективная практика защиты от фишинга — связка из технических средств защиты: антиспама и DLP, а также регулярное взаимодействие с сотрудниками по вопросам ИБ. На практике ситуации бывают очень разные, но общая схема работает так:

• Антиспам на почтовом шлюзе первично фильтрует вредоносные письма.
• DLP на рабочей станции выявляет письма, которые смогли пройти антиспам, и фиксирует действия пользователя с ними.
• Сотрудники сообщают ИБ-отделу об обнаружении угрозы или о том, что попались на фишинг, а специалисты принимают меры по локализации инцидента.
• ИБ-отдел ведет регулярное информирование и повышение осведомленности пользователей в вопросах ИБ и определения фишинговых писем, в частности.

С антиспамом все понятно, но для DLP это далеко не основная задача. Как и зачем системы противодействия утечкам выявляют фишинговые письма?

Причем тут DLP

Чтобы не теоретизировать, буду рассказывать про возможности конкретного решения — «СёрчИнформ КИБ». В контексте противодействия фишингу эта DLP решает четыре задачи:

1. Выявляет пропущенные антиспамом фишинговые письма

В КИБ мы настроили автоматический поиск таких инцидентов. За это отвечают политики безопасности: алгоритмы, которые обнаруживают инцидент по заданным критериям и уведомляют ИБ-специалиста. Политики можно настроить очень гибко, поэтому они хорошо обнаруживают, что пропустил антиспам. Мы настроили автопоиск по двум критериям:

• Поиск слов и фраз, которые указывают на фишинг. Например, «ваша учетная запись будет заблокирована»; «необходимо оплатить»; «срочно авторизуйтесь»; «смена пароля»; secure login; urgent action required и т.д.
• Поиск сокращенных и замаскированных ссылок (bit.ly, tinyurl, и т.п.) при помощи регулярных выражений. Например: «https?://(bit\.ly|tinyurl\.com|t\.co|goo\.su|vk\.cc)/[A-Za-z0-9]+».

2. Указывает на потенциально вредоносные ссылки и файлы

Поиск «подозрительных» писем в DLP тоже можно автоматизировать с помощью политик. Только в этом случае перед системой стоит другая задача — вычленить из общего потока внешне «нормальные» письма, которые все еще могут содержать вредоносный контент: если не в тексте, то во вложениях. От этого меняются критерии «под капотом» политики безопасности. В данном случае мы ищем:

• Подозрительных отправителей — письма с поддельных доменов, совпадения с доменами вашей или других компаний с подменой символов (например, rnicrosoft). Помогает регулярное выражение «([a-z0-9]+@[a-z]+\.(corn|c0m|net|org|co))».
• Письма, в которых находятся вложения с потенциально опасными расширениями: .exe; .scr; .js; .vbs; .bat; .cmd; .hta; .iso; .img.
• Ссылки, которые ведут на домены из черных списков сервисов по борьбе с фишингом: PhishTank, VirusTotal, Spamhaus и др.
• Подозрительные редиректы (много «//» в URL, IP-адреса вместо домена) при помощи регулярки «https?:\/\/(?:[a-z0-9\-]+\.)?(?:[a-z0-9\-]+\.)?[a-z0-9\-]+\.ru\/[a-z0-9\-_]\/[a-z0-9\-_]{3,}».

Письма, в которых система нашла эти признаки, попадают в списки инцидентов. Далее ИБ-специалист изучает их и, если считает, что письмо вредоносное — отправляет коллегам из ИТ-департамента запрос на его удаление с почтового сервера. Все происходит в течение 10-15 минут. Такая слаженная работа позволяет оперативно изолировать письмо, чтобы как меньше пользователей успели с ним провзаимодействовать.

3. Фиксирует взаимодействие пользователей с письмом

При помощи КИБ мы также смотрим, сколько пользователей успели получить вредоносное письмо в свой ящик, если нам не удалось оперативно его удалить с почтового сервера. Например, если сотрудник сам сообщил ИБ-отделу о фишинге или его обнаружила одна из политик. В таком случае нам нужно выяснить, кто еще потенциально стал жертвой атаки.

Помогает построение контентного маршрута, который по хеш-сумме письма или его вложений отслеживает их путь в организации. В итоге видно, скольких пользователей затронула фишинговая атака.

Дальше мы изучаем, что сотрудники делали с письмом. КИБ фиксирует всю активность пользователей за ПК, так что мы можем достоверно узнать, кто открыл или скачал вложение в письме, перешел по ссылке в нем или переслал коллегам. Например, по скриншотам или записям экранов можно увидеть, как получатель отреагировал на письмо, куда нажимал и т.д. Также мы оцениваем объем и содержание почтового, браузерного и другого трафика, связанного с письмом. В нем может быть информация о том, что сотрудник ввел на фишинговом ресурсе, куда отправляются эти данные и т.д. Это позволяет оценить возможные последствия инцидента.

По результатам такого анализа становится ясно, что нужно сделать для локализации инцидента. Заодно понимаем, как сотрудники реагируют на угрозу — попадутся ли на фишинг, будут ли скрывать ошибку, чтобы избежать ответственности за нарушение, или оповестят отдел ИБ?

Объяснять нельзя игнорировать

В контексте ИБ не бывает ничего абсолютно надежного, злоумышленники регулярно находят новые способы обмана. Поэтому помимо работы с техникой нужно еще и регулярно взаимодействовать с пользователями. Это поможет снизить общее число инцидентов и оперативно получать информацию, если сотрудник ошибся и, например, ввел свои учетные данные на фишинговом ресурсе.

Вопрос обучения сотрудников правилам ИБ индивидуален для каждой компании и зависит от количества ресурсов. Но есть несколько базовых практик, которые я сам использую и рекомендую.

ИБ-онбординг. После приема на работу новички проходят небольшой курс по киберграмотности: что делать нельзя, что можно, как определить фишинговое письмо и т.д. В конце курса ждет обязательный тест, без прохождения которого обучение не считается завершенным.

Учебный фишинг. Ежемесячно случайные сотрудники получают сгенерированные ИБ-отделом фишинговые письма. С теми, кто попался, связывается специалист и записывает на курсы ИБ-грамотности.

Курсы ИБ-грамотности. Дополнительно с сотрудниками, которые попались на фишинге мы проводим вебинары, на которых детально рассказываем и показываем в чем ошибся каждый из работников и как этого избежать. Такой формат позволяет выстроить доверительные отношения формата: ошибаться не страшно — главное информировать об этом.

Горячая линия. Как правило, после вебинара сотрудники начинают просить ИБ-советов у меня или коллег. Это хорошо — способствует повышению общего уровня киберграмотности. Поэтому для удобства мы выделили отдельный почтовый ящик и контакт в мессенджере. Любой сотрудник может, например, спросить, что делать, если он отправил данные из СМС мошеннику и т.д.

Санкции и мотивация. Если работник регулярно ошибается и не идет на контакт с нами, то в дело вступает мотивирующая мера — на компьютере перестает работать интернет. Почта и все рабочие программы при этом функционируют исправно. Чтобы вернуть доступ, сотрудник должен выполнить условия: заново пройти ИБ-онбординг, сходить на вебинар и т.д.

Заключение

Описанная методика противодействия фишингу работает по принципу эшелонированной системы защиты. Первый слой — первичная фильтрация антиспамом, второй — работа с DLP (настройка автоматического обнаружения фишинга и ручное расследование инцидентов). Третий — взаимодействие с сотрудниками.

DLP в данном случае является мостом между ИБ и обычными пользователями. Система позволяет минимизировать количество вредоносных писем и понять, насколько каждый из сотрудников справляется с распознаванием фишинговых угроз. Это поможет выявить проблемные места в системе защиты.

В планах на будущее — усилиться ИИ-функционалом. Например, обучить модель получать данные индикаторов компрометации и автоматически передавать их в антиспам, DLP и другие средства защиты. Также ИИ, в теории, поможет решить проблему спуфинга. Пока это гипотеза в проработке, мы с коллегами уже «скормили» часть данных из DLP локальной модели и тестируем результаты.

Поделиться

Подписаться на новости Короткая ссылка