Автор: Александра Савельева, исполнительный директор “АВ Софт”
Для эффективной защиты корпоративной электронной почты необходим комплексный подход, сочетающий технологии, процессы и обучение сотрудников. Решения компании АВ Софт для защиты почты AVSOFT KAIROS [1] и AVSOFT ATHENA [2] позволяют выстроить многоуровневую систему безопасности почтового трафика, объединяя высокую производительность, гибкую настройку и детализированную аналитику. Давайте разберемся, какими именно технологиями это достигается.
Архитектурно AVSOFT KAIROS представляет собой почтовый шлюз с фильтрацией вредоносного контента. Его основная его задача – проверка на спам и фишинг. Вложения он передает на анализ в песочницу AVSOFT ATHENA, которая проводит их детальное исследование и отдает результат обратно. Далее, в зависимости от настроек, выполняется передача безопасных писем корпоративному MTA, а вредоносные и подозрительные письма помещаются в карантин с оповещением корпоративного SOC об инциденте (см. рис. 1).
Рис. 1. Схема обработки почты в AVSOFT KAIROS и AVSOFT ATHENA
Система умеет работать с разными типами почтовых случаев. Она поддерживает форматы EML и MSG, корректно обрабатывает вложенные письма (когда письмо вложено в письмо, и так несколько раз), умеет находить пароли в комментариях к архивам и скачивать файлы по ссылкам внутри письма. Кроме того, она справляется с несколькими архивами одновременно, применяя к ним список паролей из txt-файла. Поддерживаются запароленные архивы, вложенные друг в друга (например, архив в архиве), а также архивы с несколькими файлами – ко всем таким случаям система тоже может применять txt-файл с паролями.
AVSOFT KAIROS выполняет предварительную фильтрацию почтового трафика и за счет этого обрабатывает до 3 млн писем в сутки на один сервер, с возможностью масштабирования. Анализ начинается сразу при установке SMTP-сессии. На этом этапе можно настроить разные параметры – например, максимальный размер письма и заголовков, число получателей, проверку корректности домена и др.
Затем система проверяет отправителя: сначала по рейтингам (например, черные списки DNSBL), потом с помощью механизма Greylisting. Если в заданное время письмо не проходит проверку, подключение блокируется.
В KAIROS можно по заголовкам письма определить, кто именно его отправил, и получить результаты проверок по стандартам DKIM, DMARC и SPF. Система показывает технические данные, которые позволяют проследить путь письма через все пройденные серверы. Кроме того, она проверяет, не связан ли сервер отправителя со спамом, массовыми рассылками или одноразовыми почтовыми сервисами. Доступны также сведения о географии и сетевых характеристиках отправителя.
Почтовый шлюз KAIROS поддерживает гибкую систему политик проверки. Для каждого источника можно отдельно настроить префильтрацию, анализ содержимого письма, использование прокси, правила доставки и перенаправления, а также задать конкретные инструменты и параметры проверки. Количество таких политик не ограничивает скорость работы и не зависит от лицензии. Их можно делать максимально детализированными и переносить между разными инсталляциями.
AVSOFT KAIROS проверяет ссылки в реальном времени и принимает их в любом формате – будь то обычные или скрытые веб-адреса, IP, ссылки на облачные или файловые хранилища, а также переходы с задержкой (например, через meta-refresh). Система проводит глубокий анализ: отслеживает всю цепочку редиректов, проверяет каждую полученную ссылку, анализирует содержимое страницы, ее код, DNS-записи, SSL-сертификат, данные о владельце и многое другое. В экспертном режиме KAIROS даже делает скриншоты страниц для наглядного изучения.
Для повышения точности KAIROS обращается к внешним сервисам проверки ссылок, собирая максимум источников для вынесения объективного вердикта. Эти сервисы можно гибко настраивать в политике: подключать новые или отключать лишние.
Одним из ключевых инструментов решения являются модели машинного обучения. Они помогают выявить спам, анализировать ссылки статически, выявлять вредоносные вложения. Модели регулярно дообучаются и проходят проверку качества.
Благодаря этому KAIROS защищает от широкого спектра атак: массового фишинга, целевого (Spear Phishing), атак на руководство (Whaling), подменных писем (Clone Phishing), кибер- и тайпсквоттинга, генерации доменов (DGA) и подделки доменов с помощью Punycode.
Компания АВ Софт уже много лет развивает технологии машинного обучения и использует их для комплексной защиты почты. В продуктах применяются проверенные временем алгоритмы и модели: от классических (RandomForest, CatBoost, XGBoost, LightGBM, KNN, K-Means) до современных нейросетей (CNN, RNN, LSTM, BI-LSTM), моделей компьютерного зрения на базе OpenCV и NLP-решений вроде BERT и LLM.
Все ML-модели в KAIROS проходят полный цикл поддержки – дообучение, ансамблирование, сопровождение и мониторинг, доступные пользователю. Для каждого типа входных данных может использоваться несколько моделей, которые работают как независимо, так и в режиме ансамбля, – это легко настраивается в интерфейсе.
Система позволяет задавать порог чувствительности для вердиктов ML-моделей, а для объяснения их решений предусмотрены инструменты интерпретации на базе SHAP и LIME. Кроме того, реализован мониторинг метрик качества моделей как на текущих данных, так и на контрольных наборах.
Сегодня все чаще появляются атаки на модели машинного обучения – например, отравление данных или галлюцинации. В АВ Софт уделяют особое внимание безопасности: не используют чужие готовые модели в продуктиве, собирают датасеты самостоятельно, все семплы проходят обязательную валидацию сторонними инструментами и дополнительный анализ на ошибки и аномалии (например, через кластеризацию).
Чтобы повысить качество и устойчивость моделей к изменениям данных (Concept Drift), система регулярно пополняется свежими данными из внешних источников. Перед использованием они проходят фильтрацию и проверку на аномалии и возможные отравления. Большинство моделей поддерживают дообучение на новых данных.
Все вложения из писем система AVSOFT KAIROS отправляет на проверку в AVSOFT ATHENA. Файлы проходят через мультисканер, где они проверяются подключаемыми антивирусными движками, анализатором структуры, моделями машинного обучения, внешними сервисами и индикаторами компрометации.
ATHENA принимает на анализ любые типы файлов: офисные документы, исполняемые файлы, письма в форматах MSG и EML, PDF, архивы (в том числе многотомные и защищенные паролем) и др. В ходе проверки система может выявить активные элементы – макросы, скрипты (Visual Basic, Java, PowerShell, Python, JavaScript и др.), цифровые подписи, упаковщики, а также проверить наличие обфускации и уровень энтропии.
Мультисканер заточен на быструю обработку больших объемов почтового трафика. Он отсекает известное вредоносное ПО, анализируя файлы по расширениям, MIME-типам, регулярным выражениям, тематике письма, целостности и наличию пароля во вложениях.
Рис. 2. Типовая задача классификации вредоносных фаилов
Файлы с активным содержимым, которые не были заблокированы мультисканером, система отправляет в песочницу – изолированную виртуальную среду. В ней анализируется поведение файла в операционной системе, его сетевая активность и использование ресурсов, чтобы выявлять, например, майнеры.
ATHENA поддерживает разные операционные системы в песочнице: Windows, российские ОС, Linux и Android. Это позволяет выявлять и блокировать целевые и массовые атаки – шифровальщиков, вымогателей, майнеров, вирусы нулевого дня и другие угрозы.
Песочницу можно настраивать под конкретные задачи. В ней реализована имитация действий пользователя, чтобы маскироваться и запускать установщики, а также механизмы сокрытия от вредоносных программ – вплоть до подмены показателей работы процессора, температуры и других параметров, чтобы не выдать факт анализа.
Решения АВ Софт для защиты почты легко справляются с высокими нагрузками – одна установка может обрабатывать до 3 млн писем в сутки, при необходимости систему можно масштабировать. Доступны разные варианты поставки: программно-аппаратный комплекс, установка на виртуальный гипервизор или использование в формате MSSP.
Системы совместимы с популярными почтовыми серверами – Microsoft Exchange Server, Postfix, Exim, Zimbra и др., а также с отечественными решениями. По умолчанию включена оптимизация: если письмо уже распознано как спам, дополнительные проверки не выполняются. Кроме того, применяется база контрольных сумм для файлов и ссылок, которые проверялись ранее, что экономит ресурсы инфраструктуры.
Поддерживается несколько режимов работы:
Решения AVSOFT ATHENA и AVSOFT KAIROS позволяют выстроить многоуровневую систему защиты, которая сочетает современные технологии анализа, высокую скорость работы и гибкие настройки. Их интеграция в инфраструктуру банков, госструктур и крупных предприятий помогает снизить риски кибератак и повысить доверие к деловой переписке внутри и за пределами организации.
Реклама: ООО «АВ Софт». ИНН 7729662615. Erid: 2SDnjbrQrQ7