AVSoft Kairos Система защиты от спама и фишинга

'Основные статьи:'

• Антиспам технологии
• Нейросети (нейронные сети)
• Машинное обучение (Machine Learning)

Электронная почта – один из самых популярных каналов проникновения кибератак, реализации фишинга и распространения спама, все лучше маскирующегося под легитимные сообщения. Обеспечение безопасности деловых коммуникаций посредством электронной почты, мессенджеров и создание своих собственных баз знаний по фишингу и спаму является основной задачей офицеров безопасности в любой современной компании.Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое

Система защиты от спама и фишинга AVSOFT KAIROS является мультимодульным аналитическим инструментом и платформой обеспечения логистики электронных писем в соответствии с политиками безопасности и корпоративными стандартами. Она представляет собой шлюз электронной почты, который сканирует и обрабатывает всю входящую электронную почту на предмет спама, фишинга и вредоносных вложений.

В системе KAIROS присутствует интуитивно понятный интерфейс, в котором можно найти дашборды, отчеты по проверке почтовых писем и аналитические материалы, их можно конвертировать в различные форматы и пересылать по электронной почте. Гибкая система справочников позволяет пользователю кастомизировать следующие параметры:

• Заголовки писем
• Белые и черные списки
• Профили пользователей
• Вредоносные IP-адреса и домены
• Политики проверки по источникам и получателям

Система KAIROS фильтрует входящие сообщения по следующим категориям:

• Тип соединения
• По адресу источника
• По адресу назначения и по содержанию

Система защиты от спама и фишинга AVSOFT KAIROS является мультимодульным аналитическим инструментом и платформой обеспечения логистики электронных писем в соответствии с политиками безопасности и корпоративными стандартами

Антиспам

Спам-фильтр определяет целесообразность детальной проверки вложений и атрибутов письма в системе KAIROS на безопасность. Для контроля подлинности электронных писем осуществляется анализ по трем стандартам безопасности: SPF, DKIM, DMARC, которые представляют собой набор методов аутентификации электронной почты. Они нужны, чтобы доказать интернет-провайдерам и почтовым службам, что отправители действительно уполномочены отправлять электронную почту с определенного домена.

Параметр SPF отвечает за проверку подлинности домена, DKIM идентифицирует присутствие криптографической подписи, а DMARC уже на основании показателей SPF и DKIM определяет логику обработки электронных писем, идентифицированных поддельными. В системе KAIROS присутствует гибкая настройка политик работы данных параметров.

Машинное обучение

В системе KAIROS используется большое количество моделей машинного обучения с возможностью дообучения на данных пользователя, что особенно актуально для закрытых контуров. Система сама помогает с автоматической разметкой данных и проводит анализ новый версий по метрикам качества.

В числе применяемых алгоритмов присутствуют новый тип – трансформеры, которые хорошо понимают контекст предложений. Для извлечения признаков используется концепция вложений (embeddings), она хорошо справляется с определением связей между словами, учитывает их последовательность, многообразие значений и частоту. Также модели поддерживают 15 языков: русский, китайский, английский, французский, немецкий, итальянский и др.

Кибератаки на модели ML сейчас активно развиваются, среди них можно выделить популярные техники «отравления», изменение уверенности модели и компрометации обучающей выборки. Для защиты моделей в системе предусмотрен контрольный датасет, по которому отслеживаются метрики дообученных моделей, а также параллельная работа новых и предыдущих версий для сравнения качества детектирования и отсутствия ложных срабатываний.

Анализ изображений

Динамический анализ изображений помогает обнаружить использование логотипов брендов, которые включают в электронные письма для атак или на фишинговые целевые страницы. Чтобы обмануть эти инструменты обнаружения злоумышленники изменяют HTML-атрибуты логотипа, например его цвет и др. параметры.

Система KAIROS сверяет атрибуты настоящих и поддельных логотипов на базе алгоритма сверточной нейронной сети Yolo5 и для обучения по одному или нескольким образцам (one-shot) использует попарное соотнесение схожих объектов из двух разных множеств (Matching). Также проверка изображений применима в случае атак с минимальным содержанием, когда для избежания обнаружения включают в электронное письмо изображение вместо текста.

Анализ QR-кодов, которые получают все большее распространение, позволяет выполнить переход по веб-ссылкам, на которые они ведут, и проверить их на безопасность.

Анализ ссылок

Для обхода шлюзов безопасности электронной почты злоумышленники используют разнообразные типы фишинговых ссылок, среди самых популярных из них можно выделить следующие виды:

• Сокращенные URL-адреса
• Киберсквотинг и тайпсквотинг
• Легитимные ссылки в контактной информации
• Перенаправление пользователей сначала на фишинговую страницу, а после введения им своих данных – уже перенаправление на законную веб-страницу

Новые подходы к обнаружению фишинговых атак и спама в системе KAIROS построены на базе визуальных атрибутов, позволяющих обойти традиционные и новые методы уклонения от систем антифишинга и антиспама. Среди направлений анализа присутствуют следующие технологии:

• Статический анализ адреса
• Динамика переходов по ссылке
• Анализ кода страницы и JavaScript-кода
• Проверка на киберсквотинг и тайпсквотинг
• Модели машинного обучения с возможностью дообучения

Анализ кода JavaScript страницы на предмет признаков блокировки мыши, подмены адресов, редиректов, якорей, всплывающих окон и др. помогает детектировать смешение безопасного и вредоносного кода страницы при создании реплики известного сайта.

Аналитический потенциал

Боты в сети Интернет непрерывно в автоматическом режиме собирают данные для справочников системы по вредоносным IP-адресам, доменам, контрольным суммам, что повышает эффективность системы KAIROS в автоматическом режиме.

На корпоративном сайте АВ Софт можно в свободном доступе отправить ссылку на проверку в облачную версию системы KAIROS и получить подробный отчет с результатами.

Дополнительный функционал

Система KAIROS позволяет настроить разнообразные шаблоны оповещения пользователей и администраторов по электронной почте, телеграму и в веб-интерфейсе.

По протоколу syslog передаются события о состоянии системы и по выявленным вредоносным объектам в SIEM-системы. Поддерживаются форматы LEEF и CEF.

Возможна интеграция с другими системами по API-интерфейсу для приема данных на проверку и обмен IoC (сокр. от англ. Indicator of Compromise – индикатор компрометации) с межсетевыми экранами.

Система KAIROS может быть инсталлирована на физической, виртуальной и облачной инфраструктуре.

Смотрите также

• Спам
• Фишинг
• Фишинг в России