61.40K

Безручко презентация

1.

МИНИСТЕРСТВО ОБЩЕГО И ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ РОСТОВСКОЙ ОБЛАСТИ
ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ПРОФЕССИОНАЛЬНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
РОСТОВСКОЙ ОБЛАСТИ
«РОСТОВСКИЙ-НА-ДОНУ КОЛЛЕДЖ СВЯЗИ И ИНФОРМАТИКИ»
Дипломная работа
Тема: «Разработка рекомендаций по защите от фишинговых атак
в корпоративной электронной почте предприятия»
Работу выполнил
Студент группы ИБА-41
Безручко Н.Г.
Руководитель: Мартыненко А.В.
Ростов-на-Дону
2026 год

2.

Содержание
Введение
1 Обзор нормативной документации
2 Анализ фишинговых атак на корпоративную электронную почту
3 Анализ средств и методов защиты корпоративной почты
4 Разработка рекомендаций по защите в корпоративной почтовой системе
Заключение
Перечень использованных информационных ресурсов
2

3.

Цель и задачи дипломной работы
Цель работы – разработать рекомендации по защите от фишинговых атак в корпоративной электронной
почте предприятия.
Задачи дипломной работы:








проанализировать нормативно-правовую базу РФ в области ИБ и защиты электронной почты;
изучить современные виды фишинговых атак и механизмы их реализации;
исследовать архитектуру корпоративных почтовых систем и протоколов;
провести анализ существующих средств и методов защиты от фишинга;
выявить основные уязвимости и факторы риска при реализации фишинговых атак;
разработать комплекс рекомендаций по защите корпоративной почты;
провести экономический расчёт разработанных мероприятий;
рассмотреть вопросы безопасности жизнедеятельности и охраны труда.
3

4.

1 Обзор нормативной документации
Федеральные законы:
– № 149-ФЗ «Об информации, информационных
технологиях и о защите информации»
– № 152-ФЗ «О персональных данных»
– № 187-ФЗ «О безопасности критической
информационной инфраструктуры РФ»
Стандарты РФ:
– ГОСТ Р 50922-2006 — термины и определения в
области ЗИ
– ГОСТ Р 53114-2008 — ИБ организаций
– ГОСТ Р 57580.1-2017 — защита финансовых
организаций
Приказы ФСТЭК России:
– № 117 от 11.04.2025 — защита информации в
государственных ИС (с 01.03.2026)
– № 21 от 18.02.2013 — безопасность
персональных данных
– Методика оценки угроз безопасности
информации (05.02.2021)
– Банк данных угроз ФСТЭК (bdu.fstec.ru)
Международный опыт:
– ISO/IEC 27001 / 27002 — система менеджмента ИБ
– MITRE ATT&CK — тактики и техники
злоумышленников
– NIST SP 800 — практические рекомендации по ИБ
– SPF / DKIM / DMARC — аутентификация
почтовых сообщений
4

5.

2 Классификация и виды фишинговых атак
Основные виды:
Психологические триггеры:
Массовый фишинг
Автоматизированная рассылка по базам утечек.
Эксплуатация невнимательности. Шаблоны под
банки, госпорталы.
Авторитет: использование имён руководства и
регуляторов
Срочность: искусственное ограничение времени на
раздумья
Страх: угрозы блокировки аккаунта или финансовых
санкций
Любопытство: предложения о премиях, закрытой
информации
Доверие: имитация продолжения реального диалога
Целевой фишинг (Spear Phishing)
Атака на конкретного сотрудника или отдел после
OSINT-разведки. Высокая правдоподобность
писем.
BEC (Business Email Compromise)
Ключевой факт:
Компрометация деловой переписки. Фиктивные
По данным Positive Technologies (2023–2024): свыше
платёжные требования. Нет вредоносных ссылок —
87% успешных социотехнических атак реализуются
невидим для SEG.
через электронную почту. Ежегодный прирост числа
атак составляет 25%.
«Охота на китов» (Whaling)
5

6.

2 Технические механизмы реализации фишинга
Вредоносные вложения
Макросы VBA в .docm/.xlsm, PDF-эксплойты
(CVE-2023-36884), зашифрованные архивы
(.zip/.iso) с паролем в тексте письма — SEG не
видит содержимое контейнера.
Фишинговые ссылки
Open Redirect, подмена тега <a>, QR-фишинг
(Quishing). URL Rewriting на шлюзе проверяет
ссылку в момент клика, но не всегда успевает до
смены целевой страницы.
Спуфинг домена
Тайпсквоттинг, Look-alike домены, Homographатаки (кириллица схожая с латиницей). Защита:
SPF+DKIM+DMARC блокирует подделку домена
отправителя.
ИИ-фишинг (LLM)
Нейросети генерируют письма без
орфографических ошибок, стилистически точно
имитируя деловое общение конкретной жертвы.
Стандартные фильтры не справляются.
6

7.

2 Последствия фишинговых атак для предприятия
Категория ущерба
Конкретное проявление инцидента
Критичность
Финансовый
Прямое хищение средств (BEC), затраты на ликвидацию, выкуп шифровальщикам
Степень: Высокая
Операционный
Простой ИТ-инфраструктуры (Downtime), шифрование баз данных, срыв контрактов
Степень: Высокая
Репутационный
Утечки коммерческой тайны, публикация переписки, падение доверия партнёров
Степень: Высокая
Юридический
Штрафы Роскомнадзора за ПДн (ФЗ-152), ответственность по ст. 274.1 УК РФ (до 10 лет)
Степень:
Вывод:
всеКритическая
четыре вида ущерба взаимосвязаны. Финансовые потери влекут репутационный урон и
операционные сбои, порождая правовые риски. Один успешный инцидент может одновременно затронуть
все категории.
7

8.

3 Аутентификация сообщений: SPF, DKIM, DMARC
SPF — Sender Policy Framework
Публикация TXT-записи в DNS со списком легитимных IP-адресов отправителей домена. Защищает от
прямой подделки обратного адреса. Рекомендуется квалификатор -all (жёсткий режим).
DKIM — DomainKeys Identified Mail
Криптографическая подпись заголовков и тела письма. Сервер-получатель проверяет целостность
сообщения через открытый ключ в DNS. Ключ не менее 2048 бит (RSA-SHA256).
DMARC — Domain-based Message Authentication
Надстройка над SPF и DKIM: проверяет соответствие (alignment) домена From. Политики: p=none →
p=quarantine → p=reject. Постепенная ротация обязательна. Предоставляет отчёты об отклонённых
сообщениях.
8

9.

3 Архитектура защиты: SEG, Sandbox, CDR, DLP
Secure Email Gateway (SEG)
Централизованная точка «в разрыв» MX-записей.
Репутационный анализ IP, контроль DNS-записей,
сигнатурный и эвристический антиспам, URL
Rewriting (проверка ссылок в момент клика).
Варианты: On-Premise, Cloud, гибридный.
Рекомендуемое РФ-решение: Kaspersky Security for
Mail Server.
Sandbox (Динамический анализ)
Эмуляция открытия вложения в изолированной
ВМ. Фиксирует: изменения реестра, запуск
дочерних процессов, сетевые запросы к C2серверам. Выявляет угрозы нулевого дня,
невидимые для сигнатурных фильтров.
CDR — Content Disarm & Reconstruction
Презумпция опасности любого активного
контента. Шлюз декомпилирует файл, вырезает
макросы, скрипты и OLE-объекты, собирает
пользователю безопасную копию без потери
содержимого.
DLP — Data Loss Prevention
Контроль исходящей почты: предотвращение
утечек ПДн и коммерческой тайны. Блокировка
отправки конфиденциальных документов на
внешние адреса. Rate Limiting защищает домен от
попадания в RBL-списки при компрометации
ящика.
9

10.

4 Практические рекомендации по защите
DNS и аутентификация:
– Жёсткий SPF: квалификатор -all вместо ~all
– DKIM: ключ не менее 2048 бит (RSA-SHA256)
– DMARC: постепенная ротация p=none →
p=quarantine → p=reject
Настройки конечных точек (GPO):
– Запрет автозагрузки внешних HTML-картинок
(блокирует web-bug трекеры)
– Принудительное отключение VBA-макросов из
вложений почты
– Внедрение MailTips с баннером [ВНЕШНЕЕ
ПИСЬМО]
– MFA для OWA, VPN и почтовых клиентов
Мониторинг и реагирование:
– SIEM: сбор логов SEG, почтового сервера, Active
Directory
– Корреляция: массовые рассылки с одного IP,
аномальные объёмы вложений
– EDR: контроль поведения процессов почтовых
клиентов
– S/MIME и PGP для верификации внутренних писем
Приоритизация контрмер:
– SPF+DKIM+DMARC — обязательный минимум
– MFA — критически важна (блокирует кражу
учётных данных)
– SEG + Sandbox — технический периметр
– Security Awareness — человеческий фактор
10

11.

4 Алгоритм реагирования на фишинговые инциденты
ЭТАП 1 (15 МИН) Анализ IoC
Извлечение IP, домена, хэшей вложений. Проверка заголовков (SPF/DKIM/DMARC). Сверка по базам TI:
ГосСОПКА и ФинЦЕРТ. Запуск вложений в песочнице.
ЭТАП 2 (30 МИН) Локализация
Поиск аналогичных писем во всех ящиках домена (Purge). Блокировка скомпрометированных учётных
записей в Active Directory.
ЭТАП 3 (20 МИН) Ликвидация
Внесение IP и URL в чёрные списки прокси-серверов и МСЭ. Карантин хоста. Принудительное удаление
писем из всех ящиков.
ЭТАП 4 (2 ЧАСА) Восстановление
Сброс доменного пароля, регенерация MFA. Проверка хоста через HIDS/EDR. Возврат очищенной ОС в
сеть. Составление отчёта по ГОСТ Р ИСО/МЭК 27035-1-2017.
Регламент реагирования основан на ГОСТ Р ИСО/МЭК 27035-1-2017 «Менеджмент инцидентов
11

12.

4 Программа Security Awareness и симуляция фишинга
Профилирование персонала:
Группа «Финансы и закупки»:
Приоритетная цель BEC-атак. Обучение:
распознавание фиктивных платёжных требований.
Группа «Кадры»:
Постоянная обработка резюме с вложениями —
риск доставки ВПО. Обучение: проверка
отправителя перед открытием файлов.
Группа «ИТ-персонал»:
Цель Spear Phishing для кражи привилегированных
учётных данных.
Группа «Общий профиль»:
Базовая цифровая гигиена, признаки массового
фишинга.
Уровни сложности симуляций:
– Базовый: массовый фишинг, проверка базовой
внимательности
– Средний: корпоративный фишинг с элементами
стиля компании
– Продвинутый: целевой фишинг на основе
реального документооборота
Just-in-Time Training:
При «попадании» на учебный фишинг — немедленное
перенаправление на разбор ошибок + 5-минутный
микромодуль.
Целевые KPI:
– Click Rate < 3% за 12 месяцев обучения
– Report Rate > 70% (сотрудники сообщают об
угрозах)
12

13.

4 Методы машинного обучения для обнаружения аномалий
Лингвистический анализ (NLP):
Семантический разбор текста письма —
выявление паттернов манипуляции:
– Нагнетание срочности (требования срочной
оплаты)
– Нетипичные запросы конфиденциальных
документов
– Подмена банковских реквизитов
– Несоответствие стилистики историческому
профилю автора
Поведенческий анализ (UEBA):
Математическая модель нормальной активности
пользователя:
– Граф социальных связей (кто, кому, когда)
– Геолокации, IP-адреса, устройства
– Аномальный объём вложений или новый
внешний адресат
– Активность в нетипичное время суток
Применение:
BEC-атаки часто не содержат вредоносных ссылок — обнаружить их позволяют только поведенческие
методы. При выявлении аномалии письмо задерживается шлюзом безопасности до подтверждения
легитимности через дополнительный фактор аутентификации (MFA).
13

14.

4 Меры по нейтрализации выявленных угроз
Организационные: Пересмотр парольной политики сервисных учётных записей, регламентация работы с
внешней почтой, обязательный инструктаж при приёме сотрудника, регулярные учебные фишинговые
рассылки.
Конфигурационные: Отключение RC4-HMAC в почтовых клиентах, ротация DMARC от p=none до
p=reject, запрет VBA-макросов через GPO, принудительная MFA для всех почтовых интерфейсов.
Архитектурные: Сегментация почтовой инфраструктуры, изоляция серверов Exchange, раздельная
обработка внутренней и внешней почты, CDR-шлюз для всех входящих вложений.
Обнаружения: Аудит событий в SIEM: аномальные отправки, входы с новых устройств, массовые
рассылки. Интеграция EDR с почтовым клиентом. Регулярный аудит конфигураций SPF/DKIM/DMARC.
14

15.

Заключение
Цель работы достигнута: разработаны рекомендации по защите от фишинговых атак в корпоративной
электронной почте предприятия.
В ходе работы:
– проанализирована нормативно-правовая база РФ (149-ФЗ, 152-ФЗ, 187-ФЗ, Приказ ФСТЭК №117) и
международные стандарты (ISO/IEC 27001, MITRE ATT&CK, NIST SP 800);
– изучены современные виды фишинговых атак: массовый, целевой (Spear), BEC, Whaling; исследованы
технические механизмы (VBA, эксплойты, Quishing, ИИ-фишинг);
– проведён анализ средств и методов защиты: SPF+DKIM+DMARC, SEG, Sandbox, CDR, DLP, MFA, SIEM,
EDR, UEBA/NLP-анализ аномалий;
– разработан комплекс рекомендаций по защите: настройка почтовой аутентификации, политики GPO,
алгоритм реагирования на инциденты;
– сформирована программа Security Awareness с симуляцией фишинга и метриками: Click Rate < 3%, Report
Rate > 70% за 12 месяцев;
– выполнен экономический расчёт затрат и обоснована эффективность внедрения мер защиты;
– рассмотрены вопросы безопасности жизнедеятельности и охраны труда на рабочем месте специалиста
ИБ.
15
English     Русский Rules