Название базовой системы (платформы): | Искусственный интеллект (ИИ, Artificial intelligence, AI) |
Разработчики: | AVSoft (АВ Софт) |
Технологии: | ИБ - Антиспам |
Содержание |
'Основные статьи:'
Электронная почта – один из самых популярных каналов проникновения кибератак, реализации фишинга и распространения спама, все лучше маскирующегося под легитимные сообщения. Обеспечение безопасности деловых коммуникаций посредством электронной почты, мессенджеров и создание своих собственных баз знаний по фишингу и спаму является основной задачей офицеров безопасности в любой современной компании.Михаил Садиров, SMART technologies: На тестирование мультивендорных решений есть спрос
Система защиты от спама и фишинга AVSOFT KAIROS является мультимодульным аналитическим инструментом и платформой обеспечения логистики электронных писем в соответствии с политиками безопасности и корпоративными стандартами. Она представляет собой шлюз электронной почты, который сканирует и обрабатывает всю входящую электронную почту на предмет спама, фишинга и вредоносных вложений.
В системе KAIROS присутствует интуитивно понятный интерфейс, в котором можно найти дашборды, отчеты по проверке почтовых писем и аналитические материалы, их можно конвертировать в различные форматы и пересылать по электронной почте. Гибкая система справочников позволяет пользователю кастомизировать следующие параметры:
- Заголовки писем
- Белые и черные списки
- Профили пользователей
- Вредоносные IP-адреса и домены
- Политики проверки по источникам и получателям
Система KAIROS фильтрует входящие сообщения по следующим категориям:
- Тип соединения
- По адресу источника
- По адресу назначения и по содержанию
Антиспам
Спам-фильтр определяет целесообразность детальной проверки вложений и атрибутов письма в системе KAIROS на безопасность. Для контроля подлинности электронных писем осуществляется анализ по трем стандартам безопасности: SPF, DKIM, DMARC, которые представляют собой набор методов аутентификации электронной почты. Они нужны, чтобы доказать интернет-провайдерам и почтовым службам, что отправители действительно уполномочены отправлять электронную почту с определенного домена.
Параметр SPF отвечает за проверку подлинности домена, DKIM идентифицирует присутствие криптографической подписи, а DMARC уже на основании показателей SPF и DKIM определяет логику обработки электронных писем, идентифицированных поддельными. В системе KAIROS присутствует гибкая настройка политик работы данных параметров.
Машинное обучение
В системе KAIROS используется большое количество моделей машинного обучения с возможностью дообучения на данных пользователя, что особенно актуально для закрытых контуров. Система сама помогает с автоматической разметкой данных и проводит анализ новый версий по метрикам качества.
В числе применяемых алгоритмов присутствуют новый тип – трансформеры, которые хорошо понимают контекст предложений. Для извлечения признаков используется концепция вложений (embeddings), она хорошо справляется с определением связей между словами, учитывает их последовательность, многообразие значений и частоту. Также модели поддерживают 15 языков: русский, китайский, английский, французский, немецкий, итальянский и др.
Кибератаки на модели ML сейчас активно развиваются, среди них можно выделить популярные техники «отравления», изменение уверенности модели и компрометации обучающей выборки. Для защиты моделей в системе предусмотрен контрольный датасет, по которому отслеживаются метрики дообученных моделей, а также параллельная работа новых и предыдущих версий для сравнения качества детектирования и отсутствия ложных срабатываний.
Анализ изображений
Динамический анализ изображений помогает обнаружить использование логотипов брендов, которые включают в электронные письма для атак или на фишинговые целевые страницы. Чтобы обмануть эти инструменты обнаружения злоумышленники изменяют HTML-атрибуты логотипа, например его цвет и др. параметры.
Система KAIROS сверяет атрибуты настоящих и поддельных логотипов на базе алгоритма сверточной нейронной сети Yolo5 и для обучения по одному или нескольким образцам (one-shot) использует попарное соотнесение схожих объектов из двух разных множеств (Matching). Также проверка изображений применима в случае атак с минимальным содержанием, когда для избежания обнаружения включают в электронное письмо изображение вместо текста.
Анализ QR-кодов, которые получают все большее распространение, позволяет выполнить переход по веб-ссылкам, на которые они ведут, и проверить их на безопасность.
Анализ ссылок
Для обхода шлюзов безопасности электронной почты злоумышленники используют разнообразные типы фишинговых ссылок, среди самых популярных из них можно выделить следующие виды:
- Сокращенные URL-адреса
- Киберсквотинг и тайпсквотинг
- Легитимные ссылки в контактной информации
- Перенаправление пользователей сначала на фишинговую страницу, а после введения им своих данных – уже перенаправление на законную веб-страницу
Новые подходы к обнаружению фишинговых атак и спама в системе KAIROS построены на базе визуальных атрибутов, позволяющих обойти традиционные и новые методы уклонения от систем антифишинга и антиспама. Среди направлений анализа присутствуют следующие технологии:
- Статический анализ адреса
- Динамика переходов по ссылке
- Анализ кода страницы и JavaScript-кода
- Проверка на киберсквотинг и тайпсквотинг
- Модели машинного обучения с возможностью дообучения
Анализ кода JavaScript страницы на предмет признаков блокировки мыши, подмены адресов, редиректов, якорей, всплывающих окон и др. помогает детектировать смешение безопасного и вредоносного кода страницы при создании реплики известного сайта.
Аналитический потенциал
Боты в сети Интернет непрерывно в автоматическом режиме собирают данные для справочников системы по вредоносным IP-адресам, доменам, контрольным суммам, что повышает эффективность системы KAIROS в автоматическом режиме.
На корпоративном сайте АВ Софт можно в свободном доступе отправить ссылку на проверку в облачную версию системы KAIROS и получить подробный отчет с результатами.
Дополнительный функционал
Система KAIROS позволяет настроить разнообразные шаблоны оповещения пользователей и администраторов по электронной почте, телеграму и в веб-интерфейсе.
По протоколу syslog передаются события о состоянии системы и по выявленным вредоносным объектам в SIEM-системы. Поддерживаются форматы LEEF и CEF.
Возможна интеграция с другими системами по API-интерфейсу для приема данных на проверку и обмен IoC (сокр. от англ. Indicator of Compromise – индикатор компрометации) с межсетевыми экранами.
Система KAIROS может быть инсталлирована на физической, виртуальной и облачной инфраструктуре.
Смотрите также
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (122)
ESET (ИСЕТ Софтвеа) (115)
Лаборатория Касперского (Kaspersky) (58)
ДиалогНаука (49)
Инфосистемы Джет (46)
Другие (789)
R-Vision (Р-Вижн) (4)
Card Security (Кард Сек) (4)
Национальный аттестационный центр (НАЦ) (4)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
Другие (48)
А-Реал Консалтинг (3)
TUV Austria (2)
Wone IT (Ван Ай Ти Трейд, ранее SoftwareONE Россия, СофтвэрУАН и Awara IT Russia, Авара Ай Ти Солюшенс) (2)
Национальный аттестационный центр (НАЦ) (2)
BI.Zone (Безопасная Информационная Зона, Бизон) (2)
Другие (35)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (24, 230)
ESET (ИСЕТ Софтвеа) (12, 136)
Доктор Веб (Dr.Web) (7, 46)
UserGate, Юзергейт (ранее Entensys) (3, 10)
Acronis (Акронис) (2, 10)
Другие (190, 84)
R-Vision (Р-Вижн) (1, 4)
Trend Micro (1, 2)
Fortinet (1, 1)
F.A.C.C.T. (ранее Group-IB в России) (1, 1)
Лаборатория Касперского (Kaspersky) (1, 1)
Другие (0, 0)
Лаборатория Касперского (Kaspersky) (1, 3)
А-Реал Консалтинг (1, 3)
МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 1)
R-Vision (Р-Вижн) (1, 1)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
Другие (0, 0)
Лаборатория Касперского (Kaspersky) (2, 4)
UserGate, Юзергейт (ранее Entensys) (1, 4)
МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 3)
Другие (0, 0)
UserGate, Юзергейт (ранее Entensys) (1, 3)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
Другие (0, 0)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Endpoint Security - 82
Kaspersky Security - 81
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
ESET NOD32 Antivirus - 34
Другие 259
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
Trend Micro: Deep Discovery - 2
FortiManager - 1
Group-IB Threat Hunting Framework (ранее Threat Detection Service, TDS) - 1
Kaspersky Total Security - 1
Другие 0
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Kaspersky Endpoint Security - 3
BI.Zone CESP (Cloud Email Security & Protection) - 1
МТТ Защита номера - 1
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 1
Другие 0
UserGate UTM - 4
Kaspersky Endpoint Security - 3
МТТ Защита номера - 3
Kaspersky Security - 2
Другие 0