Корпоративтік поштаны фишингтен қорғау: шешімдерді қалай салыстыруға болады
Корпоративтік поштаны фишингтен қорғау: Proofpoint, Barracuda және Microsoft Defender шешімдерін сіздің хаттарыңызда салыстыру, false positive өлшеу және тергеу процесін ұйымдастыру.

Мәселе қайдан басталады: фишинг пен сүзгінің қателіктерінен болатын шығындар
Фишинг көп жағдайда ашық жалған сияқты көрінбейді. Көбінесе бұл кәдімгі хат: шот, "кіруді тексеріңіз" деген сұрау, банктан келген хабарлама немесе басшыдан келген "шұғыл" өтініш. Тіпті орнатылған пошта қорғанысы болғанымен, шабуылдардың бір бөлігі өтіп кетеді. Қаскөйлер сіздің процестеріңіз бен сөйлесу стиліңізге бейімделеді.
Хаттар сүзгілерден мына себептермен өте береді: шабуылдар ережелерден жылдам өзгереді; сілтемелер заңды бұлттық сервистерге апарады; қосымшалар ашылғанға дейін қауіпсіз көрінеді; ал кейде хат өзі "таза", бірақ әлеуметтік инженерия арқылы адамды қауіпті әрекетке итермелейді (ақшаны аудару, пароль енгізу).
Кері жағы да қауіпті: жалған позитивтер. Сүзгі заңды хаттарды блоктап немесе карантинге жібергенде, бизнес екі рет төлейді. Мерзімдер бұзылады, жеткізушілер жауап алмайды, сату өтініштерін жоғалтады, бухгалтерия шоттарды көрмейді, ал ИТ қолмен шешім табуға уақыт жұмсайды. Уақыт өте адамдар қорғанысқа сенімсіздік танытып, баламалар табады: жеке поштаға жіберу, "хатты жіберу" өтініші, ескертуге қарамау.
Сондықтан «сіздің хаттарыңызда тексеру» деген сөз тіркесі ойдағыдан маңызды. Бұл вендордың демо жиыны емес, сіздің поштаның нақты қоспасы: типтік шоттар, мемлекеттік органдар мен серіктестермен хат алмасу, ішкі жүйелерден хабарламалар, таратылымдар, макросты құжаттар (егер бар болса). Тек осылай қорғаныс жұмысқа кедергі келтіретін немесе шабуылдарды шынайы ұстайтын жерлер көрінеді.
Көптеген компаниялар бір тәсілдің бірін таңдайды: арнайы пошта шлюздері, ағымдағы ағынға кірістірулі бұлттық сүзгілер, Microsoft экожүйесіндегі кіріктірілген қорғаныс (Microsoft Defender for Office 365) немесе бірнеше қабатты аралас схема.
Салыстыруды «кімде көп функция бар» емес, қате бағасының құнымен бастаған дұрыс: бір жіберіліп кеткен фишингтің сізге қаншаға түсетіні және бір лишний жалған оң нәтижінің күнделікті хат алмасуда қанша шығын әкелетіні.
Поштаны қорғау тәсілдері: шлюз, бұлт және кіріктірілген құралдар
Корпоративтік поштаны фишингтен қорғау негізінен үш тәсілмен жүзеге асады: жеке шлюз (gateway) қойып, поштаны алдын ала сүзу; ағынға кіретін бұлттық қызмет; немесе пошта платформасының өзінде тұрған құралдар (мысалы, Microsoft Defender for Office 365 Microsoft 365 үшін).
Шлюз поштаны «кіріс пен шығыста» ұстайды. Артықшылығы — ол хат жәшігіне жетпес бұрын трафикті перехваттап, әртүрлі домендер мен пошта жүйелері үшін бірдей жұмыс істей алады. Бірақ ол маршрутизацияға, SPF/DKIM/DMARC және легитимді таратылымдар үшін жасалған ерекшеліктерге тәуелді.
Бұлттық қорғаныс әдетте қосылуға оңай және тез жаңартылады. Көп жағдайда жаңа науқандар мен жіберушілердің репутациясын талдауда мықты. Шектеулері — сіздің ортаға интеграциясы мен телеметрияға қол жеткізу: не көруге, тергеуге және блоктауға болатыны.
Кіріктірілген құралдар платформаның контекстін жақсы түсінеді: кім кімге жазады, есептік жазбаға қандай күдікті кірулер болған, топтарға қандай саясаттар қолданылған. Бірақ әділ салыстыру бірдей саясаттар, рұқсаттар және жеткізу сценарийлері болғанда ғана шынымен әділ болады.
Қандай тәсіл қолданылмасын, қорғаныс әдетте бірнеше кезеңді жабады: жеткізуді тексеру (репутация, антиспам, DMARC және спуфингтен қорғаныс), сілтемелермен жұмыс, қосымшалармен жұмыс және адамдар арқылы тәуекелді төмендету (оқыту және түсінікті репорт арнасы).
Салыстыруды дұрыс өткізу үшін теңестіруге болатындарды теңестіріңіз: бірдей тест хаттары, бірдей карантин саясаттары, бірдей сенімді жіберушілер тізімі және бірдей «сұрау бойынша ашу» процесі. Сапа әлі де сіздің ортаңызға тәуелді: сыртқы хат алмасудың үлесі, пайдаланушылар түрлері, клиенттер (Outlook, мобильді), қызметкерлердің дағдылары (мысалы, шоттарды және скандарды алмасу).
Ең бастысы: 100% қорғаныс жоқ. Тіпті жақсы сүзгі де қателеседі, сондықтан бағалау тек блоктаулар бойынша ғана емес, сондай-ақ өткізіп жіберілген хатты қаншалықты жылдам табатыныңыз бен даулы хаттарды бизнес тоқтамай шешу қабілетіңіз бойынша жүргізілуі тиіс.
Шешімдерді адал салыстыруды қалай дайындау керек
Адал салыстыру келісімдерден басталады. Әйтпесе пилот тез таласты сценарийге айналады: біреу «ештеңе өткізбеуін» қалайды, екінші «жұмысқа кедергі келтірмеуін». Пошта қорғанысында екі мақсат та маңызды, бірақ оларды алдын ала өлшенетін критерийлерге бөлу қажет.
1–2 негізгі пилот мақсатын қойып, оларды тексеруге болатын күтулерге аударыңыз. Мысалы: пайдаланушыларға жететін фишинг хаттардың санын азайту; күдікті хаттарды қолмен өңдеуді қысқарту; ішкі аудит не реттеуші талаптарын жабу.
Пилот шеңберін алдын ала бекітіңіз:
- қандай домендер мен ағындар пилотқа кіреді (кіріс, шығыс, ішкі хат алмасу);
- қандай пайдаланушылар топтары тексеріледі (мысалы, қаржы, сатып алулар, басшылық) және неге;
- қандай хат түрлері критикалық деп есептеледі (шоттар, өтініштер, банктерден хабарламалар, мердігерлерден хаттар);
- «ерекше жағдайларды» қалай өңдейміз: таратылымдар, CRM-хабарламалар, мемлекеттік порталдардан келген хаттар.
Әртүрлі сценарийлерді көру үшін кезеңді таңдаңыз. Көбінесе 2–6 апта кәдімгі поштаны, таратылым шыңдарын және бірнеше нақты шабуыл әрекеттерін көруге жеткілікті. Бір-екі күндік пилот әдетте алғашқы нақты аптада статистиканы түсіріп қояды.
Рөлдер мен дау шығатын жағдайларды шешу ережелерін тағайындаңыз:
- ИБ тәуекел критерийлерін, приоритеттерді және соңғы бағалауды береді;
- Пошта админдері маршрутизация, саясаттар мен журналдауды қамтамасыз етеді;
- Service Desk қызметкерлері пайдаланушы шағымдарын қабылдап, алғашқы классификация жасайды;
- Бизнес-процесс иелері маңызды хаттардың жұмысты бұзбауын растайды.
Мысал: қаржы «жетпей қалған шоттарды» шағымданса, процесс иесі болмаса бұл кешігудің қауіпсіздік үшін қабылданатын ұтымды кедергі ме немесе өкілеттікке жатпайтын тоқтау ма екенін түсінбейсіз.
Тест үшін хаттар жиынтығын қалай жинау керек, қауіпсіздік сақтай отырып
Тест жиынтығы нақты ағынға ұқсауы қажет. Әйтпесе шешімдер жасанды мысалдарда «көрікті» нәтиже көрсетіп, нақты жұмыс кезінде тосынсыйлар болады.
Белгілі бір кезеңнен (мысалы, 2–4 апта) және әртүрлі бөлімдерден хаттар жинаңыз. Жиынтыққа әдетте сыртқы жіберушілерден келетін кіріс хаттар, ішкі хат алмасу, шығыс хаттар (қатысатын ережелерді бұзатындығын көру үшін), жаппай хабарламалар және «бизнес-қауіпсіз» шаблондар қосылады: шоттар, актылар, КП, логистика.
Ең маңыздысы — құпиялылық. Мәтінді ашық сақтау қажет емес. Мазмұндық белгілерді сақтап, деректерді жойыңыз:
- фамилиялар, телефондар, ЖСН, келісімшарт нөмірлерін нейтралды маскаларға ауыстырыңыз;
- хат тақырыбын, қосымшаның түрін (PDF, DOCX, ZIP) және өлшемін қалдырыңыз;
- жіберушінің доменін және жіберілім тізбегін сақтаңыз, бірақ адрес локал бөлігін алып тастаңыз;
- сілтемелер мен олардың домендерін тіркеңіз, жеке параметрлерді сақтамай.
Арнайы «жақсы» хаттарды бөлек жинаңыз, яғни жиі блокталатын заңды хаттарды: нақты жеткізушілердің шоттары, тендер шақырулары, мемлекеттік органдардан хаттар, банктік хабарламалар. Олар false positive деңгейін көрсетуде ең пайдалы.
Сонымен қатар ағымдағы күйдің нүктесін белгілеңіз: қазір не өтеді, не блокталады, не карантинге түседі және разборға қанша уақыт кетеді. Осылайша шешімдерді сезім емес, шынайы жағдаймен салыстырасыз.
Метрикалар: false positive және false negative-ты қалай өлшеу керек
Алдымен терминдерге келісіңіз. Бір фильтр блоктаулар саны бойынша күшті көрінуі мүмкін, ал егер қажетті хаттарды бұзуды есепке алсаңыз — әлсіз көрінеді.
Пилоттағы барлық хаттар үшін (пошта жүйесінің оқиғалары және сүзгі шешімі бойынша) қарапайым көрсеткіштер жиынтығынан бастаңыз: блоктаулар үлесі, карантин үлесі, ескерту арқылы жеткізу үлесі, әдеттегі жеткізу үлесі, даулы шешімдер үлесі (естетілген ереженің нәтижесі тексеруден кейін өзгеше болған жағдайлар).
Содан кейін false positive-ты анықтаңыз. Қате — бұл "пайдаланушыға ұнамады" емес, сіздің саясатыңыз бойынша зиянсыз және бизнеске зиян келтірмей жеткізілуі тиіс хаттың блокталуы. Қателерді дереккөзі мен түрі бойынша бөлу пайдалы: мемлекеттік органдар, банктер, жеткізушілер, ішкі хабарламалар, сервис таратылымдары.
False negative-ты тек расталған жағдайлар бойынша тіркеңіз, әйтпесе метрика даулы болады: инциденттер, қызметкерлердің репорттары, SOC табулары және шын мәнінде сілтемеге өту немесе есептік деректерді енгізу арқылы орын алған хаттар негізгі көздер.
Жауап беру уақытын бөлек өлшеңіз: хат келгеннен бастап алғашқы әрекетке (изоляция, ұқсас хаттарды іздеу) және инцидентті жабуға дейінгі уақыт. Егер филиалдағы қызметкер жеткізушіден «шот» алса, басқа ящиктерден ұқсас хаттарды жою және ережені жаңарту қанша минут ішінде орындалатынын білу маңызды.
Нақты трафикте пилот жүргізудің қадамдық жоспары
Нақты трафикте пилот шешімдердің сіздің хаттарыңызда қалай әрекет ететінін көру үшін қажет, бұл әсіресе қорғанысты бизнес жұмысын тежемей қорғау мақсатында маңызды.
Қауіпсіз форматтан бастаңыз: параллельді режим (хаттар жеткізіледі, бірақ қосымша шешіммен талданады) немесе пилоттық топ. Пилот үшін әдетте компания қызметкерлерінің 5–10% жеткілікті, мұнда типтік сценарийлер бар: бухгалтерия, сатып алулар, HR, ИТ және басшылық.
Жоспарға адал болыңыз:
- Параллельді режимді немесе пилоттық топты қосыңыз, басты ағын бүкіл компанияға бұзылмауы тиіс.
- Мүмкіндігінше бірдей саясаттарды баптаңыз: спам, фишинг, қосымшалар, сілтемелер, карантин, хабарландырулар. Бірдейлік жоқ жерлерді жазбаша бекітіңіз.
- Эскалацияны анықтаңыз: кім «ашуға рұқсат береді» және қанша уақыт ішінде. Қаржы мен кадрлар үшін қатал тәртіпті алдын ала белгілеу пайдалы.
- Күнделікті статистика жинап, мысалдарды жинаңыз: карантинге түскендер, өткізіліп кеткендер, пайдаланушы шағымдары. Тек сандар ғана емес, бірнеше нақты хатты да сақтаңыз.
- Аптасына бір рет калибровка жасаңыз: табылған қателерге қарама-қарсы ережелерді түзетіңіз және басқа метрикалардың нашарламайтынын тексеріңіз.
Практикалық мысал: бухгалтер «жетпей қалған жеткізілім шотын» алады. Шешім A хатты карантинге жіберді, шешім B өткізіп жіберді, қызметкер IT-ге шағымданды. Бұл хат бір сағат ішінде ИБ тарапынан тексеріліп, жіберуші және жіберілім тізбегі салыстырылады, шешім қабылданып, пилот журналына себеп жазылады.
Тергеу процесі: қызметкер репорттан бастап инцидент жабылғанға дейін
Поштаны қорғаудың жиі сәтсіздігі — «сүзгі әлсіз» емес, хат адамға жеткеннен кейінгі анық, бірізді процесс жоқтығы. Қызметкер күдікті шот немесе "парольді жаңарту" сұрауын көріп, қайда жіберу керегін білмейді. Соңында хатты коллегаларына жіберіп, қаупі көбейеді.
Бүкіл репорт үшін бір арна
Кез келген күдікті пошта үшін бір түсінікті арна жасаңыз: пошта клиентіндегі «Фишинг туралы хабарлау» батырмасы немесе хатты өтінішке айналдыратын бір мекенжай. Қызметкерге кімге жазу керегін ойланудың қажеті жоқ, және хабарлама чаттарда жоғалмауы тиіс.
Репорт түскен кезде дереу деректерді жинаңыз, хат жойылмағанша және сілтемелер «өшпегенше». Әдетте қажетті минималды жиынтық:
- хаттың толық тақырыптары (headers) және бастапқы мәтіні (eml);
- ашылмаған қосымшалар;
- хаттағы барлық URL-дар (батырмалар да);
- қысқа скрин және сипаттама: "не істеуді сұрады";
- бизнес контекст: бұл күтілген шот па, қызметкердің нені жіберуші деп санағаны.
Стандартты шешімдер және себепті тіркеу
Бірізді плейбук аналитиктер арасында бірдей шешім қабылдауға көмектеседі. Әдетте опциялар:
- қауіпсіз деп танып, пайдаланушыға себепті түсіндіру (false positive болса);
- өшіру немесе карантинге көшіру;
- ұқсас хаттарды басқа жәшіктерден жою;
- домен немесе жіберушіні блоктау;
- индикаторларды ережелерге қосу.
Шаблонды жауаптар мен кезектер (мысалы, «қаржы», «кадрлар», «ИТ») және приоритет деңгейлерін алдын ала орнатыңыз. «Директордан» келген төте төлеуге қатысты хаттар маркетингтік таратылымнан жылдам тексеруді талап етеді.
Шешімдер базасын жүргізіңіз: хат неге фишинг деп танылды немесе легитимді делінген, қандай белгілер жұмыс істеді және оқу үшін 1–2 мысал. Бұл ИБ мен бизнестің дауын азайтып, қайталанатын жағдайларды жылдамырақ өңдеуге көмектеседі.
Proofpoint, Barracuda және Defender-ді салыстыруда жиі кездесетін қателіктер
Ең жиі кездесетін қате — шешімдерді әртүрлі жағдайларда салыстыру. Біреуі қатты бапталған, екіншісі әдепкіде тұр, үшіншісі исключенияға толы. Соңында сіз өнімдерді емес, кездейсоқ саясаттар жиынтығын салыстырасыз.
Тағы бір тұзақ — пайдаланушылардың шағымдарын "лишні блоктауларды" қандай бағаға төмендеткіңіз келетіні. Пилот барысында жіберушілер мен домендерді allow list-қа қоса бастаған кезде сүзгі жылдам мәнін жоғалтады. False positive төмендейді, бірақ нақты қорғаныс та төмендейді.
Сонымен қатар тек тоқтатылған хаттар санына қарап кетпеу керек. Қандай хат тоқтатылғаны, қанша қауіпті хат өткізіліп кеткені және IT/ИБ командасына шағымды өңдеуге қанша уақыт қажет екені маңызды.
Пилот нәтижелерін бұзатын әдеттегі факторлар
- әр шешім үшін әртүрлі ережелер мен режимдер (карантин, "белгілеу", "жою");
- пайдаланушыларды тыныштандыру үшін көп исключения қосу;
- "қанша блокталды" ғана қарау, олардың нақты қауіп пе екеніне тексермеу;
- тек сыртқы поштаны тексеріп, типтік легитимді ағындарды қалдыру (шоттар, HR-хабарламалар, тендерлер, ішкі хабарламалар);
- кім хатты ашуға рұқсат беретінін, кім тәуекелді растайтынын анықтамау.
Салыстыруды бұзатын мысал
Қаржы бөлімі жеткізушіден шот алмай қалды, бір уақытта бірнеше қызметкер IT атынан "парольді жаңарту" сілтемесі бар фишинг алды. Егер пилотта жеткізуші домені толықтай исключение ретінде қосылса, шот әрдайым өтеді. Бірақ сол кезде ұқсас домен арқылы немесе бұзылған пошта арқылы екеуі де өтуі мүмкін.
Тесті бастамас бұрын ашу ережелерін келістіріңіз: мысалы, хатты жіберу тек тақырыптар, домен және қосымшалар бойынша жылдам тексеруден кейін ғана рұқсат етіледі және жіберушіні екінші канал арқылы растау керек. Бұл қауіпсіздікті және салыстыру әділдігін сақтайды.
Шешімді таңдауға дейінгі қысқаша чек-лист
Кестелер мен маркетингке батуланбау үшін бірнеше практикалық тармақтарды бекітіңіз, олар салыстыруды қайталанатын етеді.
Пилот мақсаттарын санмен сипаттаңыз. Мысалы: "өткізіп жіберілген фишинг хаттарының санын 2 есе қысқарту" және "шоттар, келісімшарттар және мемлекеттік органдардан келген хаттар үшін легитимді блоктаулар 0.1%-дан аспауы". Шекарасыз нәтиже соңында "жақсырақ" деп сипатталады.
Тест хаттарын қауіп тудырмай етіп дайындаңыз. Анонимизацияны алдын ала сипаттаңыз: не ауыстырады (келісімшарт нөмірлері, ЖСН, реквизиттер, есімдер), не сақталады (хатты құрылымы, қосымшалар, типтік фразалар).
Блоктау себептерін бір тілге келтіріңіз. Әр түрлі шешімдер бірдей нәрсені әртүрлі атаса, нәтижелерді салыстыру мүмкін болмай қалады.
Соңында сізде келесі артефакттар болуы тиіс:
- мақсаттар мен табыстың критерийлері: FP және FN-ға арналған нысаналы көрсеткіштер, пилот мерзімі, қатысатын бөлімдер;
- тесттік хаттар жиынтығы: көздер, анонимизация ережелері, кім сақтайды және кім қолжетімді;
- бірізді категориялар: себеп ярлықтары (спуфинг, зиянды қосымша, күдікті сілтеме, "сұр" хат) және оларды кім қоятыны;
- false positive есебі: критикалық хат түрлері (шоттар, сатып алулар, кадр құжаттары, банк хабарламалары) және маңызды жіберушілер бойынша;
- енгізу жоспары: исключенияларды кім қабылдайды, кім тергеу жүргізеді және пайдаланушыға хат қайтару уақыты.
Егер бір тармақ болсын «еркін жүрсе», пилот көбіне таласпен аяқталады, таңдаудан емес.
Сценарий мысалы: жеткізушінің шоты және IT-атынан фишинг
Дүйсенбі, таңертең. Бухгалтерия "жоғалған шоттар" туралы шағымданады: жеткізуші жіберген инвойстардың бір бөлігі жетпеді. Сол уақытта бірнеше қызметкер IT-дан келгендей көрінетін: "Парольдің мерзімі өтті, сілтеме арқылы жаңартыңыз" деген хат алады. Бұл — қорғаныс дәл әрі жұмысты тежемей болуы тиіс типтік жағдай.
Осы кейсті адал түрде пилоттан өткізу үшін нақты хаттарды (немесе олардың қауіпсіз көшірмелерін) алыңыз да әр шешім арқылы бірдей шарттарда өткізіңіз. Екі ағынмен не болатынын тіркеңіз: легитимді шоттар және фишинг таралымы.
Өңдеу сценарийі бойынша нәтижелерді тексеріңіз:
- не дереу блокталады (пайдаланушыға мүлде жетпейді);
- не карантинге түсіп, ашуды талап етеді;
- не ескертусіз пошталық жәшікке өтеді;
- срабатывание себептері қаншалықты түсінікті;
- IT немесе ИБ үшін бір хатты талдау қанша уақыт алады.
Одан кейін шоттарға қатысты false positive-тың "құнын" есептеңіз. Құжаттың зиянды болмағанымен төлемнің кешігуі шығын әкелуі мүмкін: мерзім бұзылуы, айыппұлдар, жеткізілімнің тоқтатылуы. IT-ге өтініштерге кеткен уақыт, ашуды күту, мессенджерлерге өту және қайта жіберулер — жиі бизнес үшін сирек фишингтен гөрі көбірек ренжітетін жасырын шығындар.
Қорытындыны "кім жеңді" деген талас ретінде емес, үдерістер тізімі ретінде беру ыңғайлы: шоттарға қандай шарттарда исключения жасалады, IT-атынан хаттарға қандай ережелер күшейтіледі, қызметкерлер қалай фишингті репорттайды, қандай хабарландырулар қайта жазылады, сол үшін қызметкерлер оларды елемесін деп.
Кейін не істеу керек: енгізу, сапаны бақылау және қолдау
Пилот аяқталғаннан кейін нәтижелерді бизнес, IT және ИБ бәрі бірдей түсінетін түрде бекітіңіз. Ең практикалық формат — метрикалар кестесі (false positive және false negative), қателескен хаттардың мысалдары және еңбек шығындары: разборға, исключения орнатуға және пайдаланушылармен жұмысқа кеткен уақыт.
Содан кейін мақсатты архитектураны анықтаңыз. Жиі қолданылатын схема: базалық саясаттар Microsoft 365 ішінде қалады, ал қосымша терең талдау мен қосымшалар/URL сканері үшін бөлек шешім периметрге немесе бұлтқа шығарылады. Біртұтас карантин нүктесі мен ережелердің иесін алдын ала шешіңіз, әйтпесе пошта қорғанысы командалар арасындағы таласқа айналады.
Реттеме жазып алыңыз, сонда әр инцидентті əр рет қолмен «емдемеу» керек болмайды:
- карантин қалай өңделеді және кім хаттарды шығара алады;
- исключения қалай рәсімделеді және қашан қайта қаралады;
- қызметкердің репортына және жаппай таратылымдарға жауап беру мерзімі;
- бизнестің қателерді және блоктауларды қалай түсіндіретіні;
- өзгерістер журналы: не өзгертілген, неге және қандай әсер болды.
Енгізуді кезең-кезеңімен жасаған дұрыс: алдымен мониторинг және жұмсақ саясаттар, содан кейін қатайту және ғана автоматты әрекеттер (жою, изоляция, міндетті тексеру). Сүзгі сапасының меншікшісін тағайындаңыз: оның міндеті — аптасына есептерді қарап, топ-қателерді талдап, исключениялардың кеңеюіне жол бермеу.
Егер пилотты "сіздің хаттарыңызда" өткізіп, ұйымдастырушылық детальдарға апталар жұмсамай өткізу керек болса, жүйелік интеграторға сеніп тапсыру жиі тиімді. GSE.kz (gse.kz) сияқты интеграторлар ИТ пен ИБ шешімдерін жобалап, енгізіп, тергеу процестерін баптап, әрі қарай қолдауды, соның ішінде тәулік бойы қызмет көрсету арқылы қамтамасыз ете алады.
FAQ
Фишингтен поштаны қорғауды қалай адал салыстырудан бастау керек?
Бастапқыда «қате бағасының» шығынын есептеңіз: бір жіберіліп кеткен фишингтің және күнделікті хат алмасуда бір лишний false positive-тың қаншаға түсетінін анықтаңыз. Содан кейін шешімдерді сіздің типтік пошта ағындарында және бірдей саясаттарда салыстырыңыз — әйтпесе өнімдерді емес, баптаулардың айырмашылығын салыстырасыз.
Пошталық сүзгінің пилоты қанша уақытқа созылуы тиіс, статистика пайдалы болуы үшін?
2–6 апта — әдетте жеткілікті: күнделікті жұмыс күндерін, хабарландырулар шыңдарын, шоттар мен кадр хаттарын және бірнеше нақты шабуыл әрекеттерін көру үшін. 2–3 күндік пилот әдемі статистика береді, бірақ алғашқы «шынайы» ағындарда жиі құлайды.
Реалды трафикпен пилотты қалай өткізіп, жұмысты парализдемеу керек?
Ең қауіпсіз схема — параллельді режим немесе пилот тобы: қосымша шешім хаттарды талдайды, бірақ бүкіл компанияда жеткізілімді бұзбайды. Бұл шоттар, сатып алулар және сату жұмыстары тоқтамай тұрып блоктаулар мен өткізіп жіберулер туралы деректер жинауға мүмкіндік береді.
По штаны қорғауда false positive және false negative-ты қалай дұрыс есептеу керек?
False positive — сіздің саясатыңыз бойынша зиянсыз, бірақ сатылуы тиіс хаттың блокталғаны. False negative — расталған оқиғалар бойынша ғана есептелуі керек; бұған инциденттер, қызметкерлердің репорттары және SOC-тың табулары жатады. Әйтпесе метрика даулы болады.
Тест үшін хаттар жиынтығын қалай жинап, құпиялылықты сақтау керек?
Пошталарды құпиясын сақтай отырып жинаңыз: құрылымды және көрсеткіштерін қалдырып, жеке деректерді жойыңыз — есімдер, телефондар, ЖСН, келісімшарт нөмірлері. Қалған болып табылатын нәрселер: тақырып, қосымшалар түрі, домендер және сілтемелер — дәл осы жерде сүзгілер жиі қателейді.
Неліктен пилот кезінде жіберушілерді жаппай allow list-ке қосу қауіпті?
Пилот кезінде allow list-ке көп қатысушыларды қосу қауіпті төмендеткендей көрінгенімен, нақты қорғанысты әлсіретеді: шабуылдаушылар ұқсас домендерді және бұзылған пошта жәшіктерін қолданады. Жақсы тәжірибе — тез тексеру арқылы жеке жағдайларды шығаруға және оларды қайта қарау мерзімімен шектеу.
Proofpoint, Barracuda және Microsoft Defender-ді салыстырғанда не нәрсені теңестіру керек?
Унификациялануы тиіс: әрекет режимдері (карантин, белгілеу, жою), сенімді жіберушілер тізімі, сілтемелер мен қосымшаларға қатысты ережелер және «ашу бойынша» сценарий. Егер бір шешім хатты карантинге жіберсе, ал екіншісі тек белгілесе — салыстыру мүмкін емес болады.
Антифишингті күшейткенде жабдықтаушылардың шоттарын қалай сақтап қалуға болады?
Шоттар мен тендер хаттары жиі false positive туғызатындықтан оларды бөлек категорияға бөліп, жалпы спамнан бөлек бағалау қажет. Қаржы бөлімімен алдын ала келісіп, кім тақырыпшалар мен доменді тексереді, екінші арна арқылы жіберушіні қалай растайтынын және қанша уақытта хат босатылуы керектігін анықтаңыз.
Қызметкер фишинг күдіктесе, тергеу процесін қалай құру керек?
Қызметкерге қарапайым арна жасаңыз: пошта клиентіндегі «Фишинг туралы хабарлау» батырмасы немесе арнайы мекенжай, ол хатты өтінішке айналдырады. Репорт келген соң: хаттың толық тақырыптары (headers), eml-оригиналы, ашылмаған қосымшалар, барлық URL және қысқаша скрин мен контекст жинау қажет.
Поштаны қорғауды енгізу үшін жүйелік интеграторды қашан тартқан дұрыс?
Пилотты тез және ұйымдастырылған өткізу, маршруттау, саясаттар мен карантинді баптау үшін және ИБ мен бизнес талаптарын біріктіретін процесс қажет болған жағдайда жүйелік интеграторды тартады. Мұндай жобаларда GSE.kz (gse.kz) жобалау, енгізу және қолдауды, соның ішінде регламенттер мен сапаны бақылауды қамтамасыз ете алады.