744.64K
Похожие презентации:
Методы борьбы с фишинговыми атаками
Методы борьбы с фишинговыми атаками
Предмет курса интернет-технологии. Введение
Предмет курса интернет-технологии. Введение
Электронная почта
Электронная почта
Угрозы информационной безопасности: характеристика и способы противодействия
Угрозы информационной безопасности: характеристика и способы противодействия
Безопасность информационных систем. Обеспечение безопасности компьютерных сетей
Безопасность информационных систем. Обеспечение безопасности компьютерных сетей
Управление рисками. (Тема 4)
Управление рисками. (Тема 4)
Компания РТЛ. Вакансии
Компания РТЛ. Вакансии
Введение в Интернет-технологии
Введение в Интернет-технологии
Кибербезопасность. Вредоносное программное обеспечение (вирусы)
Кибербезопасность. Вредоносное программное обеспечение (вирусы)
Жизненный цикл СЗИ
Жизненный цикл СЗИ

Презентация Штефанко

1.

Программа бакалавриата: 10.03.01 Информационная безопасность
Направленность: Безопасность автоматизированных систем
ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА НА ТЕМУ:
РАЗРАБОТКА МОДУЛЯ АНАЛИЗА ПИСЕМ НА ВЫЯВЛЕНИЕ МОШЕННИЧЕСТВА С
ЦЕЛЬЮ КРАЖИ КОНФИДЕНЦИАЛЬНЫХ ДАННЫХ В КОРПОРАТИВНОЙ ПОЧТЕ ОТДЕЛА
ПРОДАЖ
Выполнил: студент группы ВИБ42 Штефанко А. А.
Руководитель: канд. техн. наук Айдинян А. Р.
2026 Г.

2.

Актуальность, объект, предмет, цель и задачи
‒ Актуальность: фишинг — каждый второй инцидент ИБ; ущерб от BEC > 2,9 млрд $/год; отдел продаж — особая группа риска;
‒ Объект: корпоративная электронная почта отдела продаж;
‒ Предмет: методы автоматического выявления мошенничества;
‒ Цель: разработка программного модуля real-time анализа писем с переносом подтверждённых угроз в карантин.
Задачи:
‒ анализ угроз и существующих средств защиты;
‒ построение модели угроз и нарушителя по методике ФСТЭК;
‒ разработка системы эвристических правил;
‒ обучение классификатора машинного обучения;
‒ проектирование архитектуры с IMAP IDLE;
‒ программная реализация (CLI, веб, REST);
‒ экспериментальная оценка эффективности.
РАЗРАБОТКА МОДУЛЯ АНАЛИЗА ПИСЕМ НА ВЫЯВЛЕНИЕ МОШЕННИЧЕСТВА С ЦЕЛЬЮ КРАЖИ КОНФИДЕНЦИАЛЬНЫХ ДАННЫХ В КОРПОРАТИВНОЙ ПОЧТЕ ОТДЕЛА ПРОДАЖ
2

3.

Модель нарушителя (методика ФСТЭК от 05.02.2021)
‒ Н4 — отдельные лица: базовый потенциал; массовый
фишинг;
‒ Н3 — преступные группы: базовый повышенный;
целевой фишинг, компрометация деловой переписки,
подмена банковских реквизитов;
‒ Н5 — конкуренты: базовый повышенный; промшпионаж,
хищение коммерческой тайны;
‒ Внутренние нарушители: не рассматриваются — анализ
только входящего потока;
‒ Цели: хищение средств, перепродажа учётных данных,
конкурентное преимущество.
РАЗРАБОТКА МОДУЛЯ АНАЛИЗА ПИСЕМ НА ВЫЯВЛЕНИЕ МОШЕННИЧЕСТВА С ЦЕЛЬЮ КРАЖИ КОНФИДЕНЦИАЛЬНЫХ ДАННЫХ В КОРПОРАТИВНОЙ ПОЧТЕ ОТДЕЛА ПРОДАЖ
3

4.

Существующие средства защиты и разрыв
‒ Уровень 1 (сервер): антиспам, SPF/DKIM/DMARC —
пропускает целевые письма;
‒ Уровень 2 (рабочее место): антивирус — только после
открытия;
‒ Уровень 3 (организационный): зависит от внимательности
сотрудника;
‒ Зарубежные коммерческие решения: недоступны
(импортозамещение);
‒ Отечественные сертифицированные: только Microsoft
Exchange Server;
‒ Разрабатываемый модуль: промежуточный уровень —
анализ до предъявления пользователю.
РАЗРАБОТКА МОДУЛЯ АНАЛИЗА ПИСЕМ НА ВЫЯВЛЕНИЕ МОШЕННИЧЕСТВА С ЦЕЛЬЮ КРАЖИ КОНФИДЕНЦИАЛЬНЫХ ДАННЫХ В КОРПОРАТИВНОЙ ПОЧТЕ ОТДЕЛА ПРОДАЖ
4

5.

5
Архитектура программного модуля
‒ Парсер писем (RFC 5322);
‒ Эвристический анализатор — 5 групп;
‒ ML-классификатор (TF-IDF + LogReg);
‒ Оркестратор IMAP-воркеров;
‒ Журналирование JSONL → SIEM;
‒ Веб-интерфейс на Flask;
‒ REST API;
‒ CLI и подсистема обучения.
Python 3.11, scikit-learn, Flask, imapclient — свободные
библиотеки.
РАЗРАБОТКА МОДУЛЯ АНАЛИЗА ПИСЕМ НА ВЫЯВЛЕНИЕ МОШЕННИЧЕСТВА С ЦЕЛЬЮ КРАЖИ КОНФИДЕНЦИАЛЬНЫХ ДАННЫХ В КОРПОРАТИВНОЙ ПОЧТЕ ОТДЕЛА ПРОДАЖ

6.

6
Эвристический анализатор и алгоритм скоринга
‒ Заголовки: SPF / DKIM / DMARC, From / Reply-To / Return-Path;
‒ Отправитель: spoof, lookalike (Левенштейн), freemail, first-sight;
‒ Ссылки: IP, сокращатели, IDN-омографы, Punycode, userinfo;
‒ Содержание: лексика срочности, угроз, запроса учётных данных;
HTML-формы;
‒ Вложения: .exe, макросы, double-extension (invoice.pdf.exe);
‒ Всего: >30 индикаторов с весовыми коэффициентами.
S = Σ w(i) → пороги 15 / 40
РАЗРАБОТКА МОДУЛЯ АНАЛИЗА ПИСЕМ НА ВЫЯВЛЕНИЕ МОШЕННИЧЕСТВА С ЦЕЛЬЮ КРАЖИ КОНФИДЕНЦИАЛЬНЫХ ДАННЫХ В КОРПОРАТИВНОЙ ПОЧТЕ ОТДЕЛА ПРОДАЖ

7.

7
Классификатор машинного обучения
‒ Векторизация: TF-IDF, 1- и 2-граммы;
‒ Модель: логистическая регрессия;
‒ Корпус: 81 пример (рус + англ);
‒ Метрики (тест): Accuracy / Precision / Recall / F1 =
1,000;
‒ Прозрачность: интерпретация коэффициентов
лексем;
‒ Вклад в скоринг: +8, +20 или +40 баллов по
уровню уверенности модели.
РАЗРАБОТКА МОДУЛЯ АНАЛИЗА ПИСЕМ НА ВЫЯВЛЕНИЕ МОШЕННИЧЕСТВА С ЦЕЛЬЮ КРАЖИ КОНФИДЕНЦИАЛЬНЫХ ДАННЫХ В КОРПОРАТИВНОЙ ПОЧТЕ ОТДЕЛА ПРОДАЖ

8.

Мониторинг IMAP IDLE и жизненный цикл потока
‒ Протокол: IMAP IDLE (RFC 2177) — сервер сам уведомляет
о новом письме;
‒ Параллелизм: по потоку на ящик; масштабируется до 50–
100 учётных записей;
‒ Жизненный цикл: конечный автомат, 7 состояний;
автореконнект с экспоненциальной задержкой;
‒ Persistence: last-UID в .state.json — гарантия обработки не
менее одного раза;
‒ Резерв: polling, если сервер не поддерживает IDLE.
РАЗРАБОТКА МОДУЛЯ АНАЛИЗА ПИСЕМ НА ВЫЯВЛЕНИЕ МОШЕННИЧЕСТВА С ЦЕЛЬЮ КРАЖИ КОНФИДЕНЦИАЛЬНЫХ ДАННЫХ В КОРПОРАТИВНОЙ ПОЧТЕ ОТДЕЛА ПРОДАЖ
8

9.

Реагирование, журналирование и веб-интерфейс
‒ Перенос в карантин: команда MOVE (RFC 6851), атомарная; fallback на COPY + STORE + EXPUNGE;
‒ Авто-детект папки «Спам»: SPECIAL-USE \Junk (RFC 6154); fallback на «Spam», «Junk», «Quarantine»;
‒ Журнал: JSONL — одна строка = один анализ; интеграция со Splunk, ELK, MaxPatrol;
‒ Веб-интерфейс на Flask: главная панель управления, форма подключения ящика, лента писем с фильтром по вердикту,
разовый анализ .eml, сведения о ML-модели;
‒ REST API: интеграция с внешними системами и автоматизация.
РАЗРАБОТКА МОДУЛЯ АНАЛИЗА ПИСЕМ НА ВЫЯВЛЕНИЕ МОШЕННИЧЕСТВА С ЦЕЛЬЮ КРАЖИ КОНФИДЕНЦИАЛЬНЫХ ДАННЫХ В КОРПОРАТИВНОЙ ПОЧТЕ ОТДЕЛА ПРОДАЖ
9

10.

1
0
Результаты экспериментальной оценки
‒ Легитимное письмо: score = 0 → LEGITIMATE;
‒ Мошенническое (17 признаков): score = 564 при
пороге 40 → MALICIOUS;
‒ Время реакции: 850 мс (цель ≤ 1 с) ✓;
‒ Пропускная способность: 340 писем / с (цель ≥
100 / мин) ✓;
‒ F1-мера: 1,000 (цель ≥ 0,85) ✓;
‒ Все целевые показатели достигнуты.
РАЗРАБОТКА МОДУЛЯ АНАЛИЗА ПИСЕМ НА ВЫЯВЛЕНИЕ МОШЕННИЧЕСТВА С ЦЕЛЬЮ КРАЖИ КОНФИДЕНЦИАЛЬНЫХ ДАННЫХ В КОРПОРАТИВНОЙ ПОЧТЕ ОТДЕЛА ПРОДАЖ

11.

Заключение
‒ Все поставленные в работе задачи выполнены, цель достигнута;
‒ Разработан программный модуль, объединяющий эвристический анализ и машинное обучение, обеспечивающий
автоматическую защиту корпоративной почты отдела продаж в режиме реального времени;
‒ Реализованы консольный, веб- и REST-интерфейсы;
‒ Решение полностью основано на свободно распространяемой отечественной инфраструктуре — соответствие ПП РФ №
1236;
‒ Практическая значимость: сокращение времени реакции на инцидент с десятков минут до единиц секунд за счёт
автоматического переноса в карантин до того, как пользователь увидит письмо.
РАЗРАБОТКА МОДУЛЯ АНАЛИЗА ПИСЕМ НА ВЫЯВЛЕНИЕ МОШЕННИЧЕСТВА С ЦЕЛЬЮ КРАЖИ КОНФИДЕНЦИАЛЬНЫХ ДАННЫХ В КОРПОРАТИВНОЙ ПОЧТЕ ОТДЕЛА ПРОДАЖ
1
1

12.

Спасибо за внимание
Готов ответить на ваши вопросы
English     Русский Правила