Подавляющее большинство инцидентов начинается с одного мошеннического письма. Мы реализуем строгий облачный сэндбоксинг. Подозрительные PDF-вложения или вооружённые Excel-макросы запускаются в изолированной облачной виртуальной машине, где анализируется их поведенческое воздействие, — и только после этого письмо получает разрешение на доставку сотруднику.
Email-сэндбоксинг и детонация угроз
Мы разворачиваем Microsoft Defender for Office 365 Plan 2 или Proofpoint Targeted Attack Protection — оба решения используют облачные камеры детонации для проверки подозрительных вложений и URL-адресов до доставки письма. Вооружённый Excel-файл со встроенным макрос-дроппером открывается в изолированной виртуальной машине Windows: если он пытается загрузить полезную нагрузку или устанавливает внешние соединения — письмо отправляется в карантин, а отправитель получает отметку подозрительного.
Процесс добавляет 30–90 секунд к доставке подозрительных писем — незаметно для сотрудников, — при этом блокируя основной механизм доставки программ-вымогателей, атакующих финансовые и риелторские компании ОАЭ.
- Детонация вложений в изолированных облачных ВМ до доставки в почтовый ящик
- Перезапись Safe Links для проверки репутации URL в момент нажатия
- Антифишинговые политики с защитой от имперсонации руководителей
- Принудительное применение DMARC, DKIM и SPF для блокировки подделки домена отправителя
- Управление карантином с возможностью самостоятельного освобождения ложных срабатываний пользователями
Защита от целевого фишинга и BEC-атак
Атаки Business Email Compromise (BEC) — когда злоумышленники имитируют генерального или финансового директора для авторизации мошеннических платежей — являются наиболее высокодоходным вектором атак в ОАЭ: средний ущерб превышает 500 000 дирхамов за один инцидент. Мы настраиваем правила защиты от имперсонации руководителей, которые помечают письма, якобы отправленные от имени топ-менеджмента, но поступающие с внешних доменов. Для финансовых операций, инициируемых по электронной почте, внедряется двойное подтверждение.
Кроме того, мы проводим ежеквартальные симулированные фишинговые кампании с использованием Microsoft Attack Simulator — тестируем осведомлённость персонала и выявляем сотрудников, которым необходимо дополнительное обучение по информационной безопасности, прежде чем они станут причиной реального инцидента.
Принудительное применение DMARC и защита домена
Без DMARC в режиме принудительного применения любой может отправить письмо, которое будет выглядеть как пришедшее с вашего корпоративного домена — элементарная техника, применяемая для мошенничества с поставщиками и сбора учётных данных. Мы настраиваем записи SPF, DKIM и DMARC с параметром p=quarantine, а после подтверждения корректной работы почтового потока переходим к p=reject, полностью исключая подделку домена. Мы также отслеживаем похожие домены (например, nocko-uae.com или nockko.ae), которые злоумышленники регистрируют для имитации вашей компании в фишинговых кампаниях.