Фишинговые атаки давно перестали быть примитивной рассылкой писем с надеждой, что кто-нибудь кликнет по ссылке. Злоумышленники сменили мишень. Теперь их цель — перегрузить команды Security Operations Center (SOC), заваливая аналитиков таким потоком низкоуровневых угроз, что по-настоящему опасные письма проскальзывают мимо уставших глаз.
Тактика получила название IDoS — информационный отказ в обслуживании. Работает она так: тысячи шаблонных, дешёвых, почти примитивных фишинговых писем обрушиваются на компанию. Каждое из них попадает в очередь аналитика. Расследование, которое в нормальном режиме занимает 5 минут, растягивается на 3, 6, а иногда и на 12 часов — просто из-за заторов в очереди. А пока SOC захлёбывается в потоке мусора, среди него спрятано штучное, тщательно выверенное письмо, адресованное, скажем, ассистенту финансового директора. Человеку с доступом к критически важным системам. Индустриальные исследования показывают, что 66% команд SOC не справляются с объёмом входящих оповещений. Когда нагрузка растёт, качество решений падает: аналитики тратят меньше времени на каждый кейс, полагаются на поверхностные признаки и пропускают новые индикаторы компрометации.
Экономика этой схемы устроена жестоко несправедливо. Стоимость одного письма-обманки для атакующего — около нуля: шаблон, автоматизация, генеративный ИИ снижает порог до минимума. Стоимость обработки одного такого письма для защитника — минуты, а порой часы работы квалифицированного специалиста. Реальная «боевая» нагрузка, спрятанная в потоке, стоит атакующему умеренных усилий (письмо нужно подогнать под конкретного человека). А цена промаха для защитника — катастрофа: украденные учётные данные, горизонтальное перемещение по сети, утечка данных, развёртывание шифровальщика.
Есть тут и парадокс, который мало кто проговаривает вслух. Чем лучше компания обучает сотрудников распознавать подозрительные письма, тем больше сообщений те пересылают в SOC. Больше отчётов — больше давление на очередь — меньше внимания на каждое расследование. Тренинги по кибербезопасности, получается, невольно усиливают эффект IDoS.
Почему привычные средства защиты буксуют? Добавление новых слоёв детекции, дополнительных фидов угроз и систем скоринга лишь усугубляет перегрузку. Проблема не в нехватке сигналов, а в нехватке скорости принятия решений. Автоматизация на основе правил тоже не спасает. Автоматическое закрытие писем от доверенных отправителей или дедупликация одинаковых сообщений создают предсказуемые слепые зоны, которые атакующие легко эксплуатируют через спуфинг. И ещё одна ловушка: когда автоматика закрывает кейс без объяснения причин, аналитики теряют к ней доверие, начинают перепроверять вручную — и весь выигрыш во времени обнуляется.
Компания предлагает другой подход — платформу CognitiveSOC, построенную на архитектуре агентного ИИ. Вместо одного непрозрачного алгоритма здесь работает несколько специализированных агентов одновременно. Первый проверяет подлинность отправителя: анализирует записи SPF, DKIM, DMARC, историю регистрации домена и инфраструктуру. Второй разбирает само сообщение — лингвистические паттерны, несоответствия в тоне, признаки социальной инженерии. Третий агент сопоставляет отчёт с телеметрией конечных точек, проверяя, не демонстрирует ли устройство получателя поведенческие аномалии, которые указывали бы на уже исполненную вредоносную нагрузку.
Принципиальное отличие от «чёрного ящика» — прозрачность рассуждений. Система выдаёт не просто вердикт «опасно» или «безопасно», а цепочку доказательств, которую можно проверить. Роль аналитика меняется: он больше не проводит расследование с нуля, а ревьюирует готовое расследование. Цель — «решение, готовое к принятию»: синтезированный вердикт с объяснением, что найдено и что делать дальше. По данным разработчиков, агентный ИИ позволяет укладываться в разрешение инцидента менее чем за 5 минут против тех самых 3–12 часов ручной работы. Скомпрометированные учётные данные можно отозвать до того, как атакующий успеет закрепиться в системе.
Но технология без правильных метрик мало что даст. Традиционные показатели SOC — среднее время подтверждения, среднее время закрытия, количество обработанных тикетов на аналитика — не отражают устойчивость к целенаправленной перегрузке. Нужны другие замеры. Первый: сохраняется ли глубина анализа при росте объёма? Если при удвоении потока аналитики начинают «скролить мимо» — это проблема. Второй: латентность решения, то есть за сколько система приходит к уверенному вердикту. Разница между 12 часами и 5 минутами — это разница между утечкой и предотвращённой атакой.
Третья метрика — точность эскалации при высокой нагрузке. Правильные ли кейсы поднимаются наверх, когда очередь забита? Рост ложноотрицательных срабатываний при пиковой нагрузке — прямой индикатор уязвимости. Четвёртая — доля автоматических вердиктов, сопровождённых аудируемым обоснованием. Пятая — проактивность: насколько близко к моменту потенциального ущерба обнаруживается угроза.
Уязвимое место современной корпоративной безопасности сместилось. Раньше это был сотрудник, который кликает по ссылке. Теперь это аналитик, который физически не успевает обработать очередь. Атакующие это поняли и научились использовать. Пока защитники измеряют эффективность количеством закрытых тикетов, злоумышленники измеряют свой успех тем, сколько времени нужный им кейс пролежал на дне очереди незамеченным.
Изображение носит иллюстративный характер
Тактика получила название IDoS — информационный отказ в обслуживании. Работает она так: тысячи шаблонных, дешёвых, почти примитивных фишинговых писем обрушиваются на компанию. Каждое из них попадает в очередь аналитика. Расследование, которое в нормальном режиме занимает 5 минут, растягивается на 3, 6, а иногда и на 12 часов — просто из-за заторов в очереди. А пока SOC захлёбывается в потоке мусора, среди него спрятано штучное, тщательно выверенное письмо, адресованное, скажем, ассистенту финансового директора. Человеку с доступом к критически важным системам. Индустриальные исследования показывают, что 66% команд SOC не справляются с объёмом входящих оповещений. Когда нагрузка растёт, качество решений падает: аналитики тратят меньше времени на каждый кейс, полагаются на поверхностные признаки и пропускают новые индикаторы компрометации.
Экономика этой схемы устроена жестоко несправедливо. Стоимость одного письма-обманки для атакующего — около нуля: шаблон, автоматизация, генеративный ИИ снижает порог до минимума. Стоимость обработки одного такого письма для защитника — минуты, а порой часы работы квалифицированного специалиста. Реальная «боевая» нагрузка, спрятанная в потоке, стоит атакующему умеренных усилий (письмо нужно подогнать под конкретного человека). А цена промаха для защитника — катастрофа: украденные учётные данные, горизонтальное перемещение по сети, утечка данных, развёртывание шифровальщика.
Есть тут и парадокс, который мало кто проговаривает вслух. Чем лучше компания обучает сотрудников распознавать подозрительные письма, тем больше сообщений те пересылают в SOC. Больше отчётов — больше давление на очередь — меньше внимания на каждое расследование. Тренинги по кибербезопасности, получается, невольно усиливают эффект IDoS.
Почему привычные средства защиты буксуют? Добавление новых слоёв детекции, дополнительных фидов угроз и систем скоринга лишь усугубляет перегрузку. Проблема не в нехватке сигналов, а в нехватке скорости принятия решений. Автоматизация на основе правил тоже не спасает. Автоматическое закрытие писем от доверенных отправителей или дедупликация одинаковых сообщений создают предсказуемые слепые зоны, которые атакующие легко эксплуатируют через спуфинг. И ещё одна ловушка: когда автоматика закрывает кейс без объяснения причин, аналитики теряют к ней доверие, начинают перепроверять вручную — и весь выигрыш во времени обнуляется.
Компания предлагает другой подход — платформу CognitiveSOC, построенную на архитектуре агентного ИИ. Вместо одного непрозрачного алгоритма здесь работает несколько специализированных агентов одновременно. Первый проверяет подлинность отправителя: анализирует записи SPF, DKIM, DMARC, историю регистрации домена и инфраструктуру. Второй разбирает само сообщение — лингвистические паттерны, несоответствия в тоне, признаки социальной инженерии. Третий агент сопоставляет отчёт с телеметрией конечных точек, проверяя, не демонстрирует ли устройство получателя поведенческие аномалии, которые указывали бы на уже исполненную вредоносную нагрузку.
Принципиальное отличие от «чёрного ящика» — прозрачность рассуждений. Система выдаёт не просто вердикт «опасно» или «безопасно», а цепочку доказательств, которую можно проверить. Роль аналитика меняется: он больше не проводит расследование с нуля, а ревьюирует готовое расследование. Цель — «решение, готовое к принятию»: синтезированный вердикт с объяснением, что найдено и что делать дальше. По данным разработчиков, агентный ИИ позволяет укладываться в разрешение инцидента менее чем за 5 минут против тех самых 3–12 часов ручной работы. Скомпрометированные учётные данные можно отозвать до того, как атакующий успеет закрепиться в системе.
Но технология без правильных метрик мало что даст. Традиционные показатели SOC — среднее время подтверждения, среднее время закрытия, количество обработанных тикетов на аналитика — не отражают устойчивость к целенаправленной перегрузке. Нужны другие замеры. Первый: сохраняется ли глубина анализа при росте объёма? Если при удвоении потока аналитики начинают «скролить мимо» — это проблема. Второй: латентность решения, то есть за сколько система приходит к уверенному вердикту. Разница между 12 часами и 5 минутами — это разница между утечкой и предотвращённой атакой.
Третья метрика — точность эскалации при высокой нагрузке. Правильные ли кейсы поднимаются наверх, когда очередь забита? Рост ложноотрицательных срабатываний при пиковой нагрузке — прямой индикатор уязвимости. Четвёртая — доля автоматических вердиктов, сопровождённых аудируемым обоснованием. Пятая — проактивность: насколько близко к моменту потенциального ущерба обнаруживается угроза.
Уязвимое место современной корпоративной безопасности сместилось. Раньше это был сотрудник, который кликает по ссылке. Теперь это аналитик, который физически не успевает обработать очередь. Атакующие это поняли и научились использовать. Пока защитники измеряют эффективность количеством закрытых тикетов, злоумышленники измеряют свой успех тем, сколько времени нужный им кейс пролежал на дне очереди незамеченным.
