Как мы автоматизировали процесс с помощью ITSM-продукта:- Чтобы система Naumen распознавала имитированные фишинговые атаки, мы добавили в письма специальный тег.
- В Naumen создали правило, которое проверяет тело запроса на наличие тега. Если тег есть, Naumen берет токен пользователя из фишинговой ссылки в письме вида: /payload/openLink/?token={token}. Если токена нет, то она потенциально реальная, и специалист ИБ ее обрабатывает согласно регламентам.
- Naumen отправляет POST-запрос по API в адрес Start AWR по типу: COMPANY.RU/payload/reportMail?token={token}.
- Start AWR автоматически присваивает пользователю статус «Сообщил об атаке», который влияет на рейтинг защищенности сотрудника.
- Naumen категоризирует запрос, отправляет ответ пользователю и закрывает запрос.
В таком сценарии ITSM-продукт не переправляет письмо специалистам ИБ и не отвлекает их, а автоматически направляет сотруднику ответное письмо с благодарностью за уведомление.
Служба ИБ может запросить доступ к базе уведомлений от пользователей через API и обмениваться данными с другими компаниями. Еще через API мы можем интегрировать Start AWR c Security Email Gateway, чтобы блокировать электронные адреса отправителей или ссылки на фишинговые сайты.