
Привет, Хабр! Рабочие обсуждения давно ушли из почты и таск-трекеров в мессенджеры. Там собирают проектные группы и каналы, координируют инциденты, кидают ссылки на внутренние системы, за минуту стягивают нужных людей в один чат. У нас это в первую очередь корпоративные группы и каналы в Telegram и Max.
Это удобно, но с точки зрения безопасности — новая поверхность риска. Как только группа или канал становится частью бизнес-процесса, он тянет за собой и все риски этого процесса: фишинг, социальную инженерию, вредоносные ссылки, угон аккаунтов, утечки, заброшенные чаты, участников, которых давно пора убрать, и переписку, которую никто не чистит годами.
Запретить мессенджеры целиком — плохая идея. Удобный инструмент всё равно останется в ходу, просто уползёт в тень: люди заведут неформальные группы, перейдут в личку, начнут пересылать рабочее через менее контролируемые каналы. Поэтому мы пошли другим путём — не запрещать коммуникации, а сделать риски внутри них управляемыми.
Так появился Praetorian — внутренний security-продукт для защиты корпоративных групп и каналов в Telegram и Max. Это не разовая доработка бота, а совместная работа ИБ и ИТ: безопасность разобрала, что и как могут атаковать и как на это отвечать, а ИТ придумала архитектуру, собрала логику бота и заложила задел на будущее. Дальше расскажем, почему рабочие чаты попали в поле зрения ИБ, какие сценарии мы закрывали, как всё устроено и почему в таких продуктах детекты — половина дела, а вторая половина это приватность, роли и доверие людей.
Почему рабочие чаты стали поверхностью атаки
Для многих команд группа в мессенджере стала полноценным рабочим пространством. В ней обсуждают операционные задачи, ИТ- и ИБ-инциденты, вопросы поддержки, согласования, переписку с магазинами, складами и подрядчиками, кидают ссылки на внутренние системы, документы, вложения — всё, что требует реакции здесь и сейчас.
Для атакующего доверенная корпоративная группа — лакомая среда. Сообщение от знакомого коллеги внутри рабочего чата читают совсем не так, как письмо от незнакомца. Угнали аккаунт сотрудника — и злоумышленник уже играет на доверии: скинет фишинговую ссылку «от коллеги», попросит перейти на «внутренний ресурс», подсунет вредоносный файл, попросит подтвердить операцию или переслать код, соберёт учётки через поддельную форму, а то и просто вычитает из истории что-нибудь чувствительное.
Самое неприятное — классические средства защиты такие сценарии часто не видят. Почта закрыта, endpoint под контролем, web-трафик фильтруется, а корпоративные группы и каналы живут отдельным контуром: быстрым, удобным и почти неуправляемым.
Когда мы стали смотреть на эти чаты как на часть инфраструктуры, рисков набралось заметно больше, чем «кто-то кинул подозрительную ссылку». Их удобно свести к нескольким сценариям.
Самый прямой — угон аккаунта. Скомпрометированный аккаунт сотрудника открывает доступ и к его контактам, и ко всем рабочим группам, где он состоит. Дальше идут фишинг, сбор информации, социальная инженерия, вредоносные ссылки, и всё под прикрытием доверия к живому коллеге.
Рядом стоит фишинг и мошеннические сообщения внутри доверенной группы. Ссылка в корпоративном чате опаснее обычной рассылки: знакомый контекст, знакомые люди, настороженность падает. Даже откровенно кривая ссылка проходит легче, когда «это же написал коллега». Работает и чистый текст без ссылок: попросить срочно что-то сделать, переслать данные, подтвердить доступ, увести человека в личку или другой канал.
Тише, но не безопаснее — переписка, которая копится. В рабочих группах оседают обсуждения, файлы, скриншоты, внутренние детали процессов. Часть актуальна неделю, а лежит годами. Потерял человек доступ к аккаунту, остались в группе лишние участники — и весь этот архив становится риском.
И наконец, заброшенные группы и лишние участники. Чаты заводят под проект, инцидент или разовую задачу, проект закрывается, а группа живёт: с участниками, ссылками, файлами. Через полгода уже не поймёшь, кто владелец и кто следит за составом. Внутри при этом остаются сменившие роль сотрудники, подрядчики с закрытых проектов, давно молчащие аккаунты. Чем их больше, тем выше шанс, что до обсуждений дотянется кто-то лишний.
Что такое Praetorian и кто что делал
До Praetorian у нас уже жил внутренний админский бот для управления группами и каналами. Когда мы разложили по полочкам, что вообще может пойти не так в рабочих чатах, стало ясно: этого бота можно дорастить до полноценного защитного слоя.
ИБ сказала, чего хочет: видеть опасный контент в чатах, реже упускать фишинг и мошеннические сообщения, дать владельцам быстрый способ реагировать, вычищать устаревшую переписку, подсвечивать лишних участников и держать всё прозрачным, с понятными ролями.
Название говорит само за себя. Praetorian — не «надзиратель за перепиской», а защитный контур вокруг корпоративных коммуникаций. Он помогает владельцам групп, каналов и админам снижать риски там, где рабочие обсуждения фактически стали частью инфраструктуры.
Роли поделили так, что вышел общий продукт, а не «заказчик и исполнитель». ИБ описала сценарии атак и правила реагирования: когда хватает уведомления, когда нужна ручная проверка владельцем, что обязательно писать в журнал, какие действия нельзя автоматизировать без отдельного согласования с бизнесом. ИТ взяла на себя архитектуру, логику бота, интеграцию с Telegram и Max, административные сценарии, уведомления, журналирование и запас на развитие.
И сразу очертим границы. Praetorian работает не с личной перепиской сотрудников и не «во всех мессенджерах компании». Только корпоративные группы и каналы в Telegram и Max, куда бота добавили штатно и выдали ему права. Это не инструмент скрытого контроля людей, а защита рабочего пространства: проектных групп, каналов оповещений, чатов подразделений, временных групп под задачу, куда владелец сам решил подключить защиту.
Что продукт умеет
Мы сразу отказались от идеи «бот читает всё и сносит всё подозрительное». Такое не масштабируется, злит людей и ломает нормальное общение. Если совсем упростить, цепочка получилась другая:
группа или канал в Telegram/Max → Praetorian → внутренний анализ → оценка риска → уведомление владельцу → при необходимости ручное действие → запись в журнал.
Praetorian ищет в чатах сообщения с признаками риска: фишинг, мошенничество, социальная инженерия, вредоносные ссылки, подозрительные домены, небезопасные вложения, попытки увести человека во внешний канал.
Дальше срабатывет не автоудаление, а уведомление. В большинстве случаев правильнее сначала дёрнуть владельца группы, админа или ответственную команду: где нашли подозрительное, какой это риск, что можно сделать. Контекст в корпоративных чатах бывает разным — одно и то же сообщение нормально для техкоманды и подозрительно для другой аудитории, поэтому финальное решение остаётся за владельцем.
Если признаки угрозы явные, распространение надо быстро прижать. Сейчас Praetorian помогает такое сообщение найти и подсветить ответственным, а удаляет его уже человек — админ или владелец.
Параллельно продукт следит за сроком хранения. Часть информации устаревает за пару дней, но продолжает лежать и оставаться риском. Там, где это согласовано с владельцем, Praetorian помогает управлять сроком жизни сообщений: меньше старого хлама, меньше последствий, если до архива кто-то дотянется.
И отдельно — участники. Заброшенные и неактуальные аккаунты в рабочей группе повышают риск, особенно если группа завязана на инциденты, магазины, ИТ-задачи или подрядчиков. Praetorian показывает таких участников владельцу, а тот решает: оставить, проверить, ограничить или убрать.
Всё значимое пишется в журнал. Сработало правило, ушло уведомление, проверили участника, пометили сообщение — это видно в логе.
Приватность и доверие
Любой инструмент, который работает с сообщениями в группах, рано или поздно ловит вопрос: «это система слежки за сотрудниками?».
Для нас Praetorian — защита коммуникаций, а не наблюдение за людьми, и отсюда набор жёстких рамок. Продукт работает только в корпоративных группах и каналах, куда бота добавили штатно; личная переписка под контроль не попадает; анализ смотрит на признаки угроз, а не на поведение сотрудников; права ограничены выданными полномочиями. Автодействия не включаются без согласования, всё значимое пишется в журнал, а владельцы групп получают уведомления и сами участвуют в управлении рисками. Сроки хранения и обработку данных держим в рамках внутренних политик и закона, а до людей доносим простую вещь: корпоративный чат — рабочее пространство, и защищать его можно так же, как почту или любую другую систему.
Дело тут не в одной юридической чистоте, а в доверии. Если инструмент воспринимают как непрозрачный контроль, его начинают обходить. Если понятны цель и границы, он становится обычной частью рабочего процесса.
Что это дало
Для ИБ рабочие чаты перестали быть слепой зоной: теперь видно фишинг, мошеннические сообщения, вредоносные ссылки и угоны аккаунтов, а реакция из ручного поиска по группам превратилась в понятный порядок — обнаружили, уведомили, проверили, записали. Плюс профилактика: устаревшие группы, лишние участники, лишний архив переписки.
ИТ получила не «доработку бота», а нормальный продукт с понятной пользой: одно место, откуда управляешь всеми группами и каналами, меньше ручной возни, единые уведомления и журнал, возможность развивать всё итерациями. Т
Владельцу группы, который обычно не безопасник, продукт снял головную боль. Ему прилетают уведомления о подозрительном, он быстрее реагирует на фишинг, видит неактуальных участников, управляет сроком хранения там, где это уместно, и не разбирает вручную каждый инцидент. ИБ-задачи на него не перекладывают, а дают инструмент и понятный порядок действий.
Что забрать из нашего опыта
Если через чат идут рабочие решения, ссылки, файлы и координация, он уже часть поверхности риска, и относиться к нему стоит соответственно. Полный запрет удобного инструмента обычно загоняет его в тень, поэтому безопасность разумнее встроить в процесс, а не воевать с ним.
Владельца группы стоит сделать участником этого процесса: ИБ не проверит вручную все чаты, но может дать людям инструмент, правила и понятный порядок. Автоматику подключать осторожно, разделяя обнаружение и действие. Приватность и прозрачность закладывать с первого дня, а не прикручивать потом. И делать такие продукты ИБ и ИТ имеет смысл вместе: одна сторона знает риски, другая — архитектуру и эксплуатацию, а порознь выходит либо разовая доработка, либо полка.
Корпоративные группы и каналы в Telegram и Max давно стали нормальной частью работы. Чем важнее канал, тем выше требования к его безопасности. Praetorian для нас — способ закрыть это продуктово: не запрещать мессенджеры и не строить тотальный контроль, а собрать управляемый контур вокруг рабочих коммуникаций. Если коммуникации стали частью бизнеса, их безопасность тоже пора делать частью бизнес-процесса — понятными инструментами, ролями и прозрачными правилами, а не запретами.
Спасибо ИТ-команде Praetorian за архитектуру, разработку и развитие продукта и коллегам из ИБ за риск-сценарии, требования и модель реагирования.
ссылка на оригинал статьи https://habr.com/ru/articles/1056458/