Внедрение и эксплуатации антифрод-решения Jet Detective
Информационная безопасность Информационная безопасность

Компания «Инфосистемы Джет» создала собственное антифрод-решение Jet Detective с использованием технологий машинного обучения

Главная>Информационная безопасность>Jet Detective — новое слово в индустрии антифрод-систем
Информационная безопасность Тренд

Jet Detective — новое слово в индустрии антифрод-систем

Дата публикации:
26.05.2017
Посетителей:
448
Просмотров:
546
Время просмотра:
2.3

Авторы

Автор
Алексей Сизов Руководитель департамента противодействия мошенничеству центра прикладных систем безопасности «Инфосистемы Джет»
Достаточно ознакомиться с любым специализированным отчетом, чтобы убедиться: несмотря на все усилия производителей средств защиты, международных организаций по стандартизации в сфере ИБ и корпоративных служб безопасности статистика мошенничества продолжает расти, равно как и статистика убытков, понесенных компаниями разных сфер от действий мошенников.

 

 

Продуктов и решений для борьбы с мошенничеством на рынке много, причем действительно хороших, высокотехнологичных и действенных. Однако зачастую их внедрение дает компании лишь временную передышку — мошенники все равно находят уязвимые точки и возобновляют атаки. В результате компания, вложившая значительные средства в механизмы защиты, по-прежнему рискует стать жертвой мошенников. Напрашивается вывод: получается, существующие технологии борьбы с мошенничеством недостаточны? В чем причина? Попробуем разобраться.

 

Источники фрод-рисков

 

Работа современной компании все более приближается (или уже перешла) к режиму онлайн. Продажи товаров и услуг, банковское обслуживание, логистика, учет продукции и многое другое осуществляются в режиме реального времени. Прием и подтверждение заказа, финансовые транзакции и прочие операции должны выполняться без промедления – не всякий клиент согласится сидеть и ждать, пока он сам и его действия будут проверены. Следовательно, принятие решения о том, является ли действие правомерным, должно приниматься в режиме реального времени. А способна ли ваша антифрод-система анализировать множество событий в онлайн-режиме и выдавать результат настолько точный, чтобы на его основании можно было блокировать только нелегитимные действия, не создавая дискомфорт пользователям?

Стремительное развитие информационных технологий тоже является одним из факторов риска. Отказаться от технологических инноваций современная компания не может, иначе она потеряет конкурентные преимущества. Но при нынешних темпах внедрения новых технологий специалисты по безопасности физически не успевают проработать необходимые контрольные процедуры и механизмы защиты. Одним из характерных примеров является мобильный банкинг, схема защиты которого зачастую остается такой же, как у интернет-банкинга, а значит, недостаточной. Готова ли ваша антифрод-система к появлению в бизнесе новых технологий, способна ли она выявлять мошенничество в новых каналах?

 

Быстро развиваются не только технологии, но и сам бизнес. Появляются новые бизнес-модели, новые бизнес-процессы, новые категории услуг. Возникают новые риски и дополнительные потоки событий, которые должны анализироваться на предмет выявления неправомерных. Должны меняться и сами правила (алгоритмы) анализа. Позволяет ли ваша антифрод-система быстро подключить дополнительные источники данных и внести нужные изменения в алгоритмы анализа?

 

Серьезную проблему представляют методы социальной инженерии, которые злоумышленники все чаще используют в схемах атак на клиентов и сотрудников компаний. При этом сами методы социальной инженерии совершенствуются. Например, еще вчера социальная инженерия использовалась исключительно для того, чтобы получить часть данных клиента, а сама атака проводилась в режиме «без клиента». Сегодня ее методы направлены та то, чтобы заставить самого клиента (или другого легитимного пользователя информационной системы) совершить неправомерную операцию. И хорошо, если дело ограничится одной операцией. Современная социальная инженерия часто становится способом получить полный доступ к счету или платежному инструменту, сводя на нет технические средства защиты от злоумышленников.

 

Конечно, с социальной инженерией можно бороться, повышая корпоративную культуру информационной безопасности и просвещая своих клиентов. Но люди беспечные, забывчивые и просто наивные всегда были и будут, и с этим придется считаться.

 

Умеет ли ваша антифрод-система отлавливать ошибки легитимных пользователей? И насколько она умеет фиксировать сами попытки внешнего влияния на их действия?

 

Наконец, существует проблема ресурсов. Бизнес использует большое количество различных информационных систем. О мошенничестве, как правило, свидетельствует не одно событие, а их совокупность в разных системах, причем иногда даже не только тех, что расположены внутри периметра компании, но и внешних. Чем больше данных о событиях – текущих и исторических — мы можем сохранить и проанализировать, тем с большей точностью мы можем выявлять случаи мошенничества. Но достаточно ли у компании ресурсов, человеческих и технических, чтобы хранить и обрабатывать терабайты данных?

 

Каков он, универсальный антифрод?

 

Имея большой опыт внедрения и эксплуатации антифрод-решений разных вендоров в компаниях различных сфер деятельности, мы можем утверждать, что ни одна существующая антифрод-система не позволяет дать утвердительные ответы на все поставленные вопросы. Но цель именно в том, чтобы решать все эти задачи сразу. Да, есть высокопроизводительные системы, способные выявлять фрод в режиме онлайн, но они не позволяют быстро менять или корректировать модели данных. Есть системы, умеющие самостоятельно формировать алгоритмы анализа данных с помощью механизмов машинного обучения. Но если при изменении бизнес-процессов или, например, условий предоставления услуг такая система начнет ошибаться, для коррекции алгоритмов потребуется привлечь профильных специалистов и потратить немало времени. Чего-то всегда не хватает… Либо скорости и точности, либо гибкости, доступности и прозрачности настроек для конечного пользователя. Либо система обладает всеми перечисленными свойствами, но требует большого штата специалистов высокого класса.

 

Скорость работы антифрод-системы подразумевает не только быстроту получения и обработки данных, но и возможность быстрого создания, тестирования их доработки правил анализа по мере появления новых схем мошеннических атак. Это также скорость принятия решения оператором системы. Наконец это скорость масштабирования — ИТ-компоненты системы должны быстро подстраиваться под новые задачи контроля.

 

Точность работы системы означает выявление максимального количества фрода при минимуме ложных срабатываний.

 

Под гибкостью и прозрачностью мы понимаем возможность оператора системы (специалиста-аналитика, сотрудника службы безопасности) свободно выбирать данные для анализа, подключая нужные источники, и модифицировать при необходимости модели их математической обработки.

 

Ответ: Jet Detective!

 

Особенность Jet Detective — объединение вышеперечисленных свойств в одном решении.

 

Начнем с производительности. Решение Jet Detective позволяет обрабатывать поток из тысяч событий в секунду в режиме реального времени. И при этом не предъявляет высоких требований к производительности оборудования.

 

В решении используются технологии Big Data — Apache Hadoop и Apache Spark. Эти технологии позволяют агрегировать в едином хранилище огромные объемы данных, в том числе неструктурированных, и анализировать данные в процессе поступления. Объем хранилища, которое строится на базе кластера серверов стандартной архитектуры, легко увеличивается по мере необходимости — практически до бесконечности. Данные для анализа могут подтягиваться практически из любых систем, включая прикладные отраслевые и ИБ-системы. Это снимает необходимость использовать дорогостоящие реляционные СУБД.

 

Весь объем данных анализируется с применением как экспертных правил, так и машинно-обученных моделей. При внедрении Jet Detective в решение изначально закладываются комплексы алгоритмов выявления неправомерных действий, разработанные на основании опыт специалистов по борьбе с мошенничеством. При этом собственные эксперты компании-заказчика могут легко модифицировать эти алгоритмы в соответствии с логикой бизнеса либо создавать новые.

 

Справиться с огромным потоком данных экспертам помогают математические модели. В решении используются три варианта моделей:

 

  • классические модели «с учителем», позволяющие выявлять события, похожие на ранее выявленный фрод;
  • модели, нацеленные на выявление аномалий в поведении бизнес-объектов и протекании различных процессов, — как обучаемые, так и экспертные;
  • модели контроля бизнес-процессов, направленные на выявление аномалий в технологических и процессных цепочках действий, позволяющие оценивать допустимые отклонения от стандартного проведения той или иной операции или последовательности операций.

 

Бизнес-объекты, с которыми работает система, представляют собой данные, скомбинированные из различных источников в целостную бизнес-сущность (например, «Клиент», «Платеж», «Точка обслуживания» и т.п.). Система формирует профиль типичного поведения объекта и выявляет отклонения от него. Таким образом обнаруживаются подозрительные события, которые прежде не фиксировались. Бизнес-объект полностью прозрачен для пользователя системы: с помощью наглядного интерфейса тот может посмотреть, с помощью каких атрибутов и данных он описывается. При необходимости пользователь может обогатить объект дополнительными атрибутами (например, данными из внешних систем) или даже создать новый объект. Например, можно свободно добавлять необходимые атрибуты к операции — обогащать данные платежной операции реквизитами сетевого уровня, такими как IP-адреса, параметры браузера и т.д. (рис. 1).

Рисунок 1. Легкое управление внутренней структурой данных:
от создания новых объектов до управления схемой их наполнения.

Всякий раз, получая на вход новые данные о различных событиях, система применяет к ним различные методы математического анализа, выбирает те, которые дают наилучший результат, и строит математическую модель. Результаты выявления подозрительных событий проверяет специалист по безопасности, который принимает окончательное решение: является ли данное событие фродом. Так система получает обратную связь и корректирует математическую модель в зависимости от имевших место событий (изменяет весовые коэффициенты событий, применяет другие методы анализа и т.д.).

 

Одна из уникальных особенностей Jet Detective — использование платформонезависимой модели PMML (Predictive Model Markup Language), международного стандарта представления математических моделей. Это придает системе гибкость: если в компании уже есть модели анализа, сформированные в какой-то другой системе, их можно легко импортировать в Jet Detective. А модели, сформированные системой самостоятельно, при необходимости могут быть скорректированы экспертом в области борьбы с мошенничеством, даже если он не имеет навыков программирования (рис. 2).

Рисунок 2. Модели, сформированные системой самостоятельно, при необходимости могут быть скорректированы экспертом в области борьбы с мошенничеством.

Все входящие данные и результаты анализа сохраняются в едином хранилище. В сочетании с удобным интерфейсом просмотра результатов это делает решение Jet Detective эффективным инструментом расследования инцидентов. Интерфейс позволяет оператору системы одновременно анализировать события, происходящие в различных, не связанных между собой системах. А возможность видеть результаты в едином окне минимизирует время принятия экспертного решения (рис. 3).

Рисунок 3. Удобный интерфейс позволяет оператору системы одновременно анализировать события, происходящие в различных каналах.

Применение всех описанных технологий и подходов в совокупности с полной открытостью системы для настройки конечным пользователем позволяет говорить о редких конкурентных преимуществах, основанных не только на совокупной стоимости решения, но и на функциональных возможностях, которые позволяют выявлять мошенничество с минимальными показателями ошибок.

Уведомления об обновлении тем – в вашей почте

Информационная безопасность 2021 глазами участников Positive Hack Days

Какие отрасли бизнеса сегодня подвергаются атакам чаще всего? Почему злоумышленники предпочитают шантаж, а не классические киберограбления? Чем фреймворк «Аэропорт» эффективнее традиционного подхода к ИБ? Что ждет сферу ИБ в ближайшие годы?

Сплошная фальшь, или Стоит ли доверять доверенности

Насколько сложно изготовить фальшивые паспорта и доверенности для получения SIM-карт и дальнейшего осуществления мошеннических действий, что для этого нужно? Как банкам обезопасить своих клиентов от подобного рода мошенничества? Как должны действовать сотовые операторы, чтобы подобных нарушений не было? На эти вопросы отвечает наш эксперт Василий Сергацков.

«Золотое дно» микроплатежей

Злоумышленники вокруг нас! Заходишь в интернет и рано или поздно попадаешь на сайт, видишь баннер или просто очередной пост на каком-нибудь форуме со ссылкой на сомнительное предложение.

Пилотирование FMS-системы ДБО – факты и цифры

Наиболее объективную оценку работы системы противодействия мошенничеству, конечно, за исключением этапа ее промышленной эксплуатации, может дать только пилотный проект, во время которого потенциальное решение предварительно настраивается и апробируется на реальных операциях сервиса ДБО.

Антифрод-система заставляет сотрудников четко следовать бизнес-процессам

По каким законам развивается фрод у ритейлеров и что может противопоставить ему безопасность – об этом мы обстоятельно поговорили с Алексеем Овчинниковым, начальником Управления информационной безопасности X5 Retail Group.

Взломай свою офисную АТС до того, как это сделают другие

Современные компании для организации связи все чаще используют офисные автоматические телефонные станции (УАТС или Private Branch Exchange, PBX), обладающие большим количеством «продвинутых» функций. Одновременно с этим, одним из наиболее распространенных видов мошенничества (фрода) для операторов фиксированной связи остается взлом и использование PBX их клиентов для совершения бесплатных вызовов.

Кроссканальное мошенничество: преломление принципов борьбы относительно новых угроз

Для начала определим, что такое кроссканальное мошенничество. Это ряд противоправных действий, локализованных в различных ИТ-системах и банковских процессах, цель которых – реализация хищения.

Математика на службе у антифрода

Определить вероятность и момент реализации хищения невозможно без наличия у антифрод-системы методологической основы

Уже скоро во всех банках страны – новые рекомендации по кибербезопасности

В скором времени ЦБ РФ обяжет отечественные банки усилить контроль над дропами (конечными получателями несанкционированных денежных переводов, совершенных без согласия граждан и компаний — законных владельцев денежных средств).

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня