Эффективные методы и приемы работы антифрод системы банков
Информационная безопасность Информационная безопасность

Банк, 2016 год. Облачные технологии стали популярны 5 лет назад, распределенные вычисления – 7, а облачный антифрод, стартовавший на тех же временных рубежах, только сейчас выходит на уровень реально работающих решений для защиты ресурсов и технологий от атак третьих лиц.

Главная>Информационная безопасность>Рабочая лошадка современного антифрода
Информационная безопасность Тема номера

Рабочая лошадка современного антифрода

Дата публикации:
27.04.2016
Посетителей:
128
Просмотров:
105
Время просмотра:
2.3

Авторы

Автор
Алексей Сизов Руководитель департамента противодействия мошенничеству центра прикладных систем безопасности «Инфосистемы Джет»
Антифрод – это такая система,
о которой никогда не жалеют при ее наличии,
и при этом горько жалеют, когда не успели ее вовремя внедрить.

Народная ИБ-мудрость

 

 

Банк, 2016 год. Облачные технологии стали популярны 5 лет назад, распределенные вычисления – 7, а облачный антифрод, стартовавший на тех же временных рубежах, только сейчас выходит на уровень реально работающих решений для защиты ресурсов и технологий от атак третьих лиц.

 

Но вернемся чуть назад. Год 2006-й. Банковское сообщество в России признает высокие риски мошенничества с банковскими картами. Атаки становятся значимыми: через год наступает chip liability shift по международной платежной системе (МПС) MasterCard, еще менее чем через год – по МПС Visa. Специалисты подразделений по контролю мошенничества ТОП 50 российских банков организуют сообщество, способствующее распространению информации о фактах мошенничества, компрометации эквайринговых терминалов и иных рисках процессинговых центров. Взаимодействие набирает обороты, становится более плотным и показывает результаты: скорость выявления скомпрометированного терминала исчисляется несколькими часами, в то время как уведомление от МПС о компрометации этого же устройства приходит спустя 2–3 недели (если приходит вообще). Банки в десятки раз повышают скорость выявления компрометации ATM или POS-терминала, оперативно блокируют эмитированные карты, операции по которым регистрировались в данных устройствах.

Год 2010-й. Обороты набирают схемы атак на ДБО, формируется объединение банков – клуб «Антидроп». У него схожий круг задач – распределение информации о рисках уже канала ДБО. Банки обмениваются сведениями о счетах компаний и физических лиц, созданных с целью транзита или обналичивания средств, похищенных со счетов других банков, данными о специфических особенностях атак, которые можно идентифицировать на стороне банка и приостановить мошенническую транзакцию. Эффективность атак по перехвату управления рабочей станцией клиента корпоративного ДБО или заражения вредоносным ПО компьютера VIP-клиента находится на том же уровне, но вывести эти средства становится в несколько раз сложнее. Мошеннические операции зависают на транзитных банковских счетах, в итоге средства возвращаются пострадавшей стороне ввиду оперативного взаимодействия подразделений ИБ, рисков и внутреннего контроля.

 

Уже сложно оценить, сколько же атак было предотвращено за счет этих «простых» объединений специалистов «меча и кинжала», но сохраненные суммы гарантированно исчисляются сотнями миллионов, а скорее, даже миллиардами рублей. Затраты – десятки/сотни тысяч рублей. Эффективность технологии зашкаливает.

 

Год 2014-й. Количество атак на каналы ДБО и электронные площадки продолжает расти. Схемы анализа транзакций показывают эффективность, но остается нерешенной ключевая проблема – невозможность не только обеспечить, но и проконтролировать защищенность среды совершения операции (ПК или гаджета клиента банковского сервиса). Тем самым не решается основополагающая задача – выявление самого риска, выявляются только последствия наступления риска на стороне клиента в виде мошеннической транзакции.

 

На рынке России появляются решения, предлагающие функционал не защиты, а частичного контроля среды совершения операции по наиболее эффективной для клиента схеме – в режиме, не видимом для конечного пользователя дистанционной услуги.

 

Кружок «очумелые ручки»

 

Технология проста: вместе с web-страницей производится загрузка Java Script, который обеспечивает детектирование базовых атак на стороне клиента (удаленное управление, заражение вредоносным ПО, факт фишинга), а также позволяет получать уникальную клиентскую информацию (реальный IP, а не сервер-анонимайзер, идентификация устройства, фиксирование доступа не из публичной части сети или из тора).

 

Например, факт использования клиентом удаленного управления может быть зарегистрирован модулем Java Script исходя из характеристик движения мыши, работы с другими устройствами ввода данных. Вирусная активность может быть замечена посредством фиксирования определенных процессов и событий, таких как создание новых объектов (forms. iframes) в рамках работы с web-ресурсом, попытки обращения к другим сайтам и т.д.

 

Кроме технологии контролей на стороне клиента (которая, по сути, уже не нова: схема формирования отпечатков устройств эффективно используется в России, как минимум, с 2012 года), система предоставляет базовый доступ всех участников к «базе знаний» центрального сервера. Это позволяет распространять важнейшую информацию – данные о деталях атаки. Ранее банк при появлении новой атаки в своей инфраструктуре должен был самостоятельно выявить закономерности и доработать свои механизмы контроля, тем самым потеряв определенную сумму денежных средств за некий промежуток времени (время на получение подтверждения от клиента о мошенничестве, на выявление характерных особенностей атаки, на настройку механизмов детектирования на данную атаку). Условно обозначим это 100% риска (не учитываем работу существующих в банке схем антифрода или оперативное реагирование клиента на факт хищений). Теперь же, с использованием облачного решения риск равномерно распределяется между всеми клиентами-участниками, то есть размер риска «поймать» новую мошенническую схему для каждого в среднем снижается на (1 - 1/N)*100% (N здесь – количество компаний-пользователей технологии).

 

К сожалению, таких низких показателей рисков сложно достигнуть ввиду того, что банки зачастую неохотно делятся информацией с компанией-поставщиком облачной технологии. Некоторые банки и вовсе отказываются делиться собственными наработками и афишировать проблемы коллегам и конкурентам. Но процесс имеет положительную динамику: банки охотнее делятся сведениями, когда инцидент все-таки происходит и банк теряет деньги. Именно тогда включается служба поддержки вендора, и начинается аналитическая работа, приводящая к распространению столь ценной информации об атаке между участниками.

 

Как показывает статистика, успешность атак оценивается в диапазоне от 2 до 10% от общего количества атак на ДБО. Т.е. облака получают лишь часть информации об инцидентах, которые организуются злоумышленниками. Остальная доля атак – 90% – это задетектированные атаки, предотвращенные иными средствами или общими факторами (не было денег на карте, сработал лимит, клиент увидел операцию и пр.). При этом в среднем около 10% из них являются неизвестными (или имеют новые признаки детектирования мошенничества). Тем самым можно говорить о том, что весомая доля важной информации о модификации схем атак не подвергается анализу до тех пор, пока мошенничество не будет успешным.

 

Нюансы применения облачной технологии заключаются в сложности ее эффективной эксплуатации без интеграции с существующими системами компании. Облака – это не точка принятия решения, а точка выявления риска, своеобразное собрание методов нотификации о наступлении такового. А значит, этот риск нужно оценить и обеспечить автоматизированное реагирование в соответствии с его размером. Тем самым определяется необходимость совместного использования облачной технологии и существующих в компании антифрод-компонентов или, что реже, потребность в интеграции облачного решения с бизнес-приложениями или существующими системами ИБ.

 

 

Принципы работы с облаками не так прозрачны, как может показаться. Приведем пример: на стороне клиента зарегистрирована вирусная активность, но текущие операции проводятся по белому списку получателей. Запрещать их, скорее всего, нет смысла. Еще один вариант, когда облачные платформы детектируют Adware-компоненты на стороне клиента, содержащие рекламные модули. Т.е. элемент с высокой долей вероятности попал на компьютер нелегально, но прямой угрозы работе с ДБО не несет.

 

 

В случае реализации подобного взаимодействия информация о риске передастся в инфраструктуру заказчика, данные обрабатываются и оцениваются в антифрод-решении, и результаты этой оценки дают понимание, каковы должны быть дальнейшие действия, например, с платежом, при формировании которого на стороне клиента был идентифицирован риск. Возможны приостановка платежа, отказ в его проведении, снижение лимитов по операциям, блокировка части функций ДБО или всего доступа в целом и т.д. Аналогичная логика может быть реализована в случае с бизнес-приложением, но управление такой системой имеет ряд недостатков.

 

Кроме того, ряд облачных систем интегрирован с WAF-решениями: их производители договорились о партнерских отношениях. В этом случае не требуется доработка защищаемого web-ресурса, Java Script вносится в страницу, отправляемую на хост пользователя, в момент прохождения пакетов через WAF (или через балансировщик). Обратное тоже верно: данные из облака могут быть получены на стороне WAF и, например, послужат командой к активной блокировке трафика с этого IP, от устройства и т.д.

 

У облачных технологий существует множество уникальных особенностей (в зависимости от вендора): возможность нейтрализовать угрозу, т.е. скачать, как минимум, модуль удаления вредоносного ПО, без которого активная работа клиента в рамках сервиса приостанавливается; контроль трафика между сервером приложений и компьютером клиента, что позволяет выявить любой web-inject прямым сравнением, а не статистически, и др.

 

Достаточно ли технологии Java Script для контроля рисков? Как показывают жизнь и вектор развития мобильных платформ, нет. Кроме web-каналов, банки активно распространяют мобильные приложения, которые нельзя контролировать с помощью Java Script. А значит, требуется уже программная часть (SDK, Software Development Kit), которая предоставляла бы интерфейсы проверки рисков при работе приложения (расширенные права доступа, jailbreak, активность сторонних процессов и т.д.).

 

Нельзя обойти вниманием минусы облачной технологии при внедрении модуля анализа на стороне клиента. Как и любой антивирус, эту технологию можно изучить, а значит, можно создать троян, который не будет детектироваться существующими средствамиJava Script ограничен в возможностях и не может детектировать 100% угроз, как и любая антифрод-система, хотя может значительно сократить объем успешной реализации рисков. Частично проблема создания новых троянов решается вынесением логики работы скрипта на сторону облака – тем самым логика работы решения прячется. Но как показывает реальность, часть серьезных вирусов уже начала адаптировать свою работу под обход облачных средств или, наоборот, скрывать свое наличие при детектировании подобным решением.

 

В качестве завершения

 

Сегодня уже есть представители банковского сообщества, которые по достоинству оценили облачные технологии и высокие результаты их работы. При этом стоит отметить, что конечная эффективность подобных решений зависит не только от вендора, его программистов, службы круглосуточной аналитики новых угроз, криминалистов и пр. Она зависит от каждого участника процесса, и если вклад одного может показаться лишь маленьким кирпичиком в деле построении защиты, то вклад всех – это достаточный материал для построения труднопреодолимой стены для атакующей армии хакеров.

 

Нужно учесть и то, что каждая облачная платформа антифрода – это фактически сервис вне зависимости от формы продажи. Пока не изобретен искусственный интеллект, решением будут управлять люди, и только они способны быстро узнать и сделать доступными сведения для контроля нового риска.

 

И последнее – все сказанное выше касается не только банков. Если в вашем бизнесе присутствует весомая доля интернета (у вас есть интернет-магазин, программа лояльности с доступом через интернет, вы – электронная торговая площадка, компания, торгующая платным контентом или услугами), большая часть из приведенных рисков касается и вас. Просто злоумышленники еще не придумали способ использовать существующие уязвимости.

Уведомления об обновлении тем – в вашей почте

О банковском мошенничестве в целом и многообразии внутреннего в частности

Как автоматизировать контроль прав линейных сотрудников банка? Что лежит в основе моделей выявления аномального поведения? От чего зависит безопасность банковских бизнес-операций?

Самые значимые ИТ- и ИБ-проекты 2016 года

Банковское обозрение отметило три проекта, реализованных в финансовой сфере компанией «Инфосистемой Джет» в 2016 году

Вы говорите «Информационная безопасность…»

Большинство существующих мер позволяют обеспечить должный уровень защиты в 90, 95, а иногда даже в 99% случаев наступления риска.

Основные функции системы противодействия мошенничеству

Антифрод-системы позволяют решать вполне прикладные бизнес-задачи – выявлять и предотвращать совершение мошеннических операций, так-же они служат источником первичной информации о выявлении злоумышленников и следах хищения

Платежная система как способ «держать дистанцию»

Как внедрить и эксплуатировать платежную систему без ущерба для производства и клиентов

"Мы не классический банковский продукт, мы стремимся быть удобным потребительским сервисом"

Лидер проекта «Совесть» Олег Ряженов-Симс объясняет, чем этот продукт отличается от кредитных карт и POS-кредитов и как можно заработать на «Совести».

Внедрение антифрод-решения – взгляд менеджера проекта

Любой проект сопряжен с рисками, с этим вряд ли кто-то поспорит. И так же мало разногласий возникнет относительно того, что с рисками надо работать для минимизации их влияния на ход и результат проекта.

Непрерывность бизнеса. Подходы к использованию нового Указания ЦБ РФ 21946У: поиск «золотой середины»

Выход нового указания послужил причиной появления множества вопросов относительно необходимости и глубины внесения изменений в уже имеющуюся документацию в части внутреннего контроля и управления непрерывностью бизнеса (НБ) кредитных организаций, которая требовались ранее в Положении 242-П

Современные Сизифы

Сизиф, царь Коринфа, был великим мошенником. Благодаря своей хитрости он собрал несметные сокровища.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня