Рубрикатор |
Статьи | ИКС № 12 2014 |
Дмитрий КОСТРОВ  | 08 декабря 2014 |
Противодействие мошенничеству: необходимые и достаточные меры
Сохранить запланированный доход от высокомаржинальных услуг коммерческим и государственным компаниям помогают системы обнаружения мошенничества. Функциональность (и стоимость) этих систем должны соответствовать тому уровню риска, который организация считает приемлемым для себя.
Общеизвестно, что злоумышленники с помощью «выловленной» из Сети или добытой методами социальной инженерии информации могут пользоваться чужими финансовыми средствами, получать за чужой счет телекоммуникационные услуги, брать онлайн-кредиты и т.п. При совершении атаки злоумышленники могут открывать новые фальшивые онлайн-счета, указывать при авторизации данные ничего не подозревающих клиентов и, выдавая себя за них, проводить высокорискованные финансовые операции с использованием украденных данных или подмененных адресов отправителя.
Сейчас стало модным делить атаки по отраслям. Проводя специализированные (можно сказать, отраслевые) атаки, злоумышленник может достаточно легко обойти широко применяемые (неадаптивные) системы обеспечения безопасности, долгое время оставаясь незамеченным. Утечки «чувствительной» информации приводят к серьезному ущербу для пользователей, компаний, телекоммуникационной инфраструктуры и сервисов, которые могут входить в национальную платежную систему, электронное правительство, систему электронного здравоохранения и т.п. Помимо чисто денежных потерь владелец взломанного аккаунта и подвергшееся атаке учреждение (например, кредитно-финансовое) несут и репутационные потери, считать которые не все умеют и хотят. А реальные «посадки» злоумышленников, к сожалению, можно пересчитать по пальцам одной руки.
Возможности систем обнаружения мошенничества
СловарИКС |
Мошенничество, фрод (fraud) в сети связи – умышленная деятельность, имеющая своей целью неправомерное получение услуг и использование ресурсов оператора связи без надлежащей их оплаты, неправомерный доступ к любой конфиденциальной информации оператора (в том числе для извлечения дохода), а также иные действия, направленные на причинение убытков и иного вреда оператору.
Система обнаружения мошенничества (fraud detection system, FDS) – программный или программно-аппаратный комплекс, который обеспечивает мониторинг, обнаружение фрода и управление его уровнем, а также другими проблемами кибербезопасности, связанными с деятельностью пользователей/клиентов, их счетами, используемыми услугами/продуктами, каналами продаж и т.п. Такие системы также называют системами управления мошенничеством/управления доходами (fraud management system/revenue assurance, FMS/RA).
Под «чувствительной» информацией будем понимать информацию различного уровня конфиденциальности (финансовую, персональные данные и пр.), требующую усиленной защиты.
|
Для борьбы с фродом FDS используют три механизма: мониторинг, детектирование и ответные меры. Под мониторингом будем понимать возможность системы контролировать возникающие аномалии (изменения профилей пользователей), поведение приложений как на уровне приложений, так и на сетевом уровне. Путем применения специализированных правил и статистических моделей отслеживаются изменение самого аккаунта, частота транзакций и географическое местонахождение клиента.
Под детектированием будем понимать возможности FDS добывать, разбирать и анализировать большие объемы неструктурированных данных. Работа системы основана на использовании предустановленных правил, выработанных с помощью специализированных математических моделей, но также предусмотрено вмешательство оператора.
Под ответными мерами понимаем проактивные и реактивные меры, предпринимаемые подразделением обеспечения безопасности.
Разнообразные взаимодополняющие технологии мониторинга и обнаружения мошенничества могут помочь компаниям различных отраслей экономики выявлять подозрительные действия пользователей (злоумышленников), распознавать взлом ресурсов, расследовать и реагировать на инциденты в режиме реального времени, проводить эффективное оповещение и управление инцидентами, блокировать взломанные активы и более эффективно выстраивать защиту. Таким образом организация сможет определить, какая комбинация технологий мониторинга, анализа и защиты является наиболее подходящей для того уровня риска, который она считает приемлемым для себя. Так, несколько лет назад, когда я выбирал систему антифрода для своей компании, мне продемонстрировали систему для банков, которая легко «затачивалась» под требования телекома. Однако была слишком дорогой, и 70% ее приложений годились только для кредитно-финансовых учреждений.
Говоря об управлении уровнем мошенничества, обычно рассматривают три типичных варианта:
- детектирование «захвата» аккаунта, который происходит в случае кражи данных пользователя или применения специализированных вредоносных программ (атаки типа «человек посередине» или «человек в браузере»);
- детектирование возникновения мошеннического аккаунта, что также происходит при краже данных пользователя или применении специализированных вредоносных программ;
- детектирование использования при совершении покупки украденного платежного аккаунта (кредитной карты).
Общая архитектура системы обнаружения мошенничества
Для оценки в реальном масштабе времени риска мошенничества при практически каждой транзакции – от навигации и доступа к приложениям до любого изменения профиля пользователя, платежа или необычного поиска конфиденциальной информации – корпоративные приложения должны быть интегрированы с «движком» системы обнаружения мошенничества (целесообразно создать общую шину для взаимодействия).
Это поможет управлять риском мошенничества, например в случае изменения адреса клиента или перевода реальных денежных средств. Данные собираются с помощью комплекса приемов, получивших название fingerprinting и дающих возможность определить аппаратно-программное устройство клиента или сам профиль его поведения. Конечно, надо помнить, что правила работы системы защиты не должны стать достоянием злоумышленника. При обнаружении подозрительных транзакций можно запросить повторную или расширенную авторизацию. Идеально, если система защиты проводит мониторинг всей транзакции сразу после положительной авторизации.
Система обнаружения мошенничества интегрируется с ИКТ-приложениями в соответствии с одной из трех архитектур.
1. Модуль обнаружения мошенничества размещается в сервере приложения. В этом случае правила контроля (из базы данных правил компании) начинают работать с протоколом передачи гипертекста HTTP до того, как транзакция (например вход в систему или платеж) будет проведена (подтверждена). Сделки могут быть остановлены и/или перенаправлены на дополнительную проверку. Некоторые производители предоставляют собственные плагины для серверов приложений.
2. ИКТ-приложения работают в режиме «прослушивания» (мониторинга). В этом режиме FDS «слушает» входные данные, сетевой трафик протокола HTTP (например процесс входа в систему) или считывает данные с помощью плагинов, развернутых на серверах приложений. Данные считываются в режиме реального времени (если используется сниффер) или в режиме «почти» реального времени (плагин на сервере приложений) и подаются в другое приложение системы в специальном формате. В последнем случае подозрительные транзакции попадают в специальную очередь для их отработки специалистом-аналитиком.
3. Модуль обнаружения мошенничества встраивается в существующие приложения. Данный подход использует API для контроля за всеми (необходимыми) транзакциями и перенаправления данных в модуль детектирования мошенничества. Конечно, такой подход приведет к созданию множества «самописных» приложений и потребует достаточно много времени.
В обычных обстоятельствах при входе клиента в систему транзакции присваивается определенный уровень риска (исходя из информации в базе данных об уже совершенных этим клиентом транзакциях – имя, пароль, протокол обмена, геолокация, профиль и т.д.). Модули обнаружения мошенничества, встроенные в сервер приложений (например веб-), отслеживают работу интернет-приложений и программные интерфейсы.
Компоненты системы обнаружения мошенничества
Система обнаружения мошенничества также собирает данные о событиях в режиме реального времени, позволяя проанализировать проблему «на лету».
Подсистема мониторинга позволяет контролировать действия пользователя и обмен данными, которые необходимы для выявления факта атаки на раннем этапе. Интересно, что сегодня в системы противодействия мошенничеству считается целесообразным включать системы предотвращения утечек (DLP) и системы управления событиями (SIEM).
Процесс сбора и агрегации (объединения) данных должен поддерживать разнообразные источники, в том числе сети связи, устройства безопасности, серверы, базы данных и журналы приложений, а также отчеты системы управления идентификацией (IdM).
Мониторинг не в реальном масштабе времени требует проводить ручную или полуавтоматическую проверку лог-файлов (журналов).
При мониторинге в реальном времени контролируются все транзакции (например протокола HTTP) с использованием специализированного фильтра веб-сервера. В этом случае не требуется встраивать дополнительные модули в существующие приложения. Для такой фильтрации можно использовать и внешние приложения, что позволяет избежать дорогостоящих этапов разработки и внедрения. Многоканальная агрегация данных означает, что информация о проведенных транзакциях от разных каналов должна быть в полном объеме включена в процессы обнаружения мошенничества. Система обнаружения мошенничества может обнаружить вредоносную активность в потоке дискретных событий, которые, как правило, связаны с действиями уже авторизованного пользователя. Этот поток формируется из разных источников с последовательным агрегированием. Данные, переданные из всех источников, система обнаружения мошенничества использует для анализа подлинности пользователя. Источником информации могут быть люди, службы приложений и окружающие системы. Например, когда человек хочет совершить конкретную сделку, прежде чем его запрос будет одобрен или отклонен, должна быть изучена вся информация относительно этой сделки. Является ли устройство надежным? Является ли надежным подключение к сети? Где устройство в настоящее время находится? Когда в последний раз осуществлялся доступ? Насколько надежна система авторизации? В какое время должна проводиться сделка? Не нарушен ли обычный профиль действий клиента? (Скажем, если клиент, который не переводит за один раз более 10 тыс. руб., пытается отправить сразу 5 млн в какой-то банк в Уганде, то это повод присмотреться к его действиям повнимательнее.) Система обнаружения мошенничества требует сбора данных от различных типов источников. Классификация данных, приложений, типов клиентов и т.п. разрабатывается в настоящее время в рамках рабочей группы ИК 17 МСЭ-Т.
Мониторинг активности баз данных позволяет контролировать действия зарегистрированных пользователей, а также самого администратора(-ов). Для мониторинга транзакций и работы приложений задействуются базы данных «плохих» IP-адресов, DNS-контроль, МАС-контроль (IMEI, IMSI), контроль социальных сетей, чатов и т.п. Популярным решением стало использование систем обнаружения и предотвращения атак (IDPS) с предустановленными правилами, а также межсетевых экранов (МЭ) следующего поколения, МЭ уровня приложений и т.п.
Необходимо отметить, что детектирование фрода (мошенничества), в ходе которого делается сверка профиля пользователя и его прошлых и теперешних действий, должно проводиться незаметно (прозрачно) для пользователя. Тонкий тюнинг системы позволяет понять реальный риск и снижает уровень ложных срабатываний системы.
Большинство предлагаемых на рынке средств противодействия фроду использует набор подтвержденных правил действий злоумышленника и/или правил работ легального пользователя. При этом, конечно, существует возможность создавать и имплантировать в работающую систему новые правила. Интересным, хотя и не новым свойством систем является возможность выгружать правила контроля для обмена информацией между организациями (обычно одной отрасли и направления бизнеса). Например, большинство систем противодействия фроду в бизнесе, связанном с кредитными карточками, именно так и работают.
Подобная библиотека определяет набор правил, исходя из контекста: роли пользователя в системе; владельца информации или транзакции; уязвимостей программных продуктов; паттернов атак и базы уже известных злоумышленников; формализованных требований регуляторов; обычного функционирования приложений и т.п.
* * *
В число других механизмов противодействия мошенничеству входят аутентификация самих аналитиков и администраторов систем, расчет рисков (с ранжированием), «песочницы» ПО, генераторы отчетов и сигналов тревоги, блокирование пользователей по уровням, обмен информацией на принципах CYBEX. Однако при выборе того или иного механизма необходимо оценить, а нужен ли он Вам . Может быть, приемлемого уровня риска можно добиться административными методами и прозрачными бизнес-процессами. В любом случае внутренние бизнес-процессы должны выстраиваться с оглядкой на использующуюся систему обнаружения мошенничества.