***** 1

Report
Использование систем
мониторинга для выявления
банковского фрода
Виктор Сердюк
Генеральный директор ЗАО «ДиалогНаука»
Необходимость защиты
систем ДБО
• Ежедневно в России фиксируется 15-20 попыток
хищения денежных средств из систем дистанционного
банковского обслуживания - в среднем за один раз
хакеры пытаются похитить около 400 тысяч рублей
• Получили распространения все типы атак
• хищение криптографических ключей
• «Man in the Middle»
• «Man in the Browser»
• Е-token, любые СКЗИ и хранилища ключевой
информации, работающие на клиентской рабочей
станции не в полной мере эффективны
Рынок решений
• От производителя системы ДБО
• зарубежные продукты не учитывают российскую специфику
• не имеют опыта разработки решений по анализу и корреляции
большого количества различных событий
• От производителей SIEM систем
• многие не учитывают российскую специфику
• появляются дополнительные возможности за счет анализа данных
системы ДБО, сетевого оборудования, web сервера и пр.
• Специализированные системы защиты от фрода
• зарубежные продукты не учитывают российскую специфику
• не имеют опыта разработки решений по анализу и корреляции
большого количества различных событий
• «Самописанные» системы защиты от фрода
• Можно получить эффективную систему
• Главная проблема - они не продаются, нужно все делать
самостоятельно
Ключевые требования
к системе защиты от фрода
•
•
•
•
•
Низкий процент ложных срабатываний
Низкий процент пропуска мошеннических транзакций
Обработка в режиме реального времени
Наличие возможности самообучения
Возможность блокирования потенциально опасных
транзакций
• Возможность учета российской специфики банковских
транзакций
• Простота использования и интеграции в существующие
процессы безопасности Банка
• Возможность интеграции в существующую ИТинфраструктуру Банка
Рынок SIEM решений
Решение по защите от
фрода на базе решения
ArcSight
• Набор правил для ведущей системы ArcSight, учитывающих
российскую специфику и опробованных в ряде крупных
банков
• Преимущества нашего решения
• Возможность интеграции с любыми ДБО и АБС, сетевым
оборудованием и другими источниками для получения информации о
действиях клиента ДБО
• Неограниченные возможности производительности системы – до 3-4
тысяч транзакций в секунду
• Наличие уже отработанных на практике наборов правил
• Наличие огромного опыта внедрения SIEM системы и внедрения
систем выявления мошеннических операций
Концепция решения
• Система выявления мошеннических операций (далее СВМО)
осуществляет анализ атрибутов каждого платежного
поручения в режиме реального времени на основании
данных получаемых из системы ДБО и других систем Банка.
• На основании результатов такого анализа, СВМО
осуществляет расчет коэффициента характеризующего
величину риска платежной операции.
• Система, осуществляющая обработку платежных операций
(ДБО, АБС, иная процессинговая система) должна проводить
транзакцию или отклонять ее с учетом величины риска
конкретной транзакции. Иными словами, функционал АБС
или ДБО должен иметь возможность отклонения транзакции
при превышении коэффициента риска транзакции
определенного порога.
Расчет коэффициента риска
платежной операции
Расчет риска платежной операции происходит на основании анализа
следующих характеристик:
• Наличие Получателя платежа в списках:
• Атрибутов получателя «белом списке»
• Имени получателя в «черном списке»
• Организации получателя в «черном списке»
• ИНН, номер счета в «черном списке»
• Тип платежа:
• Платеж в федеральный орган
• Внутрибанковский платеж
• 222-П
• Иной платеж
По этим признакам, квалифицируется большая часть операций: 70%-80% в
зависимости от Банка.
«Белый» список формируется автоматически: если операция перевода
определенному получателю прошла ранее и не была опротестована, то
получатель автоматически попадает «белый» список.
Расчет коэффициента риска
платежной операции
Расчет риска платежной операции происходит на основании анализа
следующих характеристик:
• Сумма платежа:
• Низкая/средняя/высокая
• Больше чем максимально ранее зафиксированная сумма
• Тип аутентификации и количество попыток аутентификации
• Атрибуты плательщика (в случае если доступно)
• IP адрес (новый/старый)
• MAC адрес (новый/старый)
• Данные об использовании сервера ДБО пользователем
• Порядок загрузки страниц/форм системы ДБО
• Время загрузки страниц/форм
• Время проведения транзакции
• Типичное/нетипичное
• Другие характеристика платежа
• Множественные транзакции на разных получателей с одинаковым
назначением
• Использование одного шаблона для разных получателей
Расчет риска платежной
операции
Алгоритм выявления мошеннических операций
Пользователь ДБО
Формирование и
отправка платежного
поручения
Система ДБО
Обработка
платежного
поручения
СВМО
АБС
Оператор
Получение данных
из БД СДБО
Платежное
поручение
Атрибуты ПП,
сетевые
атрибуты
пользователя
Проверка
санкционированно
сти операции
«Белые»
списки, макс.
платеж и др.
ДА
Коэф. риска
операции в
БД
Расчет
коэффициента
риска операции
КРО выше
порогового
значения
Операция
санкционирова
на
НЕТ
ДА
Передача данных в
АБС
Уведомление
пользователя
Уведомление
пользователя
Проведение
операции в АБС
Проведение
операции в СДБО
Останов операции
в СДБО
НЕТ
Остановка
операции
Останов операции
в АБС
Получение данных
о результатах
операций
из БД СДБО
Оформление
необходимых
документов
Окончание
процесса
Схема интеграции
Клиентское
АРМ ДБО
Платежное
поручение
Ответственное лицо
плательщика
Периметральное
сетевое оборудование
или МЭ
Платежное
поручение
Телефонное (или иное)
подтверждение платежа
Данные о сетевых
сессиях
Платежное
поручение
Исполнение платежа
АБС
Коэффициент
риска операции
Уведомление о
подозрительной
операции
Данные о сетевых
сессиях ДБО
Система выявления
мошеннических операций
Оператор КЦ
Операционнист
Анализ платежа, квалификация
платежа, формирование
«белых списков», хранения
необходимых данных
Атрибуты платежа из ПП
Данные идентификации/
аутентификации
Информации о порядке и
скорости загрузки страниц/форм
«Черные списки»
получателей
ДБО
Работы по внедрению
Этапы проведения работ по внедрению системы:
•
•
•
•
•
Обследование - сбор информации о системе ДБО, АБС
Разработка технического решения СВМО
Установка системы и настройка подключений в ДБО, АБС
Обучение системы путем анализа транзакций за 2-3 месяца
Опытная эксплуатация системы , настройка пороговых
коэффициентов
• Запуск в промышленную эксплуатацию
ArcSight ESM
Архитектура
Консоль
администрирования
Web-консоль
управления
ArcSight
Web
ArcSight
Console
TM
TM
Сервер обработки
событий безопасности
Хранилище
данных
База
данных
ArcSight
Manager
TM
Средства получения
информации
SmartConnector
FlexConnector
Поддерживаемые
устройства
Access and Identity
Data Security
Integrated Security
Network Monitoring
Security Management
Web Cache
Anti-Virus
Firewalls
Log Consolidation
Operating Systems
Switch
Web Filtering
Applications
Honeypot
Mail Relay & Filtering
Payload Analysis
VPN
Web Server
Content Security
Host IDS/IPS
Mail Server
Policy Management
Vulnerability Mgmt
Wireless Security
Database
Network IDS/IPS
Mainframe
Router
Отказоустойчивая
архитектура сбора событий
События
Централизованное
управление/обновление
Поток сжатых событий
ArcSight Connector
Heartbeat
Управление загрузкой канала
ArcSight Monitoring
Визуализация
Консоль реального времени
– Разделение событий
по категориям
– Возможность
корреляции событий в
реальном режиме
времени, как по
ресурсам, так и по
злоумышленникам
– Возможности
подробного анализа
– Возможность создания
коррелированных
отчетов
Категоризация событий обеспечивает мгновенную идентификацию атаки
Гибкая система отчётности
Поиск и анализ трендов
• Простое создание новых шаблонов
• Создание графических отчётов
• Не требует программирование
• Экспорт в различные форматы
• HTML, XLS, PDF
Встроенный
документооборот
•
•
•
Этапы: обработка инцидентов в
соответствии с заранее заданным,
предназначенном для совместной
работы процессом
Аннотирование инцидентов для более
полного анализа
Интеграция со сторонними система
документооборота
Спасибо за внимание!
Спасибо за внимание
117105, г. Москва, ул. Нагатинская, д. 1
Телефон: +7 (495) 980-67-76
Факс: +7 (495) 980-67-75
http://www.DialogNauka.ru
e-mail: arcsight@DialogNauka.ru

similar documents