1 19-May-14 © Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved Июнь 2009

2 19-May-14 © Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved Внутренние злоупотребления– возрастающая опасность Данные опроса 2008 ACFE - Ассоциация Сертифицированных Экспертов по выявлению мошенничеств Средний убыток от инсайдерских злоупотреблений составляет 7% от годового оборота В 60% всех злоупотреблений и мошенничеств замешаны сотрудники самих компаний. 65% злоупотреблений и мошенничеств были обнаружены случайно. В среднем, злоупотребления и мошенничества продолжались 24 месяцев до их обнаружения. Исследование Центра инсайдерских угроз в финансовом секторе США(Июнь 2005) В 78% случаев мошенниками были свои же работники, использующие простые, вполне легитимные действия. Исследования компании «Ernst&Young»,Май 2009 В период экономического кризиса ожидается увеличение числа случаев корпоративного мошенничества среди сотрудников крупных компаний на 64%. наемные работники боятся быть уволенными и у них растет соблазн обмануть хозяев.

3 19-May-14 © Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved Как хорошо Вы знаете своих сотрудников?

4 19-May-14 Типы внутренних злоупотреблений и мошенничества Внутренний потенциальный злоумышленник: настоящий или бывший работник. Внутреннее мошенничество Злоумышленник использует ИТ для собственного обогащения или для других персональных целей Информационный саботаж Злоумышленник использует средства ИТ для нарушения функционирования бизнес-процессов организации. Утечка информации Злоумышленник использует средства ИТ для раскрытия конфиденциальной корпоративной аналитической информации

5 19-May-14 …Кроме зарегистрированных пользователей LAN Application Server Database Server Mainframe Web Server FTP Server Mail Server DMZ Internal User Internal User Internal User WEB Firewall VPN Gateway Remote User Большинство элементов под контролем Существующие средства ИБ

6 19-May-14 Традиционные способы обнаружения внутреннего мошенничества Базируются на анализе регистрационных журналов и баз данных приложений Отчетности, которую можно получить из каждой информационной системы -Трудно достоверно воспроизвести порядок действий пользователя в различных приложениях Заключение: Традиционные способы не достаточны для активного обнаружения и предотвращения внутреннего мошенничества. - Просмотр, но не изменение данных журналов приложении и баз данных - Действия привилегированных пользователей – ИТ персонала – часто не регистрируются В данные способы не попадают: - Разные приложения имеют различные виды и форматы журналов, что усложняет одновременную выборку по ним

7 19-May-14 © Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved Что делать и как с этим бороться?

8 19-May-14 Методология – 9 Шагов Сбор информации и составление общей системы Управление рисками Отчетность и анализ Построение схемы решений Установление сроков Активные действия I Анализ информации Контроль, обеспечение и обучение Исследования Решение Внедрение Активные действия II Поддержка и обслуживание

9 19-May-14 © Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved Intellinx – решение для управления рисками и предотвращения мошенничества Сбор информации Отслеживание сетевых потоков: экраны, транзакции, Web-страницы и прочее. Журналы приложений и базы данных Справочная информация Поиск, Проигрывание - «Черный ящик» компании. Полное воспроизведение сеансов работы пользователей Гибкая и быстрая поисковая система - как Google Аналитический процессор Предопределенные правила для распознавания нарушений в порядке работы пользователей в реальном времени Динамические профили и рейтинговые модели Новые правила могут быть определены и использованы пост-фактум – для расследования событий в прошлом Инструментарий для расследования и ведения дел Аналитический инструментарий для расследования событий Динамические отчеты и графики Инструментарий для анализа и минимизации ошибочных результатов

10 19-May-14 © Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved Intellinx может идентифицировать: Что Просмотр определенного банковского счета всеми пользователями Что Манипуляции с банковским счетом из Черного/Белого списка Как Поиск счета по имени клиента более чем Х раз в течении определенного промежутка времени Когда Действия в нерабочие часы Корреляция по времени Тот же пользователь(user- id ) с разных терминалов в то же время Корреляция по времени В центре обслуживания - Просмотр данных клиента без сопутствующего звонка клиента Корреляция по данным Добавление адреса/совладельца счета к разных банковских счетам Откуда Любые действия выполнены из того же места/терминала Агрегация Сумма денежных переводов с того же счета в течении определенного периода времени превышает определенный лимит Процесс Добавление совладельца, затем перевод денег, затем удаление совладельца – в течении определенного промежутка времени Процесс Увеличение кредитного лимита, затем перевод денег, затем уменьшение кредитного лимита – в течении определенного промежутка времени

11 19-May-14 © Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved Intellinx – Расследование внутренних злоупотреблений и мошенничества Детальное отслеживание манипуляций пользователей с конфиденциальной информацией Пример: Поиск всех пользователей, имеющих доступ к определенному номеру счета Контролирование критических бизнес-процессов Пример: предупреждение об изменении информации о клиентах несколько раз в течении определенного периода Идентифицирование неправомерных действий пользователей Примеры: Чрезмерная частота выполнения определенных операций Внеурочное время выполнения определенных операций Чрезмерное обращение к конфиденциальной информации Частые случаи прерывания или неадекватного вмешательства в определенные деловые процессы Контролирование действий технического персонала Пример: изменение конфиденциальной информации средствами Администрации базы данных(ДБА)

12 19-May-14 © Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved Технология Intellinх- Sniffing Collection Analyzing Network Transmission Патентно-защищенная технология прослушивания и анализирования сетевых пакетов. Нет нужды в установке каких- либо компонентов на клиенте или на сервере. Нет влияния на производительность серверов или сети. Установка за несколько часов, без всякого риска для регулярного порядка работы. Данные сохраняются в сжатом формате. Данные записываются в закодированном и защищенном от изменений формате. Поддерживаемые технологии и платформы: IBM Mainframe: 3270, MQ, LU0, LU6.2 IBM System-i(АS/400): 5250, MPTN Web: HTTP/ HTTPS/SOAP Client/Server: TCP/IP, MQ Series, MSMQ, SMB,FTP, Entire Broker…. VT100, SSH SWIFT, FIX, ISO8583 (ATM), другие аппликативные протоколы. RDBMS – Oracle(TNS), MS SQL(TDS), DB/2(DRDA)

13 19-May-14 Пример: Чейз Манхеттен банк Кража с малоактивных счетов.

14 19-May-14 На какие предупреждающие сигналы (Red Flags) необходимо обратить внимание, чтобы вовремя предотвратить подобные инциденты. Комбинация событий: Чрезмерное количество запросов информации о малоактивных счетах. Перевод денег с малоактивных счетов. Традиционные средства анализа журналов и баз данных приложений Могут отследить перевод денег с малоактивных счетов. Не способны отследить: o Действия в различных приложениях o Запросы и другие Read-Only действия пользователя, которые обычно не регистрируются. Невозможность получения полной картины о действиях пользователей может привести к большому количеству ложных сообщений(False Positive Alerts). Пример: Чейз Манхеттен банк Возможные признаки мошенничества

15 19-May-14 © Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved

16 19-May-14 © Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved Случай 2 – Утечка информации о знаменитостях Банк получает нежелательную огласку. Как можно обнаружить, кто ответственен за утечку информации – работники банка или посторонние?

17 19-May-14 © Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved

18 19-May-14 © Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved Случай 3 : Чужие логины Societe General

19 19-May-14 © Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved Случай 3 – Использование чужих логинов Служащий банка выполняет банковские операции, используя чужие логины. При этом он инициирует и утверждает транзакции вместо сотрудника, имеющего соответствующие привилегии. Как можно это обнаружить? Intellinx позволяет определить правила для выявления использования чужих логинов: - Тот же логин использован в тоже самое время с двух разных терминалов. - Несколько логинов использованы на том же терминале. - Использован логин пользователя физически не находящегося в офисе – пользователь не провел магнитную карточку на входе в офис. - Действия пользователя в системе после окончания рабочего дня.

20 19-May-14 © Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved Случай 4 – Транзакции с кредитными карточками Работник телефонного центра просматривает месячный отчет о транзакциях определенных клиентов и «сливает» информацию частным детективам. Правила кредитной компании обуславливают доступ к информации о клиентах только в случае получения звонка от клиента через IVR (interactive voice response) Нормальный порядок работы : Работник Кол-Центра получает телефонный запрос от клиента и выполняет требуемые действия с данными клиента. Intellinx обнаруживает необычное поведение: Работник Кол- Центра просматривает информацию о клиентах без предварительного звонка. Каким образом можно удостовериться, что работник просматривал информацию только после получения звонка?

21 19-May-14 © Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved

22 19-May-14 © Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved Бизнес Правила Активное отслеживание действий пользователей

23 19-May-14 © Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved Предопределенные бизнес правила Более 100 предопределенных правил для выявления и предотвращения нарушений и аномалий в действиях пользователей: В банковской сфере Страховании Информационной безопасности Правила разработаны экспертами в области информационной безопасности и финансов. Правила разработаны на опыте внедрения Intellinx у различных клиентов и постоянно расширяются. Модель, позволяющая определять конфигурацию и настройку параметров в соответствии с требованиями конкретного клиента

24 19-May-14 © Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved Какую пользу может принести Intellinx компании Укрепление информационной безопасности компании посредством выявления нарушений и аномалий в действиях пользователей Полное отслеживание действий пользователей Отслеживание попыток злоупотреблений, мошенничества и утечки информации в режиме реального времени Гибкие инструментарии для проведения расследований и анализа Предоставление средств для соответствия принятым законам и стандартам: СТО БР ИББС , SOX, AML, Basel II, HIPAA and GLBA Отслеживания информационных потоков между системами до расследования деловой активности пользователей

25 19-May-14 Клиенты Intellinx … Банки и Финансы Страховые компании Учреждения Здравохранение и коммерция

26 19-May-14 © Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved Отзывы клиентов об Intellinx Банк Леуми(Израиль). Мр. Сассон Мордехай, Вице-Президент, Руководитель оперативного Отдела. Как финансовая организация, мы должны отвечать требованиям законодательства о полной регистрации действий персонала и пользователей. Intellinx дал возможность Банку Леуми соответствовать этим требованиям после очень быстрого процесса внедрения, позволив сохранить много месяцев, требовавшихся для внесения изменений в наши системы. Intellinx – это решение, не влияющее на нашу инфраструктуру и требующее очень ограниченные дисковые ресурсы. Администрация Штата Делавэр(США). Мс. Пегги Белл. Исполнительный Директор Юридической и Криминальной Информационной Службы: Результаты внедрения Intellinx были более впечатляющие, чем мы ожидали: -Система отслеживания функционирует фантастически -Работа с Intellinx просто ошеломляет -Период расследования утечки информации сократился на 90% -Потенциальная угроза безопасности сотрудников органов и общественности значительно уменьшилась

27 19-May-14 © Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved Что аналитики говорят об Intellinx Joseph Feiman, Gartner Intellinx внесен в список производителей наиболее заметных (cool vendor ) продуктов в категории "Разработка приложений"(Application Development), 2006 «Gartner определяет список «cool vendors» - производителей продуктов, вызвавших наибольший интерес в прошлом году, из-за предлагаемой технологии или новаторских, необычных решений. Они предлагают продукты или услуги, позволяющие пользователям делать вещи, которые они не могли делать раньше, и которые значительно влияют или повлияют на ведение бизнеса»

28 19-May-14 Intellinх – Примеры использования Почтовый Банк Израиля. Регистрация операций на сумму выше $10,000 Выявление всех банковских операций клиента в течении недели, превышающих определенную сумму. Иппотечный Банк Тфахот Регистрация всех операций, выполненных пользователями Проигрывание действий определенных пользователей в течении определенного времени. Национальний Банк Израиля(Леуми) Регистрация всех операций, выполненных пользователями в соответствии с нормативным актом 357 Гос Банка Израиля. Главный регистрационный журнал банка SARS – Центральное налоговое управление (Южная Африка) Регистрация всех операций, выполненных пользователями Выявление случаев внутренних злоупотреблений и мошенничества

29 19-May-14 © Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved Спасибо За внимание