Использование систем мониторинга для выявления банковского фрода Виктор Сердюк Генеральный директор ЗАО «ДиалогНаука»

Необходимость защиты систем ДБО Ежедневно в России фиксируется попыток хищения денежных средств из систем дистанционного банковского обслуживания - в среднем за один раз хакеры пытаются похитить около 400 тысяч рублей Получили распространения все типы атак хищение криптографических ключей «Man in the Middle» «Man in the Browser» Е-token, любые СКЗИ и хранилища ключевой информации, работающие на клиентской рабочей станции не в полной мере эффективны

Рынок решений От производителя системы ДБО зарубежные продукты не учитывают российскую специфику не имеют опыта разработки решений по анализу и корреляции большого количества различных событий От производителей SIEM систем многие не учитывают российскую специфику появляются дополнительные возможности за счет анализа данных системы ДБО, сетевого оборудования, web сервера и пр. Специализированные системы защиты от фрода зарубежные продукты не учитывают российскую специфику не имеют опыта разработки решений по анализу и корреляции большого количества различных событий «Самописанные» системы защиты от фрода Можно получить эффективную систему Главная проблема - они не продаются, нужно все делать самостоятельно

Ключевые требования к системе защиты от фрода Низкий процент ложных срабатываний Низкий процент пропуска мошеннических транзакций Обработка в режиме реального времени Наличие возможности самообучения Возможность блокирования потенциально опасных транзакций Возможность учета российской специфики банковских транзакций Простота использования и интеграции в существующие процессы безопасности Банка Возможность интеграции в существующую ИТ- инфраструктуру Банка

Рынок SIEM решений

Решение по защите от фрода на базе решения ArcSight Набор правил для ведущей системы ArcSight, учитывающих российскую специфику и опробованных в ряде крупных банков Преимущества нашего решения Возможность интеграции с любыми ДБО и АБС, сетевым оборудованием и другими источниками для получения информации о действиях клиента ДБО Неограниченные возможности производительности системы – до 3-4 тысяч транзакций в секунду Наличие уже отработанных на практике наборов правил Наличие огромного опыта внедрения SIEM системы и внедрения систем выявления мошеннических операций

Концепция решения Система выявления мошеннических операций (далее СВМО) осуществляет анализ атрибутов каждого платежного поручения в режиме реального времени на основании данных получаемых из системы ДБО и других систем Банка. На основании результатов такого анализа, СВМО осуществляет расчет коэффициента характеризующего величину риска платежной операции. Система, осуществляющая обработку платежных операций (ДБО, АБС, иная процессинговая система) должна проводить транзакцию или отклонять ее с учетом величины риска конкретной транзакции. Иными словами, функционал АБС или ДБО должен иметь возможность отклонения транзакции при превышении коэффициента риска транзакции определенного порога.

Расчет коэффициента риска платежной операции Расчет риска платежной операции происходит на основании анализа следующих характеристик: Наличие Получателя платежа в списках: Атрибутов получателя «белом списке» Имени получателя в «черном списке» Организации получателя в «черном списке» ИНН, номер счета в «черном списке» Тип платежа: Платеж в федеральный орган Внутрибанковский платеж 222-П Иной платеж По этим признакам, квалифицируется большая часть операций: 70%-80% в зависимости от Банка. «Белый» список формируется автоматически: если операция перевода определенному получателю прошла ранее и не была опротестована, то получатель автоматически попадает «белый» список.

Расчет коэффициента риска платежной операции Расчет риска платежной операции происходит на основании анализа следующих характеристик: Сумма платежа: Низкая/средняя/высокая Больше чем максимально ранее зафиксированная сумма Тип аутентификации и количество попыток аутентификации Атрибуты плательщика (в случае если доступно) IP адрес (новый/старый) MAC адрес (новый/старый) Данные об использовании сервера ДБО пользователем Порядок загрузки страниц/форм системы ДБО Время загрузки страниц/форм Время проведения транзакции Типичное/нетипичное Другие характеристика платежа Множественные транзакции на разных получателей с одинаковым назначением Использование одного шаблона для разных получателей

Расчет риска платежной операции

Схема интеграции

Работы по внедрению Этапы проведения работ по внедрению системы: Обследование - сбор информации о системе ДБО, АБС Разработка технического решения СВМО Установка системы и настройка подключений в ДБО, АБС Обучение системы путем анализа транзакций за 2-3 месяца Опытная эксплуатация системы, настройка пороговых коэффициентов Запуск в промышленную эксплуатацию

ArcSight ESM Архитектура База данных ArcSight Manager TM Сервер обработки событий безопасности SmartConnector FlexConnector Средства получения информации Хранилище данных ArcSight Web TM Web-консоль управления ArcSight Console TM Консоль администрирования

Поддерживаемые устройства Access and Identity Anti-Virus Applications Content Security Database Data Security Firewalls Honeypot Network IDS/IPS Host IDS/IPS Integrated Security Log Consolidation Mail Relay & Filtering Mail Server Mainframe Network Monitoring Operating Systems Payload Analysis Policy Management Router Switch Security ManagementWeb Cache Web ServerVPN Vulnerability MgmtWireless Security Web Filtering

Отказоустойчивая архитектура сбора событий ArcSight Monitoring ArcSight Connector События Централизованное управление/обновление Управление загрузкой канала Heartbeat Поток сжатых событий

–Разделение событий по категориям –Возможность корреляции событий в реальном режиме времени, как по ресурсам, так и по злоумышленникам –Возможности подробного анализа –Возможность создания коррелированных отчетов Визуализация Консоль реального времени Категоризация событий обеспечивает мгновенную идентификацию атаки

Гибкая система отчётности Поиск и анализ трендов Простое создание новых шаблонов Создание графических отчётов Не требует программирование Экспорт в различные форматы HTML, XLS, PDF

Встроенный документооборот Этапы: обработка инцидентов в соответствии с заранее заданным, предназначенном для совместной работы процессом Аннотирование инцидентов для более полного анализа Интеграция со сторонними система документооборота

Спасибо за внимание! Спасибо за внимание , г. Москва, ул. Нагатинская, д. 1 Телефон: +7 (495) Факс: +7 (495)