Продуктов и решений для борьбы с мошенничеством на рынке много, причем действительно хороших, высокотехнологичных и действенных. Однако зачастую их внедрение дает компании лишь временную передышку — мошенники все равно находят уязвимые точки и возобновляют атаки. В результате компания, вложившая значительные средства в механизмы защиты, по-прежнему рискует стать жертвой мошенников. Напрашивается вывод: получается, существующие технологии борьбы с мошенничеством недостаточны? В чем причина? Попробуем разобраться.
Источники фрод-рисков
Работа современной компании все более приближается (или уже перешла) к режиму онлайн. Продажи товаров и услуг, банковское обслуживание, логистика, учет продукции и многое другое осуществляются в режиме реального времени. Прием и подтверждение заказа, финансовые транзакции и прочие операции должны выполняться без промедления – не всякий клиент согласится сидеть и ждать, пока он сам и его действия будут проверены. Следовательно, принятие решения о том, является ли действие правомерным, должно приниматься в режиме реального времени. А способна ли ваша антифрод-система анализировать множество событий в онлайн-режиме и выдавать результат настолько точный, чтобы на его основании можно было блокировать только нелегитимные действия, не создавая дискомфорт пользователям?
Стремительное развитие информационных технологий тоже является одним из факторов риска. Отказаться от технологических инноваций современная компания не может, иначе она потеряет конкурентные преимущества. Но при нынешних темпах внедрения новых технологий специалисты по безопасности физически не успевают проработать необходимые контрольные процедуры и механизмы защиты. Одним из характерных примеров является мобильный банкинг, схема защиты которого зачастую остается такой же, как у интернет-банкинга, а значит, недостаточной. Готова ли ваша антифрод-система к появлению в бизнесе новых технологий, способна ли она выявлять мошенничество в новых каналах?
Быстро развиваются не только технологии, но и сам бизнес. Появляются новые бизнес-модели, новые бизнес-процессы, новые категории услуг. Возникают новые риски и дополнительные потоки событий, которые должны анализироваться на предмет выявления неправомерных. Должны меняться и сами правила (алгоритмы) анализа. Позволяет ли ваша антифрод-система быстро подключить дополнительные источники данных и внести нужные изменения в алгоритмы анализа?
Серьезную проблему представляют методы социальной инженерии, которые злоумышленники все чаще используют в схемах атак на клиентов и сотрудников компаний. При этом сами методы социальной инженерии совершенствуются. Например, еще вчера социальная инженерия использовалась исключительно для того, чтобы получить часть данных клиента, а сама атака проводилась в режиме «без клиента». Сегодня ее методы направлены та то, чтобы заставить самого клиента (или другого легитимного пользователя информационной системы) совершить неправомерную операцию. И хорошо, если дело ограничится одной операцией. Современная социальная инженерия часто становится способом получить полный доступ к счету или платежному инструменту, сводя на нет технические средства защиты от злоумышленников.
Конечно, с социальной инженерией можно бороться, повышая корпоративную культуру информационной безопасности и просвещая своих клиентов. Но люди беспечные, забывчивые и просто наивные всегда были и будут, и с этим придется считаться.
Умеет ли ваша антифрод-система отлавливать ошибки легитимных пользователей? И насколько она умеет фиксировать сами попытки внешнего влияния на их действия?
Наконец, существует проблема ресурсов. Бизнес использует большое количество различных информационных систем. О мошенничестве, как правило, свидетельствует не одно событие, а их совокупность в разных системах, причем иногда даже не только тех, что расположены внутри периметра компании, но и внешних. Чем больше данных о событиях – текущих и исторических — мы можем сохранить и проанализировать, тем с большей точностью мы можем выявлять случаи мошенничества. Но достаточно ли у компании ресурсов, человеческих и технических, чтобы хранить и обрабатывать терабайты данных?
Каков он, универсальный антифрод?
Имея большой опыт внедрения и эксплуатации антифрод-решений разных вендоров в компаниях различных сфер деятельности, мы можем утверждать, что ни одна существующая антифрод-система не позволяет дать утвердительные ответы на все поставленные вопросы. Но цель именно в том, чтобы решать все эти задачи сразу. Да, есть высокопроизводительные системы, способные выявлять фрод в режиме онлайн, но они не позволяют быстро менять или корректировать модели данных. Есть системы, умеющие самостоятельно формировать алгоритмы анализа данных с помощью механизмов машинного обучения. Но если при изменении бизнес-процессов или, например, условий предоставления услуг такая система начнет ошибаться, для коррекции алгоритмов потребуется привлечь профильных специалистов и потратить немало времени. Чего-то всегда не хватает… Либо скорости и точности, либо гибкости, доступности и прозрачности настроек для конечного пользователя. Либо система обладает всеми перечисленными свойствами, но требует большого штата специалистов высокого класса.
Скорость работы антифрод-системы подразумевает не только быстроту получения и обработки данных, но и возможность быстрого создания, тестирования их доработки правил анализа по мере появления новых схем мошеннических атак. Это также скорость принятия решения оператором системы. Наконец это скорость масштабирования — ИТ-компоненты системы должны быстро подстраиваться под новые задачи контроля.
Точность работы системы означает выявление максимального количества фрода при минимуме ложных срабатываний.
Под гибкостью и прозрачностью мы понимаем возможность оператора системы (специалиста-аналитика, сотрудника службы безопасности) свободно выбирать данные для анализа, подключая нужные источники, и модифицировать при необходимости модели их математической обработки.
Ответ: Jet Detective!
Особенность Jet Detective — объединение вышеперечисленных свойств в одном решении.
Начнем с производительности. Решение Jet Detective позволяет обрабатывать поток из тысяч событий в секунду в режиме реального времени. И при этом не предъявляет высоких требований к производительности оборудования.
В решении используются технологии Big Data — Apache Hadoop и Apache Spark. Эти технологии позволяют агрегировать в едином хранилище огромные объемы данных, в том числе неструктурированных, и анализировать данные в процессе поступления. Объем хранилища, которое строится на базе кластера серверов стандартной архитектуры, легко увеличивается по мере необходимости — практически до бесконечности. Данные для анализа могут подтягиваться практически из любых систем, включая прикладные отраслевые и ИБ-системы. Это снимает необходимость использовать дорогостоящие реляционные СУБД.
Весь объем данных анализируется с применением как экспертных правил, так и машинно-обученных моделей. При внедрении Jet Detective в решение изначально закладываются комплексы алгоритмов выявления неправомерных действий, разработанные на основании опыт специалистов по борьбе с мошенничеством. При этом собственные эксперты компании-заказчика могут легко модифицировать эти алгоритмы в соответствии с логикой бизнеса либо создавать новые.
Справиться с огромным потоком данных экспертам помогают математические модели. В решении используются три варианта моделей:
- классические модели «с учителем», позволяющие выявлять события, похожие на ранее выявленный фрод;
- модели, нацеленные на выявление аномалий в поведении бизнес-объектов и протекании различных процессов, — как обучаемые, так и экспертные;
- модели контроля бизнес-процессов, направленные на выявление аномалий в технологических и процессных цепочках действий, позволяющие оценивать допустимые отклонения от стандартного проведения той или иной операции или последовательности операций.
Бизнес-объекты, с которыми работает система, представляют собой данные, скомбинированные из различных источников в целостную бизнес-сущность (например, «Клиент», «Платеж», «Точка обслуживания» и т.п.). Система формирует профиль типичного поведения объекта и выявляет отклонения от него. Таким образом обнаруживаются подозрительные события, которые прежде не фиксировались. Бизнес-объект полностью прозрачен для пользователя системы: с помощью наглядного интерфейса тот может посмотреть, с помощью каких атрибутов и данных он описывается. При необходимости пользователь может обогатить объект дополнительными атрибутами (например, данными из внешних систем) или даже создать новый объект. Например, можно свободно добавлять необходимые атрибуты к операции — обогащать данные платежной операции реквизитами сетевого уровня, такими как IP-адреса, параметры браузера и т.д. (рис. 1).
Всякий раз, получая на вход новые данные о различных событиях, система применяет к ним различные методы математического анализа, выбирает те, которые дают наилучший результат, и строит математическую модель. Результаты выявления подозрительных событий проверяет специалист по безопасности, который принимает окончательное решение: является ли данное событие фродом. Так система получает обратную связь и корректирует математическую модель в зависимости от имевших место событий (изменяет весовые коэффициенты событий, применяет другие методы анализа и т.д.).
Одна из уникальных особенностей Jet Detective — использование платформонезависимой модели PMML (Predictive Model Markup Language), международного стандарта представления математических моделей. Это придает системе гибкость: если в компании уже есть модели анализа, сформированные в какой-то другой системе, их можно легко импортировать в Jet Detective. А модели, сформированные системой самостоятельно, при необходимости могут быть скорректированы экспертом в области борьбы с мошенничеством, даже если он не имеет навыков программирования (рис. 2).
Все входящие данные и результаты анализа сохраняются в едином хранилище. В сочетании с удобным интерфейсом просмотра результатов это делает решение Jet Detective эффективным инструментом расследования инцидентов. Интерфейс позволяет оператору системы одновременно анализировать события, происходящие в различных, не связанных между собой системах. А возможность видеть результаты в едином окне минимизирует время принятия экспертного решения (рис. 3).
Применение всех описанных технологий и подходов в совокупности с полной открытостью системы для настройки конечным пользователем позволяет говорить о редких конкурентных преимуществах, основанных не только на совокупной стоимости решения, но и на функциональных возможностях, которые позволяют выявлять мошенничество с минимальными показателями ошибок.