Внедрение и эксплуатации антифрод-решения Jet Detective
Информационная безопасность Информационная безопасность

Компания «Инфосистемы Джет» создала собственное антифрод-решение Jet Detective с использованием технологий машинного обучения

Главная>Информационная безопасность>Jet Detective — новое слово в индустрии антифрод-систем
Информационная безопасность Тренд

Jet Detective — новое слово в индустрии антифрод-систем

Дата публикации:
26.05.2017
Посетителей:
1468
Просмотров:
1644
Время просмотра:
2.3

Авторы

Автор
Алексей Сизов Руководитель департамента противодействия мошенничеству центра прикладных систем безопасности «Инфосистемы Джет»
Достаточно ознакомиться с любым специализированным отчетом, чтобы убедиться: несмотря на все усилия производителей средств защиты, международных организаций по стандартизации в сфере ИБ и корпоративных служб безопасности статистика мошенничества продолжает расти, равно как и статистика убытков, понесенных компаниями разных сфер от действий мошенников.

 

 

Продуктов и решений для борьбы с мошенничеством на рынке много, причем действительно хороших, высокотехнологичных и действенных. Однако зачастую их внедрение дает компании лишь временную передышку — мошенники все равно находят уязвимые точки и возобновляют атаки. В результате компания, вложившая значительные средства в механизмы защиты, по-прежнему рискует стать жертвой мошенников. Напрашивается вывод: получается, существующие технологии борьбы с мошенничеством недостаточны? В чем причина? Попробуем разобраться.

 

Источники фрод-рисков

 

Работа современной компании все более приближается (или уже перешла) к режиму онлайн. Продажи товаров и услуг, банковское обслуживание, логистика, учет продукции и многое другое осуществляются в режиме реального времени. Прием и подтверждение заказа, финансовые транзакции и прочие операции должны выполняться без промедления – не всякий клиент согласится сидеть и ждать, пока он сам и его действия будут проверены. Следовательно, принятие решения о том, является ли действие правомерным, должно приниматься в режиме реального времени. А способна ли ваша антифрод-система анализировать множество событий в онлайн-режиме и выдавать результат настолько точный, чтобы на его основании можно было блокировать только нелегитимные действия, не создавая дискомфорт пользователям?

Стремительное развитие информационных технологий тоже является одним из факторов риска. Отказаться от технологических инноваций современная компания не может, иначе она потеряет конкурентные преимущества. Но при нынешних темпах внедрения новых технологий специалисты по безопасности физически не успевают проработать необходимые контрольные процедуры и механизмы защиты. Одним из характерных примеров является мобильный банкинг, схема защиты которого зачастую остается такой же, как у интернет-банкинга, а значит, недостаточной. Готова ли ваша антифрод-система к появлению в бизнесе новых технологий, способна ли она выявлять мошенничество в новых каналах?

 

Быстро развиваются не только технологии, но и сам бизнес. Появляются новые бизнес-модели, новые бизнес-процессы, новые категории услуг. Возникают новые риски и дополнительные потоки событий, которые должны анализироваться на предмет выявления неправомерных. Должны меняться и сами правила (алгоритмы) анализа. Позволяет ли ваша антифрод-система быстро подключить дополнительные источники данных и внести нужные изменения в алгоритмы анализа?

 

Серьезную проблему представляют методы социальной инженерии, которые злоумышленники все чаще используют в схемах атак на клиентов и сотрудников компаний. При этом сами методы социальной инженерии совершенствуются. Например, еще вчера социальная инженерия использовалась исключительно для того, чтобы получить часть данных клиента, а сама атака проводилась в режиме «без клиента». Сегодня ее методы направлены та то, чтобы заставить самого клиента (или другого легитимного пользователя информационной системы) совершить неправомерную операцию. И хорошо, если дело ограничится одной операцией. Современная социальная инженерия часто становится способом получить полный доступ к счету или платежному инструменту, сводя на нет технические средства защиты от злоумышленников.

 

Конечно, с социальной инженерией можно бороться, повышая корпоративную культуру информационной безопасности и просвещая своих клиентов. Но люди беспечные, забывчивые и просто наивные всегда были и будут, и с этим придется считаться.

 

Умеет ли ваша антифрод-система отлавливать ошибки легитимных пользователей? И насколько она умеет фиксировать сами попытки внешнего влияния на их действия?

 

Наконец, существует проблема ресурсов. Бизнес использует большое количество различных информационных систем. О мошенничестве, как правило, свидетельствует не одно событие, а их совокупность в разных системах, причем иногда даже не только тех, что расположены внутри периметра компании, но и внешних. Чем больше данных о событиях – текущих и исторических — мы можем сохранить и проанализировать, тем с большей точностью мы можем выявлять случаи мошенничества. Но достаточно ли у компании ресурсов, человеческих и технических, чтобы хранить и обрабатывать терабайты данных?

 

Каков он, универсальный антифрод?

 

Имея большой опыт внедрения и эксплуатации антифрод-решений разных вендоров в компаниях различных сфер деятельности, мы можем утверждать, что ни одна существующая антифрод-система не позволяет дать утвердительные ответы на все поставленные вопросы. Но цель именно в том, чтобы решать все эти задачи сразу. Да, есть высокопроизводительные системы, способные выявлять фрод в режиме онлайн, но они не позволяют быстро менять или корректировать модели данных. Есть системы, умеющие самостоятельно формировать алгоритмы анализа данных с помощью механизмов машинного обучения. Но если при изменении бизнес-процессов или, например, условий предоставления услуг такая система начнет ошибаться, для коррекции алгоритмов потребуется привлечь профильных специалистов и потратить немало времени. Чего-то всегда не хватает… Либо скорости и точности, либо гибкости, доступности и прозрачности настроек для конечного пользователя. Либо система обладает всеми перечисленными свойствами, но требует большого штата специалистов высокого класса.

 

Скорость работы антифрод-системы подразумевает не только быстроту получения и обработки данных, но и возможность быстрого создания, тестирования их доработки правил анализа по мере появления новых схем мошеннических атак. Это также скорость принятия решения оператором системы. Наконец это скорость масштабирования — ИТ-компоненты системы должны быстро подстраиваться под новые задачи контроля.

 

Точность работы системы означает выявление максимального количества фрода при минимуме ложных срабатываний.

 

Под гибкостью и прозрачностью мы понимаем возможность оператора системы (специалиста-аналитика, сотрудника службы безопасности) свободно выбирать данные для анализа, подключая нужные источники, и модифицировать при необходимости модели их математической обработки.

 

Ответ: Jet Detective!

 

Особенность Jet Detective — объединение вышеперечисленных свойств в одном решении.

 

Начнем с производительности. Решение Jet Detective позволяет обрабатывать поток из тысяч событий в секунду в режиме реального времени. И при этом не предъявляет высоких требований к производительности оборудования.

 

В решении используются технологии Big Data — Apache Hadoop и Apache Spark. Эти технологии позволяют агрегировать в едином хранилище огромные объемы данных, в том числе неструктурированных, и анализировать данные в процессе поступления. Объем хранилища, которое строится на базе кластера серверов стандартной архитектуры, легко увеличивается по мере необходимости — практически до бесконечности. Данные для анализа могут подтягиваться практически из любых систем, включая прикладные отраслевые и ИБ-системы. Это снимает необходимость использовать дорогостоящие реляционные СУБД.

 

Весь объем данных анализируется с применением как экспертных правил, так и машинно-обученных моделей. При внедрении Jet Detective в решение изначально закладываются комплексы алгоритмов выявления неправомерных действий, разработанные на основании опыт специалистов по борьбе с мошенничеством. При этом собственные эксперты компании-заказчика могут легко модифицировать эти алгоритмы в соответствии с логикой бизнеса либо создавать новые.

 

Справиться с огромным потоком данных экспертам помогают математические модели. В решении используются три варианта моделей:

 

  • классические модели «с учителем», позволяющие выявлять события, похожие на ранее выявленный фрод;
  • модели, нацеленные на выявление аномалий в поведении бизнес-объектов и протекании различных процессов, — как обучаемые, так и экспертные;
  • модели контроля бизнес-процессов, направленные на выявление аномалий в технологических и процессных цепочках действий, позволяющие оценивать допустимые отклонения от стандартного проведения той или иной операции или последовательности операций.

 

Бизнес-объекты, с которыми работает система, представляют собой данные, скомбинированные из различных источников в целостную бизнес-сущность (например, «Клиент», «Платеж», «Точка обслуживания» и т.п.). Система формирует профиль типичного поведения объекта и выявляет отклонения от него. Таким образом обнаруживаются подозрительные события, которые прежде не фиксировались. Бизнес-объект полностью прозрачен для пользователя системы: с помощью наглядного интерфейса тот может посмотреть, с помощью каких атрибутов и данных он описывается. При необходимости пользователь может обогатить объект дополнительными атрибутами (например, данными из внешних систем) или даже создать новый объект. Например, можно свободно добавлять необходимые атрибуты к операции — обогащать данные платежной операции реквизитами сетевого уровня, такими как IP-адреса, параметры браузера и т.д. (рис. 1).

Рисунок 1. Легкое управление внутренней структурой данных:
от создания новых объектов до управления схемой их наполнения.

Всякий раз, получая на вход новые данные о различных событиях, система применяет к ним различные методы математического анализа, выбирает те, которые дают наилучший результат, и строит математическую модель. Результаты выявления подозрительных событий проверяет специалист по безопасности, который принимает окончательное решение: является ли данное событие фродом. Так система получает обратную связь и корректирует математическую модель в зависимости от имевших место событий (изменяет весовые коэффициенты событий, применяет другие методы анализа и т.д.).

 

Одна из уникальных особенностей Jet Detective — использование платформонезависимой модели PMML (Predictive Model Markup Language), международного стандарта представления математических моделей. Это придает системе гибкость: если в компании уже есть модели анализа, сформированные в какой-то другой системе, их можно легко импортировать в Jet Detective. А модели, сформированные системой самостоятельно, при необходимости могут быть скорректированы экспертом в области борьбы с мошенничеством, даже если он не имеет навыков программирования (рис. 2).

Рисунок 2. Модели, сформированные системой самостоятельно, при необходимости могут быть скорректированы экспертом в области борьбы с мошенничеством.

Все входящие данные и результаты анализа сохраняются в едином хранилище. В сочетании с удобным интерфейсом просмотра результатов это делает решение Jet Detective эффективным инструментом расследования инцидентов. Интерфейс позволяет оператору системы одновременно анализировать события, происходящие в различных, не связанных между собой системах. А возможность видеть результаты в едином окне минимизирует время принятия экспертного решения (рис. 3).

Рисунок 3. Удобный интерфейс позволяет оператору системы одновременно анализировать события, происходящие в различных каналах.

Применение всех описанных технологий и подходов в совокупности с полной открытостью системы для настройки конечным пользователем позволяет говорить о редких конкурентных преимуществах, основанных не только на совокупной стоимости решения, но и на функциональных возможностях, которые позволяют выявлять мошенничество с минимальными показателями ошибок.

Уведомления об обновлении тем – в вашей почте

Взломай свою офисную АТС до того, как это сделают другие

Современные компании для организации связи все чаще используют офисные автоматические телефонные станции (УАТС или Private Branch Exchange, PBX), обладающие большим количеством «продвинутых» функций. Одновременно с этим, одним из наиболее распространенных видов мошенничества (фрода) для операторов фиксированной связи остается взлом и использование PBX их клиентов для совершения бесплатных вызовов.

И заборы «истончились», и мошенники наловчились

Звонит мне как-то представитель одного из банков, клиентом которого я являюсь. Сперва просит полностью представиться, затем – назвать дату рождения и наконец – кодовое слово.

А слона в кустах и не заметил...

Компании, оказывающие услуги физическим или юридическим лицам, т.е. имеющие большую клиентскую базу, сталкиваются с мошенничеством практически каждый день

Социальные сети на службе у мошенников

Банки фиксируют всплеск активности мошенников, использующих методы социальной инженерии для обмана клиентов банков.

Мошенники не пройдут, или Выявление мошенничества с помощью RSA Transaction Monitoring

Мир интернет-мошенничества непрерывно меняется. Новейшие угрозы, такие как атака "человек посередине" (Man-in-the-Middle, или MITM) и троянские программы класса"человек в браузере" (Man-in-the-Browser), быстро развиваются и становятся все более широко распространёнными.

Системы Business Assurance как средство борьбы с фродом

Как известно, аббревиатура АСУ ТП расшифровывается как «Автоматизированная система управления технологическими процессами». Нужно подчеркнуть, что автоматизированная не означает автоматическая.

«Хотите защититься? Заведите «сейф» для мобильного банковского приложения»

Евгений Горбачев, начальник управления информационной безопасности Департамента по обеспечению безопасности Банка Москвы

О банковском мошенничестве в целом и многообразии внутреннего в частности

Как автоматизировать контроль прав линейных сотрудников банка? Что лежит в основе моделей выявления аномального поведения? От чего зависит безопасность банковских бизнес-операций?

Использование омниканального подхода в ретейле

До второй половины двадцатого века розничная торговля была сосредоточена на экспансивном развитии – на охвате новой аудитории за счет территориального расширения. Наступление ближе к концу двадцатого века эпохи информации и ИТ привело к необходимости смены приоритетов. Динамическая экспансия достигла своего предела, охват платежеспособной аудитории приобрел транснациональный масштаб, всё это происходило на фоне бурного развития коммуникационных технологий вообще и сети Интернет в частности.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня