Искусственный интеллект в антифроде – уже необходимость

Наибольшие риски для информационных ресурсов и бизнес-процессов организации представляют ранее неизвестные типы атак, являющиеся новыми не только для компании, но и для отрасли и экспертов рынка.

Практика реализуемых атак показывает, что добрую половину потерь клиенты и компании несут в первые часы с момента начала атаки. У всех на слуху случаи мошенничества с применением социальной инженерии: компрометация данных клиентов и банковских карт через online-торговые площадки, атаки на АРМ КБР и ИБ-инциденты с вредоносным ПО – шифровальщиками WannaCry и Petya. Срок жизни такой атаки ограничен несколькими параметрами: проведение анализа схемы атаки и причин успешности, выявление потенциальных уязвимостей в технологиях и процессах, настройка контрмер по противодействию новым случаям. В разных ситуациях время реакции разное – от часов до месяцев, но именно сокращение этого периода напрямую влияет на объем ущерба, нанесенного злоумышленниками.

Есть и более сложные случаи в различных сегментах бизнеса, когда факт потерь выявляется через существенный промежуток времени: при инвентаризации или сверке взаиморасчетов, окончании действия банковских услуг (вкладов). В этих случаях оперативное выявление противоправных действий становится более значимой задачей.

Лучше предотвращать, чем устранять

Чтобы решить данную задачу, компаниям из различных отраслей рекомендуется сформировать методологические подходы и экспертную базу. Это будет проще сделать, внедрив одно из антифрод-решений, что позволит, как минимум, уменьшить риски крупных потерь от новой атаки, как максимум – выявить новую схему хищений на этапе подготовки до наступления финансовых потерь.

Говоря о финансовой сфере, классическим способом ограничения крупных рисков здесь является схема использования лимитов. Но она имеет ряд исключений:

• VIP-клиенты зачастую имеют лимиты, которые являются крупным или очень крупным риском;
• лимит можно обойти классическими механизмами, дроблением операций, агрегатными счетами, использованием схем сокрытия действия.

При этом, говоря о классическом Rule-Based-анализе с точки зрения эффективности, не стоит забывать, что он дает высокие результаты при условии наличия у организации высококвалифицированной команды, обеспечивающей работу подобных систем, а также об ограничении области анализа в случае выявления новой схемы.

В решении задач выявления новых типов мошенничества на больших объемах информации, кроссканальности и кроссплатформенности среды реализации хищений высокую эффективность показывают методы машинного обучения с применением элементов искусственного интеллекта. Эффективность доказывается в показателях точности (процент выявленного мошенничества или противоправных действий), полноты (процент выявленных инцидентов относительно общего количества подозрительных событий) и эффективности за счет стоимости эксплуатации, стоимости работы с данными, их хранения в необходимом для анализа объеме.

Выбрать оптимальное антифрод-решение

Сегодня большинство ключевых вендоров рынка антифрод-решений пошли по пути математического моделирования не с позиции создания сложных математических моделей и их управления (фабрик машинного обучения), а с позиции использования интерпретируемых математических моделей, работа которых позволяет сформировать набор логических правил для выявления случая фрода, последовательности неправомерных действий. Эти инструменты помогают повысить скорость реагирования на новую угрозу, на схему мошенничества с точки зрения набора правил по выявлению таких действий. К тому же они позволяют экспертно оценить саму предлагаемую логику (это важно, т.к. на практике около 5–10% условий являются некорректными с точки зрения эксперта), при этом замыкая эти действия не на человека.

Основным преимуществом такого подхода является интерпретируемость результата моделирования (логические правила, которые можно верифицировать). Ключевым минусом является то, что эти системы работают в парадигме выявления свершившихся трендов, что не дает полноценной механики выявления схем, данных, которые не попали в обучающую выборку, на базе которой строится логика.

Решая задачу выявления новых типов мошенничества, для себя мы избрали более обширный подход в работе с математическими моделями. Он нашел отражение в решении Jet Detective.

Jet Detective

Jet Detective работает с различными математическими моделями (Random Forest, Gradient Boosting, Support Vector Machine, нейронная сеть, линейная регрессия, байесова модель, K-means), выбирая наилучшую из них или используя ансамбль.

Стоит отметить, что в выявлении именно новых типов мошенничества наиболее рациональным выглядит подход комбинации классических методов и моделей выявления аномалий в операциях, действиях клиентов и пользователей, событиях ИБ и общей корреляции этих сведений и обучаемых моделей, которые используются для решения подзадач определения метрик качества и метрик реагирования.

Механика построения такой модели позволяет сформировать наибольшее количество аномалий по различным метрикам поведения или просто последовательности событий, а оценку критичности аномалии рационально формировать исходя из оценки этих аномалий по обучающим выборкам, получаемым как по факту анализа результатов этих моделей, так и исходя из зафиксированных фактов фрода в общем виде. Все это позволяет прогнозировать реальные инциденты с высоким показателем оценки риска (скоринга), т.е. в "топе" подозрительных событий.

Применяя такие модели на больших объемах данных по контролю поведения клиентов/сотрудников, аномалии удается замечать в 80% случаев до факта наступления риска, что в зависимости от предметной области/бизнес-процесса может оцениваться в минутах и часах в случае каналов ДБО и платежных сервисов и днях – в случае контроля сотрудников.

В заключение скажу, что применимость именно математического моделирования в области противодействия мошенничеству сегодня разделила потенциальных пользователей на два лагеря: первые уже убедились в эффективности подхода комбинирования технологии Maсhine Learning и элементов Rule-Based-анализа, а вторые только подтверждают факты эффективности. Но при этом период недоверия или скепсиса к подобным методам уже завершен.