В рубрику "В фокусе" | К списку рубрик | К списку авторов | К списку публикаций
Надо отметить, что для развертывания системы обнаружения мошенничества корпоративные приложения должны интегрироваться с "движком" системы обнаружения мошенничества для оценки в реальном масштабе времени риска мошенничества практически каждой транзакции от навигации пользователя и доступа к приложениям к любому изменению профиля, например, изменению адреса, оплаты или необычного поиска конфиденциальной информации. Под приложениями, которые обрабатывают чувствительную (финансовую, конфиденциальную и др.) информацию с применением ИКТ, будем понимать программы (приложения), которые требуют повышенного уровня защиты при обработке информации различного уровня конфиденциальности. Отметим, что если данные приложения скомпрометированы и/или находятся под контролем злоумышленника, то возможны утечки защищаемой информации (персональных данных, финансовой информации и т.п.), что приводит к серьезному ущербу для пользователей, компаний, телекоммуникационной инфраструктуры и сервисов, которые могут входить в национальную платежную систему, электронное правительство, электронное здравоохранение и т.д.
С помощью специализированных атак злоумышленник может достаточно легко обойти широко применяемые системы обеспечения безопасности, оставаясь незамеченным долгое время.
Есть определенное деление путей и методов получения чувствительной информации: работа/дом; вне дома; через иные источники, где может храниться/обрабатываться информация пользователя; путем прямого обмана или введения в заблуждение.
Описывая цели процесса управления уровнем мошенничества, обычно приводят три типичных случая:
FDS использует три механизма для борьбы с фродом: мониторинг*, детектирование** и ответные меры***. Сразу отмечу, что система противодействия мошенничеству, особенно в телеком-отрасли, часто обозначается как FMS/RA (система управления мошенничеством/управления доходами), здесь я буду использовать FDS.
Разнообразие взаимодополняющих технологий мониторинга и обнаружения может помочь компаниям различных отраслей экономики выявлять подозрительные действия пользователей (злоумышленников), распознавать взлом ресурсов, расследовать и реагировать на инциденты в режиме реального времени, проводить эффективное оповещение и управление инцидентами, применять блокировку взломанных активов и более эффективно выстраивать защиту. Таким образом, организация сможет определить, какая комбинация технологий мониторинга и анализа является наиболее подходящей для приемлемого уровня риска, а также определить необходимые технологии защиты.
Как уже говорилось ранее, приложения ИКТ могут быть интегрированы с модулем обнаружения мошенничества, что поможет управлять риском мошенничества при транзакциях. Данные собираются с применением так называемого процесса "fingerprinting", описывающего аппаратно-программное устройство клиента или его профиль поведения. При обнаружении подозрительных транзакций можно запросить повторную или расширенную авторизацию. Идеально, если система защиты проводит мониторинг всей транзакции сразу после положительной авторизации.
При обычных обстоятельствах начальный вход в систему анализируется с присваиванием определенного уровня риска (данные берутся из базы данных уже состоявшихся транзакций клиента – имя, пароль, протокол обмена, геолокация, профиль и т.д.). Модули обнаружения мошенничества, встроенные в сервер приложений, отслеживают работу интернет-приложений и программные интерфейсы.
Внедрение системы обнаружения мошенничества в приложения ИКТ можно описать с помощью одной из трех архитектур:
Подсистема мониторинга позволяет контролировать действия пользователя и обмен данными, которые необходимы для выявления на раннем этапе факта атаки. Интересно, что в рамках системы противодействия мошенничеству считают целесообразным включать системы (подсистемы) DLP и SIEM. Система обнаружения мошенничества также собирает данные о событиях в режиме реального времени, что позволяет проанализировать проблему "на лету".
Процесс объединения (агрегации) и сбора данных должен поддерживать разнообразные источники, в том числе сети связи, устройства безопасности, серверы, базы данных и журналы приложений, а также отчеты системы IdM.
Мониторинг не в реальном масштабе времени требуется проводить вручную или с помощью полуавтоматической проверки лог-файлов (файлов журналирования).
Мониторинг в реальном времени проводит контроль всех транзакций (например, протокола HTTP), используя специализированный фильтр Web-сервера. В этом случае нет требований имплементации дополнительных модулей в существующие приложения. При этом можно использовать и внешние приложения для такой фильтрации, что позволяет также избежать дорогостоящей разработки и имплементации. Мультиканальная агрегация данных означает, что информация о проведенных транзакциях от разных каналов должна быть в полном объеме включена в процессы обнаружения фактов мошенничества.
Система обнаружения мошенничества требует сбор данных от различных типов источников. Классификация данных, приложений, типов клиентов и т.п. разрабатывается в настоящее время в рамках рабочей группы.
Мониторинг активности баз данных позволяет контролировать действия зарегистрированных пользователей, а также самого администратора(ов). Также для мониторинга транзакций и работы приложений используются базы данных "плохих" IP-адресов, DNS-контроль, МАС-контроль (IMEI, IMSI), контроль социальных сетей, чатов и т.п. Популярным решением стало использование систем IPDS с предустановленными правилами, а также межсетевых экранов (МЭ) следующего поколения, МЭ уровня приложений и т.п.
Необходимо отметить, что процесс детектирования фрода (мошенничества) должен проводиться для пользователя незаметно (прозрачно). Тонкий тюнинг системы позволяет понять реальный риск и снижает уровень ложных срабатываний системы.
Большинство предлагаемых на рынке средств противодействия фроду использует набор подтвержденных правил действий злоумышленника и/или правил работ легального пользователя. При этом, конечно, существует возможность создавать и имплантировать новые правила в существующую систему. Интересным (не новым) свойством систем является возможность выгружать правила контроля для обмена информацией между организациями (обычно одной отрасли и направления бизнеса). Например, большинство систем защиты от фрода с кредитными карточками так и работают.
Можно приводить много необходимых и достаточных механизмов работы системы противодействия мошенничеству, в том числе и аутентификацию самих аналитиков и администраторов систем, подсистем расчета рисков (с ранжированием), работа "песочниц" ПО, требования к генераторам отчетов и алармов, уровни блокирования пользователей по уровням, принципы обмена информацией (типа CYBEX). Необходимо помнить, что при выборе системы необходимо понимать, а нужна ли она. Может, все можно сделать административными методами и выстраиванием прозрачных бизнес-процессов?
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2014