Немного о противодействии мошенничеству
В рубрику "В фокусе" | К списку рубрик | К списку авторов | К списку публикаций
Немного о противодействии мошенничеству
Проблема противодействия мошенничеству – тема не новая. К сожалению, реальные аресты злоумышленников можно пересчитать по пальцам одной руки. При этом в статье хотелось бы не столько поговорить о мошенничестве с точки зрения хищения или приобретения права на чужое имущество путем обмана или злоупотребления доверием, сколько рассмотреть возможности, необходимые для обнаружения самих фактов мошенничества.
Дмитрий Костров
Член правления АРСИБ, вице-председатель подгруппы
в сфере либерализации (LSG) TEL APEC (АТЭС),
ассоциированный репортер исследовательской комиссии 17
(Безопасность) МСЭ-Т, директор департамента
информационно-коммуникационных технологий, ЗАО Энвижн Груп
Член правления АРСИБ, вице-председатель подгруппы
в сфере либерализации (LSG) TEL APEC (АТЭС),
ассоциированный репортер исследовательской комиссии 17
(Безопасность) МСЭ-Т, директор департамента
информационно-коммуникационных технологий, ЗАО Энвижн Груп
Последствия мошенничества
В телекоме фрод связан с умышленной деятельностью лиц в сетях связи (в том числе мошеннической), которая представляет собой неправомерное получение услуг и использование ресурсов оператора связи без надлежащей их оплаты, а также неправомерный доступ к любой конфиденциальной информации оператора (в том числе с целью извлечения дохода) и другие действия, направленные на причинение убытков и иного вреда оператору.
Надо отметить, что для развертывания системы обнаружения мошенничества корпоративные приложения должны интегрироваться с "движком" системы обнаружения мошенничества для оценки в реальном масштабе времени риска мошенничества практически каждой транзакции от навигации пользователя и доступа к приложениям к любому изменению профиля, например, изменению адреса, оплаты или необычного поиска конфиденциальной информации. Под приложениями, которые обрабатывают чувствительную (финансовую, конфиденциальную и др.) информацию с применением ИКТ, будем понимать программы (приложения), которые требуют повышенного уровня защиты при обработке информации различного уровня конфиденциальности. Отметим, что если данные приложения скомпрометированы и/или находятся под контролем злоумышленника, то возможны утечки защищаемой информации (персональных данных, финансовой информации и т.п.), что приводит к серьезному ущербу для пользователей, компаний, телекоммуникационной инфраструктуры и сервисов, которые могут входить в национальную платежную систему, электронное правительство, электронное здравоохранение и т.д.
С помощью специализированных атак злоумышленник может достаточно легко обойти широко применяемые системы обеспечения безопасности, оставаясь незамеченным долгое время.
Методы получения информации
Есть определенное деление путей и методов получения чувствительной информации: работа/дом; вне дома; через иные источники, где может храниться/обрабатываться информация пользователя; путем прямого обмана или введения в заблуждение.
Описывая цели процесса управления уровнем мошенничества, обычно приводят три типичных случая:
- детектирование "захвата" аккаунта, который случается при краже данных пользователя или с применением специализированных вредоносных программ (атаки типа man-in-the-middle (MITM) или man in the browser);
- детектирование возникновения мошеннического аккаунта, который также возникает при краже данных пользователя или с применением специализированных вредоносных программ;
- детектирование использования украденного платежного аккаунта (ворованные кредитные карты при совершении покупки).
Система обнаружения мошенничества (FDS – fraud detection system) – программный или программно-аппаратный комплекс, обеспечивающий мониторинг, обнаружение и управление уровнем фрода, а также другими проблемами киберзопасности, связанными с деятельностью пользователей/клиентов, их счетов, используемых услуг/продуктов, каналов продаж и т.п.
FDS использует три механизма для борьбы с фродом: мониторинг*, детектирование** и ответные меры***. Сразу отмечу, что система противодействия мошенничеству, особенно в телеком-отрасли, часто обозначается как FMS/RA (система управления мошенничеством/управления доходами), здесь я буду использовать FDS.
Разнообразие взаимодополняющих технологий мониторинга и обнаружения может помочь компаниям различных отраслей экономики выявлять подозрительные действия пользователей (злоумышленников), распознавать взлом ресурсов, расследовать и реагировать на инциденты в режиме реального времени, проводить эффективное оповещение и управление инцидентами, применять блокировку взломанных активов и более эффективно выстраивать защиту. Таким образом, организация сможет определить, какая комбинация технологий мониторинга и анализа является наиболее подходящей для приемлемого уровня риска, а также определить необходимые технологии защиты.
Внедрение системы обнаружения мошенничества в приложения ИКТ
Как уже говорилось ранее, приложения ИКТ могут быть интегрированы с модулем обнаружения мошенничества, что поможет управлять риском мошенничества при транзакциях. Данные собираются с применением так называемого процесса "fingerprinting", описывающего аппаратно-программное устройство клиента или его профиль поведения. При обнаружении подозрительных транзакций можно запросить повторную или расширенную авторизацию. Идеально, если система защиты проводит мониторинг всей транзакции сразу после положительной авторизации.
При обычных обстоятельствах начальный вход в систему анализируется с присваиванием определенного уровня риска (данные берутся из базы данных уже состоявшихся транзакций клиента – имя, пароль, протокол обмена, геолокация, профиль и т.д.). Модули обнаружения мошенничества, встроенные в сервер приложений, отслеживают работу интернет-приложений и программные интерфейсы.
Внедрение системы обнаружения мошенничества в приложения ИКТ можно описать с помощью одной из трех архитектур:
- модуль обнаружения мошенничества размещен в сервере приложения – правила контроля (их базы данных правил компании) начинают работать с протоколом передачи гипертекста HTTP до того, как транзакция будет подтверждена (проведена). Сделки могут быть остановлены и/или перенаправлены на дополнительную проверку. Некоторые производители предоставляют собственные плагины для серверов приложений;
- "режим прослушивания", или мониторинг приложений ИКТ – в этом режиме приложение слушает ("снифферит") входные данные или сетевой трафик протокола HTTP – или считывание данных с помощью плагинов, развернутых на серверах приложений. Данные считываются в режиме реального времени (сниффер) или в режиме "почти" реального времени (плагин на сервере приложений) и подаются в другое приложение системы в специальном формате. В последнем случае подозрительные транзакции попадают в специальную очередь для отработки специалиста-аналитика;
- встраивание в "старые" (существующие) приложения – данный режим использует API для контроля за всеми (необходимыми) транзакциями и перенаправления данных в модуль детектирования мошенничества. Конечно, надо понимать, что использование такого режима приведет к созданию множества самописных приложений и затратит достаточно много времени.
Технические возможности системы детектирования
Подсистема мониторинга позволяет контролировать действия пользователя и обмен данными, которые необходимы для выявления на раннем этапе факта атаки. Интересно, что в рамках системы противодействия мошенничеству считают целесообразным включать системы (подсистемы) DLP и SIEM. Система обнаружения мошенничества также собирает данные о событиях в режиме реального времени, что позволяет проанализировать проблему "на лету".
Мониторинг
Процесс объединения (агрегации) и сбора данных должен поддерживать разнообразные источники, в том числе сети связи, устройства безопасности, серверы, базы данных и журналы приложений, а также отчеты системы IdM.
Общеизвестно, что многие мошенники (злоумышленники) при совершении атак могут открывать новые фальшивые онлайн-счета, таким образом, они могут пользоваться чужими финансовыми средствами, телекоммуникационными услугами, брать онлайн-кредиты и т.п. Сейчас стало модным выделять атаки на жертв по отраслям с использованием подмененных адресов отправителя (spear-phishing e-mails), рекламных рассылок, надеясь, что попадутся неопытные пользователи.
Мониторинг не в реальном масштабе времени требуется проводить вручную или с помощью полуавтоматической проверки лог-файлов (файлов журналирования).
Мониторинг в реальном времени проводит контроль всех транзакций (например, протокола HTTP), используя специализированный фильтр Web-сервера. В этом случае нет требований имплементации дополнительных модулей в существующие приложения. При этом можно использовать и внешние приложения для такой фильтрации, что позволяет также избежать дорогостоящей разработки и имплементации. Мультиканальная агрегация данных означает, что информация о проведенных транзакциях от разных каналов должна быть в полном объеме включена в процессы обнаружения фактов мошенничества.
Система обнаружения мошенничества требует сбор данных от различных типов источников. Классификация данных, приложений, типов клиентов и т.п. разрабатывается в настоящее время в рамках рабочей группы.
Мониторинг активности баз данных позволяет контролировать действия зарегистрированных пользователей, а также самого администратора(ов). Также для мониторинга транзакций и работы приложений используются базы данных "плохих" IP-адресов, DNS-контроль, МАС-контроль (IMEI, IMSI), контроль социальных сетей, чатов и т.п. Популярным решением стало использование систем IPDS с предустановленными правилами, а также межсетевых экранов (МЭ) следующего поколения, МЭ уровня приложений и т.п.
Необходимо отметить, что процесс детектирования фрода (мошенничества) должен проводиться для пользователя незаметно (прозрачно). Тонкий тюнинг системы позволяет понять реальный риск и снижает уровень ложных срабатываний системы.
А нужна ли система?
Большинство предлагаемых на рынке средств противодействия фроду использует набор подтвержденных правил действий злоумышленника и/или правил работ легального пользователя. При этом, конечно, существует возможность создавать и имплантировать новые правила в существующую систему. Интересным (не новым) свойством систем является возможность выгружать правила контроля для обмена информацией между организациями (обычно одной отрасли и направления бизнеса). Например, большинство систем защиты от фрода с кредитными карточками так и работают.
Можно приводить много необходимых и достаточных механизмов работы системы противодействия мошенничеству, в том числе и аутентификацию самих аналитиков и администраторов систем, подсистем расчета рисков (с ранжированием), работа "песочниц" ПО, требования к генераторам отчетов и алармов, уровни блокирования пользователей по уровням, принципы обмена информацией (типа CYBEX). Необходимо помнить, что при выборе системы необходимо понимать, а нужна ли она. Может, все можно сделать административными методами и выстраиванием прозрачных бизнес-процессов?
___________________________________________
* Под мониторингом будем понимать возможность системы контролировать возникающие аномалии (изменения профилей пользователей), поведение приложений как на уровне приложений, так и на сетевом уровне. Мониторится (с применением специализированных правил и статистических моделей) изменение самого аккаунта, частоты транзакций и геолокация местонахождения клиента.
** Под детектированием будем понимать возможности системы FDS добывать, разбирать и анализировать большие объемы неструктурированных данных. Система использует политики, основанные на предустановленных правилах, как с применением работы оператора, так и на специализированных математических моделях.
*** Под ответными мерами будем понимать проактивные и реактивные меры, проводимые подразделениями обеспечения безопасности.
* Под мониторингом будем понимать возможность системы контролировать возникающие аномалии (изменения профилей пользователей), поведение приложений как на уровне приложений, так и на сетевом уровне. Мониторится (с применением специализированных правил и статистических моделей) изменение самого аккаунта, частоты транзакций и геолокация местонахождения клиента.
** Под детектированием будем понимать возможности системы FDS добывать, разбирать и анализировать большие объемы неструктурированных данных. Система использует политики, основанные на предустановленных правилах, как с применением работы оператора, так и на специализированных математических моделях.
*** Под ответными мерами будем понимать проактивные и реактивные меры, проводимые подразделениями обеспечения безопасности.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2014
