Использование систем мониторинга для выявления банковского фрода Виктор Сердюк Генеральный директор ЗАО «ДиалогНаука»

Презентация:



Advertisements
Похожие презентации
Применение средств мониторинга событий ИБ в качестве инструмента для эффективной защиты от Интернет-угроз Виктор Сердюк, CISSP, Генеральный директор ЗАО.
Advertisements

Особенности создания ситуационных центров по информационной безопасности Виктор Сердюк, CISSP, Генеральный директор ЗАО «ДиалогНаука»
1 Confidential1 Система сбора, обработки и управления событиями ИБ ArcSight ESM Наталья Зосимовская, Компания «Информзащита»
Практические аспекты мониторинга и управления событиями информационной безопасности Виктор Сердюк, CISSP, Генеральный директор ЗАО «ДиалогНаука»
Алексей Сова Информзащита Системы сбора и обработки событий информационной безопасности.
Обеспечение защиты системы ДБО от мошеннических действий Руслан О. Нестеров 16 июня 2010 г.
Практические аспекты выявления целевых атак злоумышленников на базе поведенческого анализа вредоносного кода Виктор Сердюк, к.т.н., CISSP Генеральный директор.
Практика проведения аудитов информационной безопасности на крупных предприятиях Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»
Практический опыт построения системы централизованного мониторинга ИБ в банковской организации на базе решений Oracle Информационная безопасность для компаний.
Разработка ПО Системная интеграция IT-аутсорсинг.
Общедомовой и поквартирный учет тепла, воды, газа и электроэнергии. Простая диспетчеризация на базе ЛЭРС УЧЕТ.
Kaspersky Security 8.0 для SharePoint Server Ключевые возможности и преимущества.
Методы обеспечения безопасности в ДБО Продолжение 4.
АКТУАЛЬНЫЕ РИСКИ И ПОДХОД К ПРОТИВОДЕЙСТВИЮ МОШЕННИЧЕСТВУ В ДБО Александров Илья, CISSP, CISA, PCI&PA QSA Департамент консалтинга и аудита ЗАО НИП «Информзащита»
DATASPHERE Activity Monitor. Факт: С каждым днем сложность ИТ-ландшафта стремительно возрастает Распределенные приложения и процессы Activity Monitor.
«1С:Документооборот 8». Зачем автоматизировать документооборот? Единая информационная база документов Возможность параллельного выполнения операций Непрерывность.
Криптографический шлюз К -. Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность.
Банковское обслуживание физических лиц СберКАССАСберКАССА.
Проблемы и уязвимости в системах ДБО © , Digital Security Digital Security.
Криптографический шлюз К -. Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность.
Транксрипт:

Использование систем мониторинга для выявления банковского фрода Виктор Сердюк Генеральный директор ЗАО «ДиалогНаука»

Необходимость защиты систем ДБО Ежедневно в России фиксируется попыток хищения денежных средств из систем дистанционного банковского обслуживания - в среднем за один раз хакеры пытаются похитить около 400 тысяч рублей Получили распространения все типы атак хищение криптографических ключей «Man in the Middle» «Man in the Browser» Е-token, любые СКЗИ и хранилища ключевой информации, работающие на клиентской рабочей станции не в полной мере эффективны

Рынок решений От производителя системы ДБО зарубежные продукты не учитывают российскую специфику не имеют опыта разработки решений по анализу и корреляции большого количества различных событий От производителей SIEM систем многие не учитывают российскую специфику появляются дополнительные возможности за счет анализа данных системы ДБО, сетевого оборудования, web сервера и пр. Специализированные системы защиты от фрода зарубежные продукты не учитывают российскую специфику не имеют опыта разработки решений по анализу и корреляции большого количества различных событий «Самописанные» системы защиты от фрода Можно получить эффективную систему Главная проблема - они не продаются, нужно все делать самостоятельно

Ключевые требования к системе защиты от фрода Низкий процент ложных срабатываний Низкий процент пропуска мошеннических транзакций Обработка в режиме реального времени Наличие возможности самообучения Возможность блокирования потенциально опасных транзакций Возможность учета российской специфики банковских транзакций Простота использования и интеграции в существующие процессы безопасности Банка Возможность интеграции в существующую ИТ- инфраструктуру Банка

Рынок SIEM решений

Решение по защите от фрода на базе решения ArcSight Набор правил для ведущей системы ArcSight, учитывающих российскую специфику и опробованных в ряде крупных банков Преимущества нашего решения Возможность интеграции с любыми ДБО и АБС, сетевым оборудованием и другими источниками для получения информации о действиях клиента ДБО Неограниченные возможности производительности системы – до 3-4 тысяч транзакций в секунду Наличие уже отработанных на практике наборов правил Наличие огромного опыта внедрения SIEM системы и внедрения систем выявления мошеннических операций

Концепция решения Система выявления мошеннических операций (далее СВМО) осуществляет анализ атрибутов каждого платежного поручения в режиме реального времени на основании данных получаемых из системы ДБО и других систем Банка. На основании результатов такого анализа, СВМО осуществляет расчет коэффициента характеризующего величину риска платежной операции. Система, осуществляющая обработку платежных операций (ДБО, АБС, иная процессинговая система) должна проводить транзакцию или отклонять ее с учетом величины риска конкретной транзакции. Иными словами, функционал АБС или ДБО должен иметь возможность отклонения транзакции при превышении коэффициента риска транзакции определенного порога.

Расчет коэффициента риска платежной операции Расчет риска платежной операции происходит на основании анализа следующих характеристик: Наличие Получателя платежа в списках: Атрибутов получателя «белом списке» Имени получателя в «черном списке» Организации получателя в «черном списке» ИНН, номер счета в «черном списке» Тип платежа: Платеж в федеральный орган Внутрибанковский платеж 222-П Иной платеж По этим признакам, квалифицируется большая часть операций: 70%-80% в зависимости от Банка. «Белый» список формируется автоматически: если операция перевода определенному получателю прошла ранее и не была опротестована, то получатель автоматически попадает «белый» список.

Расчет коэффициента риска платежной операции Расчет риска платежной операции происходит на основании анализа следующих характеристик: Сумма платежа: Низкая/средняя/высокая Больше чем максимально ранее зафиксированная сумма Тип аутентификации и количество попыток аутентификации Атрибуты плательщика (в случае если доступно) IP адрес (новый/старый) MAC адрес (новый/старый) Данные об использовании сервера ДБО пользователем Порядок загрузки страниц/форм системы ДБО Время загрузки страниц/форм Время проведения транзакции Типичное/нетипичное Другие характеристика платежа Множественные транзакции на разных получателей с одинаковым назначением Использование одного шаблона для разных получателей

Расчет риска платежной операции

Схема интеграции

Работы по внедрению Этапы проведения работ по внедрению системы: Обследование - сбор информации о системе ДБО, АБС Разработка технического решения СВМО Установка системы и настройка подключений в ДБО, АБС Обучение системы путем анализа транзакций за 2-3 месяца Опытная эксплуатация системы, настройка пороговых коэффициентов Запуск в промышленную эксплуатацию

ArcSight ESM Архитектура База данных ArcSight Manager TM Сервер обработки событий безопасности SmartConnector FlexConnector Средства получения информации Хранилище данных ArcSight Web TM Web-консоль управления ArcSight Console TM Консоль администрирования

Поддерживаемые устройства Access and Identity Anti-Virus Applications Content Security Database Data Security Firewalls Honeypot Network IDS/IPS Host IDS/IPS Integrated Security Log Consolidation Mail Relay & Filtering Mail Server Mainframe Network Monitoring Operating Systems Payload Analysis Policy Management Router Switch Security ManagementWeb Cache Web ServerVPN Vulnerability MgmtWireless Security Web Filtering

Отказоустойчивая архитектура сбора событий ArcSight Monitoring ArcSight Connector События Централизованное управление/обновление Управление загрузкой канала Heartbeat Поток сжатых событий

–Разделение событий по категориям –Возможность корреляции событий в реальном режиме времени, как по ресурсам, так и по злоумышленникам –Возможности подробного анализа –Возможность создания коррелированных отчетов Визуализация Консоль реального времени Категоризация событий обеспечивает мгновенную идентификацию атаки

Гибкая система отчётности Поиск и анализ трендов Простое создание новых шаблонов Создание графических отчётов Не требует программирование Экспорт в различные форматы HTML, XLS, PDF

Встроенный документооборот Этапы: обработка инцидентов в соответствии с заранее заданным, предназначенном для совместной работы процессом Аннотирование инцидентов для более полного анализа Интеграция со сторонними система документооборота

Спасибо за внимание! Спасибо за внимание , г. Москва, ул. Нагатинская, д. 1 Телефон: +7 (495) Факс: +7 (495)