что такое антифрод и с чем его едят
Как не ошибиться в выборе антифрода
Для защиты от мошеннических действий давно и с успехом применяются системы класса «антифрод». Однако мало кто знает, что существуют разные типы таких продуктов, причём каждый из них отличается определёнными особенностями. Мы попробуем разобраться в том, для каких ситуаций необходимо использовать тот или иной вариант антифрода, и узнаем, чем хорош продукт браузерного типа Web Antifraud.
Введение
Система «антифрод» (от англ. anti-fraud — «против мошенничества») разрабатывается, как следует из названия, для обнаружения и предотвращения мошеннических действий. Первоначально такие системы стали активно применяться российскими банками в 2011–2012 годах, после того как произошли первые крупномасштабные кибератаки на системы дистанционного банковского обслуживания. Впоследствии механизмы антифрода оказались востребованными и в других сферах, например в розничной и электронной торговле, системах клиентской лояльности, игровых сервисах, контекстной рекламе, страховании, ЖКХ и т. д. В целом, подобные платформы актуальны там, где происходят транзакции и товарообмен в онлайн-режиме.
Антифрод-системы имеют механизмы предназначенные для оценки финансовых или других видов транзакций в интернете на предмет подозрительности с точки зрения мошенничества и предлагающие различные варианты реагирования. Как правило, антифрод состоит из стандартных и уникальных правил, фильтров и списков, по которым и проверяется каждая транзакция, т. е. используется сигнатурное выявление нелегитимных операций. Также активно применяется технология машинного обучения, позволяющая обучать антифрод на данных от заказчиков и выявлять закономерности.
Классы антифрод-систем
Существуют два типа антифрод-систем. Первый предназначен для анализа транзакций (платежей). Чаще всего его называют транзакционным антифродом. Основной особенностью такой системы является использование сигнатурного метода выявления мошеннических действий и / или применение машинного обучения на огромном количестве финансовых операций или действий сотрудников.
Сигнатурный метод основан на использовании определённых правил. Данный подход базируется на срабатывании триггеров в соответствии с заранее описанной логикой. К подобным фильтрам относятся слишком крупные или частые транзакции, транзакции в нетипичных и нелогичных местах геолокации и другие сомнительные действия, которые, очевидно, нуждаются в дополнительной проверке. Для выявления мошеннической операции нередко применяются комбинации сигнатур. Современная антифрод-система имеет в своём арсенале несколько сотен подобных правил. Однако у подобного метода есть недостатки — например, необходимость постоянной доработки старых правил и создания новых.
Подход основанный на машинном обучении заключается в обработке больших массивов данных и в реализации алгоритмов, которые выявляют скрытые корреляции между действиями пользователя и вероятностью мошенничества. Например, в банках берётся база прошлых транзакций с отмеченными в ней операциями, которые были заблокированы (скажем, переводы денежных средств без согласия клиента), и в ходе обучения антифрод выявляет закономерности, которые привели к блокировке. В дальнейшем он сможет самостоятельно выявлять и блокировать аналогичные транзакции.
Рисунок 1. Пример работы транзакционного антифрода
Второй класс систем — это так называемый браузерный, или сессионный, антифрод. В отличие от первого типа он не выявляет аномалии среди транзакций или других операций. Сессионный антифрод собирает различную техническую информацию о сеансе работы пользователя, например сведения об устройстве, с которого был произведён платёж, данные о соединении, по которому передавалась информация, параметры поведения пользователя (каким образом были произведены нажатия на клавиши, как перемещался курсор и как делались щелчки мышью, положение смартфона в руках и другие действия).
Кроме того, браузерный антифрод в отличие от транзакционного позволяет выявить кражу учётных записей, например в результате фишинговой атаки или утечки данных, а также определить, что аккаунт принадлежит злоумышленнику, ещё на самом раннем этапе, когда кибермошенник только делает попытку зарегистрироваться в системе.
Рисунок 2. Перечень технических сведений о пользователе в браузерном антифроде
Данный тип антифрода анализирует большое количество технических данных и различных нюансов поведения пользователя с использованием устройств. Все эти процедуры не реализованы в транзакционных антифрод-системах. Из-за сложности при разработке механизмов работы сессионных антифродов данный класс систем меньше представлен на рынке.
Критерии выбора антифрод-системы
Каждый класс антифрод-систем анализирует свой набор данных, а значит, для того чтобы добиться максимально полной защиты от мошенничества на основе поведения пользователя, сбора информации об его устройстве и транзакциях, следует использовать оба вида антифрод-систем одновременно.
К числу заказчиков, для которых будет актуально использование обоих видов антифрода (браузерного и транзакционного), могут относиться банки, платёжные сервисы, криптобиржи, брокеры, сервисы обмена электронных валют, сервисы бонусных программ, другие финансовые платформы — то есть те компании, у которых есть системы внутренних переводов денег или управления бонусами.
Однако не всем компаниям обязательно использовать тандем из двух видов. Есть типы заказчиков, которые могут обойтись одним лишь браузерным (сессионным) антифродом, например микрофинансовые и микрокредитные организации (МФО / МКО), устроители промоакций (CRM-агентства), интернет-магазины. Это — те компании, которые предлагают клиентам личный кабинет на сайте, но в то же время не имеют систем внутренних платежей. Также это — предприятия, которые получают запросы от новых клиентов: заявки на получение займов, заказы в интернет-магазине.
Продукт Web Antifraud, разработанный одноимённой компанией, является представителем класса браузерных антифрод-систем и позволяет реализовать механизм мониторинга и анализа действий пользователей для выявления мошенничества на сайтах заказчиков, т. е. при использовании личного кабинета, а также при управлении заявками и заказами от новых клиентов.
Давайте теперь попробуем разобраться в том, по каким критериям следует выбирать антифрод-систему. Пожалуй, большое внимание следует обратить на цену. Несомненно, что в эту сумму помимо стоимости самого продукта должны входить работы по внедрению, обучение администраторов системы и другие сопутствующие расходы. Антифрод не должен стоить дороже, чем ущерб от мошеннических действий, иначе его применение будет невыгодным. Например, если подписка на систему приобретена на год, то потенциальная сумма ущерба также оценивается за этот срок.
Если оценивать антифрод-системы по функциональным возможностям, которые используются для определения уровня риска, то наиболее объективными показателями будут те, по которым можно сделать конкретные выводы об инциденте — например, используется ли прокси-сервер при доступе к сайту, возможен ли удалённый доступ к устройству, то есть те показатели, о которых можно судить вполне точно.
Если используется механизм для расчёта оценки (скоринговая модель), то на основе подсчитанных цифр трудно сделать вывод о реальности инцидента. Обычно принцип подсчёта баллов недоступен пользователю, в связи с чем нет возможности определить, из чего складывается конкретная сумма. С одной стороны, это упрощает процесс реагирования (например, если больше 75 баллов из 100, то это мошенник, если ниже, то нет), но точность принятия решений и анализа рисков будет ниже, а следовательно, будет сложнее проводить расследования.
Ещё одним фактором, влияющим на выбор антифрода, является использование машинного обучения в системе. Это позволяет выявлять риски на основе анализа большого объёма данных и выявлять закономерности с помощью искусственного интеллекта.
Также важным параметром антифрод-системы является отсутствие необходимости сбора конфиденциальных и персональных данных клиентов. Это позволит предотвратить потенциальную утечку критически важных данных в открытый доступ в результате возможных несанкционированных действий или по другим причинам, что обезопасит от имиджевого и финансового ущерба, а также избавит от необходимости получать согласие клиента для обработки его персональных данных третьей стороной.
Однако при выборе антифрода любому заказчику необходимо отдавать себе отчёт в том, что ни одна система не может защитить ото всех атак. Основная задача эффективной антифрод-системы — сделать атаку настолько сложной и затратной, чтобы злоумышленник отказался от данной цели и переключился на другие, более доступные системы.
На данный момент на рынке существуют разные продукты, подходящие подо все или большинство из вышеуказанных критериев. Очень часто эффективность работы того или иного антифрода зависит от внутренних алгоритмов системы, которые разработчики не раскрывают. При этом нужно понимать, что разные продукты на разных сайтах и в разных информационных системах будут показывать разную эффективность. Поэтому очень важным для заказчика моментом является проведение сравнительного пилотного тестирования нескольких продуктов в собственной инфраструктуре перед тем, как сделать окончательный выбор.
Архитектура антифрод-системы
Web Antifraud, как уже было сказано, является сессионной (браузерной) антифрод-системой, которая рассчитана главным образом на следующие категории заказчиков:
Также данный продукт подойдёт и для других платформ, в которых аккаунты клиентов представляют ценность для мошенников.
Web Antifraud сочетает в себе несколько ключевых функций: анализ устройства, анализ поведения, выявление вредоносных программ, проверку возможной связи между аккаунтами пользователей.
Анализ устройств заключается в сборе более чем 100 технических характеристик устройства пользователя; на основе 60 различных проверок рассчитывается вероятность совершения мошеннических действий на сайте. Также выявляются попытки эмулировать устройства других пользователей или избежать проверок.
Второй ключевой особенностью этого продукта является анализ поведения, позволяющий выявлять аномалии в поведении пользователя. Не секрет, что каждый человек отличается индивидуальностью; соответственно, и с сайтом он также взаимодействует уникальным образом — совершает присущие только ему движения мышью, с определённой скоростью набирает текст на клавиатуре, заходит на сайт из определённых геолокаций, по своим правилам перемещается по сайту и т. д. Подобное поведение состоит изо множества привычек, которые принадлежат только этому человеку. Если были замечены существенные изменения в поведении пользователя, то, скорее всего, аккаунтом пользуется другой человек, и это — сигнал для проведения дополнительной проверки. У мошенников тоже есть свои шаблоны поведения, которые также выявляются и служат поводом для повышенного внимания к пользователям.
Рисунок 3. Карта в Web Antifraud с отмеченной геолокацией пользователей
Ещё одной существенной функцией Web Antifraud является защита от вредоносных программ, в том числе троянов. Работа данного механизма заключается в определении попыток повлиять на функциональность и работоспособность сайта. Чаще всего такие попытки связаны с инъекцией вредоносного JavaScript-кода, который запускается на компьютере пользователя. Web Antifraud выявляет подобные атаки и собирает всю доступную информацию по ним для дополнительного анализа.
Web Antifraud также позволяет обнаруживать неявные связи между аккаунтами, которые используют общие устройства и IP-адреса, а также по некоторым другим факторам. Это позволяет выявлять группы аккаунтов, которые могут использоваться в мошеннических действиях.
В дополнение к вышеперечисленному Web Antifraud обладает функцией проверки целостности и актуальности пользовательских сессий. В результате работы механизма детектируются попытки перехвата или подмены сеанса. Антифрод обладает защитой от повторения предыдущих запросов (replay-атак). Web Antifraud способен определять включённый режим инкогнито в браузерах и модификации стандартных интернет-обозревателей (антидетекты), а также оценивать доверенность среды (устройства, IP-адреса и другие признаки), из которой заходит пользователь.
Для повышения уровня безопасности антифрод-система дополнительно предлагает функцию 2FA (двухфакторной аутентификации). В случае подозрения на неправомерность доступа к аккаунту Web Antifraud может запросить дополнительный способ подтверждения с помощью тех инструментов, которыми владеет пользователь (например, посредством получения кода на электронный адрес, SMS-сообщения на мобильный телефон, использования аппаратного токена, отпечатка пальца и другой биометрии).
Для того чтобы можно было удобно и оперативно управлять аналитикой, в антифроде применяется веб-приложение «Web Antifraud Аналитика». Данный инструмент позволяет получать в режиме реального времени отчёты о работе системы, об инцидентах и активности пользователей, осуществлять поиск, получать по каждой учётной записи подробную аналитику с визуальными геометками на карте и найденными связанными аккаунтами.
Рисунок 4. Консоль управления аналитикой в Web Antifraud
Особенности интеграции системы
Работы по внедрению Web Antifraud в инфраструктуру не отличаются большой сложностью.
Для интеграции антифрод-системы с сайтом заказчика необходимо добавить JavaScript-код в критически важные страницы, которые следует контролировать, и подключить серверную часть (бэкенд) сайта к API разработчика. Для того чтобы при интеграции не возникало трудностей, клиенту предоставляется подробное описание работы API Web Antifraud. Также можно привлечь для консультаций службу технической поддержки.
Следует отметить, что антифрод-система собирает только данные из браузеров пользователей при посещении сайта заказчика и получает уведомления о выполнении определённых действий (например, входа в аккаунт, регистрации, перевода денежных средств). Таким образом, интеграция с сайтом получается вполне поверхностной и не требует изменения логики его работы.
Выводы
Системы класса «антифрод» являются крайне эффективными и действенными инструментами для борьбы с мошенническими действиями в цифровом пространстве. Тем не менее необходимо отметить, что в зависимости от специфики деятельности организации можно использовать либо один из двух типов антифрод-продуктов, либо оба сразу. Как мы выяснили, транзакционный антифрод лучше всего подойдёт заказчикам, которые выполняют различные финансовые операции, например платёжным шлюзам. Браузерный антифрод будет актуален для организаций, в которых критически важными являются манипуляции с личным кабинетом или другие подобные процедуры, выполняемые пользователями сервиса. Кроме того, возможны ситуации, когда можно использовать оба класса систем, например в банках, криптобиржах, брокерских системах, сервисах бонусных программ.
Также не стоит забывать о дополнительных критериях, по которым следует оценивать данные продукты, таких как конечная стоимость, функциональные возможности, система оценки уровня риска, защита конфиденциальных данных и т. д.
Продукт Web Antifraud относится к классу браузерных антифрод-систем и, судя по рассмотренным функциональным возможностям, вполне эффективно решает задачи борьбы с мошенничеством благодаря анализу устройств и поведения пользователей, выявлению вредоносных программ и проверке связи между аккаунтами. Также необходимо отметить информативный аналитический модуль и относительную простоту интеграции Web Antifraud в инфраструктуру заказчика.
Выбор антифрода, системы противодействия мошенничеству в финансовой сфере
Как антифрод-системы выявляют финансовое мошенничество, нужно ли защищать от фрода иные каналы кроме ДБО и способны ли инструменты на основе машинного обучения противостоять социальной инженерии? Мы пригласили в эфир AM Live ведущих экспертов в сфере информационной безопасности, чтобы поговорить о выборе и внедрении антифрод-систем.
Введение
Экономическая целесообразность внедрения антифрод-систем, как правило, не подвергается сомнению. Инструменты для противодействия мошенничеству в финансовом секторе способны значительно снизить ущерб банков и их клиентов от нелегитимных операций. Однако если эффективность подобных решений в борьбе со вредоносными программами вполне высока, то выявление нелегитимных действий на основе социальной инженерии сопряжено с определёнными трудностями.
Мы пригласили в студию Anti-Malware.ru представителей компаний предлагающих антифрод-решения, чтобы в рамках прямого эфира AM Live поговорить о том, как выбирать и внедрять систему защиты от мошеннических действий, а также обсудить, существуют ли средства для борьбы с «прозвонщиками», «представителями службы безопасности банка» и другими подобными киберпреступниками.
Для более глубокого понимания темы рекомендуем ознакомиться с нашим обзором систем противодействия банковскому мошенничеству. Также предлагаем почитать статью о национальном стандарте Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций» и рекомендации по выбору антифрода.
Модератор дискуссии: Алексей Сизов, руководитель департамента противодействия мошенничеству, компания «Инфосистемы Джет».
Что такое антифрод и кому он нужен
В первую очередь модератор предложил участникам конференции объяснить зрителям, что же такое антифрод, а также рассказать, что представляет собой этот класс систем и почему он появился.
Игорь Катков:
— У финансовых учреждений существует потребность в выявлении и предотвращении нелегитимных транзакций. Для этих целей придуманы системы противодействия мошенничеству, которые называются «антифрод». На основании множества параметров они принимают решение об автоматической блокировке нелегитимных финансовых транзакций в режиме реального времени. Существуют кросс-канальные антифрод-системы, а также системы обслуживающие только один конкретный канал.
Павел Крылов:
— Необходимо отметить, что банковский антифрод контролирует не только финансовые транзакции. У банков много различных продуктов, и почти все из них могут быть затронуты тем или иным видом фрода — это могут быть кредитное мошенничество, отмывание денег, злоупотребление платёжными каналами и другие виды операций.
Василий Федорченко:
— Антифрод позволяет не только выявлять уже совершённые мошеннические платежи, но и предотвращать такие платежи на этапе подготовки. Так, сессионные антифрод-инструменты позволяют выявлять риски на этапе авторизации в системе при помощи украденных логина и пароля.
Александр Саксаганский:
— Развитие онлайн-сервисов создаёт почву для злоупотреблений и мошенничества. Людей, которые стремятся заработать нелегитимным способом, становится больше. Кардинально улучшить безопасность финансовых систем смогут только совместные усилия специалистов по безопасности, правоохранительных органов и банковского сообщества, а также просветительская работа с пользователями.
Эксперты отметили, что транзакционный анализ в текущих реалиях стал менее эффективен: мошенники действуют так, что с точки зрения финансовых операций всё выглядит типично (либо нетипичных операций так много, что их сложно обработать на транзакционном уровне). При этом чем больше признаков мошенничества доступно системе — как транзакционных, так и не транзакционных, — тем эффективнее этому мошенничеству можно противостоять.
Рассуждая об основных киберугрозах в финансовой сфере, спикеры отметили, что наибольшее развитие в России получили атаки основанные на методах социальной инженерии. В этой области действуют так называемые «прозвонщики», представляющиеся сотрудниками банка или другими должностными лицами. Некоторые подобные схемы, особенно связанные со снятием жертвой наличных и внесением их на счёт в другом банке, особенно тяжело детектируются системами безопасности. На втором месте находится фишинг, а вот использование банковских троянов в нашей стране практически сошло на нет, хотя за рубежом киберпреступники активно применяют и этот тип атак.
Одним из важных факторов, способствующих развитию финансового мошенничества, эксперты считают низкий уровень технической грамотности населения. Гости студии ещё раз отметили важность просветительской работы — со стороны не только государства, но и производителей систем информационной безопасности. Спикеры высказали мнение, что несколько лет назад ответственные за противодействие мошенничеству в банковской сфере организации пропустили тренд, связанный с преступлениями на основе социальной инженерии. Тогда казалось, что атаки будут развиваться в первую очередь технологически, однако злоумышленникам оказалось проще и дешевле сосредоточить усилия на «прозвоне» и других подобных схемах.
Какими бывают антифрод-системы
Сейчас антифрод-системы используют различные инструменты для определения мошеннических действий. Среди них — идентификация устройств, детектирование удалённого доступа, выявление связанных аккаунтов и роботизированных атак. Контролируются различные каналы, по которым может быть выполнена атака — дистанционное банковское обслуживание, карточные платежи, внутренние транзакции. Для эффективного выявления атак на основе социальной инженерии используются инструменты поведенческого анализа.
Одним из важных аспектов антифрода является детектирование удалённого доступа к устройству пользователя. При этом эксперты отметили, что зачастую мошенник подключается к системе ДБО не для того, чтобы напрямую выполнить транзакцию, а для того, чтобы узнать второй фактор идентификации и выполнить карточный перевод. Для выявления подобных атак необходимо защитить антифродом все возможные каналы.
Рассуждая о том, какую антифрод-систему лучше выбрать — стороннее решение, собственную разработку или опенсорс, — гости студии высказали мнение, что самописные системы, ориентированные на защиту отдельных каналов (как правило, они создаются на базе открытого кода) имеют право на жизнь, однако фактов перехода на них с коммерческих, кросс-канальных решений практически нет. В то же время обратный процесс идёт полным ходом. Эксперты отметили, что коммерческие решения, как правило, могут получать информацию о мошенниках из других продуктов того же вендора, что повышает качество детектирования. Кроме того, у специализированных разработчиков есть возможность глобального профилирования — сопоставления данных от различных пользователей их систем.
Чтобы узнать мнение зрителей прямого эфира по вопросу выбора антифрод-системы, мы спросили у них, как они противодействуют фроду. Как оказалось, 29 % наших респондентов купили систему независимого вендора. Ещё 24 % написали своё собственное решение, а 14 % отдали предпочтение коммерческому продукту от производителя бизнес-системы. Внедрили решение с открытым исходным кодом 9 % участников опроса. Не используют антифрод, а просто принимают риски 24 % опрошенных.
Рисунок 1. Как вы боретесь с фродом в своём банке?
Не менее важный вопрос, на который обратили внимание наши эксперты, — это возможность использовать данные об инцидентах от одного клиента системы для предотвращения подобных происшествий у других заказчиков. Выяснилось, что 35 % зрителей онлайн-конференции AM Live не готовы предоставлять данные о фроде для общего блага. Ещё 39 % допускают возможность делиться информацией по рядовым случаям и рядовым клиентам. Полностью передать данные о случаях финансового мошенничества разработчику системы готовы 26 % респондентов.
Рисунок 2. Готовы ли вы делиться информацией по случившемуся фроду?
Антифрод может поставляться заказчику как в виде лицензии (on-premise), так и через сервисную модель. В последнем случае вендор обеспечивает подписчику кросс-канальную защиту с использованием своих технологий. Стоимость такого обслуживания зависит от объёма данных, которые необходимо обрабатывать, а также от точности и качества детектирования. В ряде случаев заказчик может принять риск того, что отдельные атаки не будут выявлены, в обмен на снижение расходов. Дополнительным фактором может быть скорость реагирования.
Как отметили эксперты, антифрод-система может лицензироваться по количеству защищаемых аккаунтов (сессионная модель) либо по числу контролируемых платежей (транзакционная модель). В качестве вторичной лицензионной метрики может выступать перечень каналов, которые защищает система. В общем случае цена антифрод-решения зависит от нагрузки на ресурсы вендора, которую создают клиенты. Поэтому даже при использовании сессионной модели может проводиться ранжирование защищаемых аккаунтов в зависимости от их активности.
Ранее эксперты в студии обращали внимание на важность кросс-канального подхода к защите от фрода. В связи с этим мы задали зрителям прямого эфира вопрос: какой канал, продукт или сервис они планируют подключить к антифроду? Большинство респондентов (57 %) собираются в первую очередь подключить различные фронтальные системы, такие как онлайн-банкинг, система быстрых платежей и другие. Защитить кредитные процессы и инвестиционные продукты планируют по 7 % участников опроса. Установить антифрод на каналы РКО и бэк-офиса среди наших зрителей желающих не нашлось, а 29 % опрошенных сфокусированы на защите периметра и не уделяют пока внимания фроду.
Рисунок 3. Какой канал, продукт, сервис у вас в планах на подключение к антифроду?
Функциональные возможности антифрода
Рассуждая об инструментах, которые использует антифрод-система для выявления мошеннических операций, эксперты в студии отметили, что помимо верификации платежей специализированные продукты активно применяют анализ поведения пользователя. Так, например, действуя по указке другого человека, жертва меняет стиль заполнения форм и перемещения по пунктам меню. Отследив такое поведение, можно пометить сессию как высокорисковую и провести дополнительную проверку её легитимности.
Отвечая на вопрос ведущего, спикеры высказали опасения относительно биометрических технологий как средств дополнительной аутентификации пользователя. Такие инструменты привязаны к определённому устройству и не будут работать, если клиент попытается войти в систему с компьютера без камеры или сканера отпечатков пальцев. Кроме того, биометрическая аутентификация в современных гаджетах всё ещё относительно ненадёжна и может быть обойдена злоумышленниками.
Уже существуют и разработаны системы речевого антифрода, а также инструменты, которые по мимике лица и движениям глаз способны выявлять нестандартное поведение пользователя. Данные от них можно использовать совместно с другими индикаторами, однако ключевой роли в принятии решения о фроде они играть не могут.
С точки зрения зрителей прямого эфира, одной из наиболее востребованных функций антифрод-систем является выявление подозрительных транзакций. Такого мнения придерживаются 40 % участников опроса. Поведенческий анализ интересен лишь 7 % респондентов, а анализ репутации и сравнение системных отпечатков пользователей не получили голосов вовсе. Наибольшей популярностью пользовался вариант «Интересно всё» — его выбрали 46 % опрошенных. Ещё 7 % зрителей AM Live затруднились ответить.
Рисунок 4. Какие функции антифрода интересны вам в первую очередь?
Модератор дискуссии задал гостям студии вопрос: какие аналитические инструменты используются системами противодействия финансовому мошенничеству? Эксперты AM Live рассказали, что одним из ключевых методов работы антифрода является ролевой подход, когда решение о блокировке транзакции принимается на основе определённого набора признаков, прописанных в правилах. В ряде систем также применяется машинное обучение на основе размеченных данных об инцидентах. В результате постоянной тренировки искусственный интеллект становится способен определять потенциально нелегитимные транзакции и увеличивать показатель риска мошенничества для них. Кроме того, ИИ может применяться и для выявления аномальных поведенческих факторов.
Между тем, отметили спикеры, выносимый системой на основе машинного обучения вердикт в целом менее прозрачен, чем принятое при помощи других, более простых алгоритмов решение. При этом искусственный интеллект неплохо зарекомендовал себя в сфере снижения числа ложных срабатываний, что позволяет финансовому учреждению снизить расходы на защиту от мошенничества. Эксперты указали, что применение машинного обучения требует от вендора и заказчика значительной подготовительной работы по обработке данных, на которых будет происходить тренировка системы.
Учитывая острую нехватку специалистов по антифроду, встаёт резонный вопрос о работе с клиентами по сервисной модели. Не все гости нашей студии готовы применять такой подход. Как отметили эксперты, одним из узких мест сервисной модели являются вопросы подключения к системе. По сути, проблемы поиска необходимых данных и передачи их в антифрод будут одинаковыми как для решения on-premise, так и для облачной системы. Против сервисной модели работает также и недоверие в вопросах передачи данных во внешние хранилища, что традиционно для банковской сферы.
Киберпреступники предпринимают усилия по нейтрализации антифрод-систем. Наши эксперты заметили, что одним из вариантов атаки может быть DDoS против канала передачи данных, собираемых системой. Вендор может разделить в этом вопросе ответственность с заказчиком, поскольку финансовые учреждения обычно имеют налаженную защиту от подобного вида вредоносной активности. Результат работы антифрод-системы очень важен для ключевых бизнес-процессов заказчика, поэтому вопросу её защиты от взломов и злонамеренного либо случайного изменения правил необходимо уделять повышенное внимание.
Ключевые тренды отечественного рынка антифрод-систем
В финальной части конференции Алексей Сизов предложил экспертам дать небольшой прогноз и подсветить основные тенденции, в русле которых будет развиваться рынок антифрода в России.
По мнению Игоря Каткова, вектор атак может сместиться на новые инструменты взаиморасчётов, которые появятся в ближайшие годы. Это могут быть различные электронные валюты, верифицированные регулятором. Задача специалистов по информационной безопасности — не проглядеть тренд и создать инструменты для защиты этого канала.
Василий Федорченко считает, что атаки по линии социальной инженерии будут усложняться. Для их предотвращения антифрод-системы будут двигаться по пути развития функциональных возможностей анализа поведения.
Как отметил Александр Саксаганский, в будущем возможно увеличение количества дополнительных сигналов, которые в итоге будут повышать качество антифрода. Одним из основных источников таких данных станут сигналы из телекоммуникационных сетей, собираемые операторами связи. Эксперт также прогнозирует интеграцию информационных потоков, связанных с движением денежных средств, что приведёт к повышению качества детектирования нелегитимной активности.
Павел Крылов высказал мнение, что не стоит ожидать снижения активности основанной на методах социальной инженерии. Решение проблемы эксперт видит в объединении усилий различных финансовых организаций и обмене информацией между ними.
Свои итоги очередного выпуска онлайн-конференции AM Live подвели и зрители прямого эфира. В ходе проведённого нами опроса 27 % респондентов сообщили, что эксперты помогли им убедиться в правильности выбора антифрод-системы. Столько же опрошенных заинтересовались этой темой и готовы тестировать инструменты защиты от финансового мошенничества. Планируют заменить текущую антифрод-систему на новую 9 % участников опроса, а 19 % наших зрителей считают антифрод интересным, но пока избыточным для себя средством защиты. Ещё 9 % респондентов придерживаются мнения, что участники дискуссии были неубедительны. Столько же опрошенных не поняли, о чём шла речь на конференции.
Рисунок 5. Каково ваше мнение относительно системы банковского антифрода после эфира?
Выводы
Антифрод-системы не только имеют важнейшее значение для обеспечения безопасности финансовых операций, но и могут выступать в качестве поставщика информации для других бизнес-процессов банка. Современные инструменты противодействия мошенничеству способны как контролировать дистанционное банковское обслуживание и прямые карточные платежи, так и эффективно бороться со внутренними угрозами финансовой организации. Самой большой проблемной задачей для разработчиков подобных решений сейчас является выявление атак основанных на методах социальной инженерии. Для этого всё шире используется поведенческий анализ, а также машинное обучение.
Проект AM Live продолжается — чтобы не пропускать прямые эфиры и встречи с ведущими экспертами отечественного рынка, подпишитесь на наш YouTube-канал и активируйте уведомления о новых публикациях. До встречи в эфире!