Михаил Дудалев: Дополнительные проверки помогают найти баланс между риском и издержками

Михаил Дудалев: Дополнительные проверки помогают найти баланс между риском и издержками

Михаил Дудалев

Начальник отдела анализа данных компании «Фаззи Лоджик Лабс»

В 2006 году закончил Московский физико-технический институт по специальности «Теоретическая физика».

В 2010 году закончил Австралийский национальный университет ANU-Kanberra по специальности «Физические и математические науки» («Physical and Mathematical Sciences»).

Стаж работы в IT финансового сектора: более 10 лет.

Сфера профессиональных интересов: создание и развитие моделей для выявления мошенничества в финансовом секторе.

В «Фаззи Лоджик Лабс» отвечает за построение и оптимизацию алгоритмов машинного обучения для системы Smart Fraud Detection.

...

Требования к информационной безопасности банков постоянно дополняются. Причиной тому являются и внешние факторы, такие как пандемия, и развитие навыков злоумышленников. Появляются новые техники проведения атак, всё больше пользователей применяют для совершения финансовых операций мобильные устройства и другие средства удалённой работы с банковскими инструментами. Появилась тема внутреннего мошенничества. Применение антифрод-систем, в частности Smart Fraud Detection, позволяет существенно снизить ущерб от классических и новых мошеннических схем. На вопросы Anti-Malware.ru отвечает Михаил Дудалев, начальник отдела анализа данных компании «Фаззи Лоджик Лабс».

Скажите, пожалуйста, что изменилось во время пандемии в информационной безопасности в банках, что поменялось в плане платежей и платёжного поведения пользователей? Как ваша компания отреагировала на эти изменения?

М. Д.: В первую очередь, у пользователей существенно поменялись паттерны поведения. Например, стало больше трат в интернете и меньше — на транспорт и туризм. Кроме того, можно отметить изменения паттернов, связанные с потерей источников дохода у части пользователей, и, соответственно, общее снижение трат у этой категории пользователей.

Данные изменения произошли по всему миру, и в России они несколько меньше, чем во многих других странах, где «локдауны» были более жёсткими и повторялись несколько раз.

Изменился ли портрет «типичного мошенника» в пандемию или остался прежним? Изменилась ли структура атак? Кроме всем известной социальной инженерии были ли популярны другие виды атак? Есть ли смысл заниматься технической защитой?

М. Д.: Сложно сказать о «типичном» мошеннике. Но пару моментов в том, как пандемия изменила ситуацию, стоит выделить.

В связи со введением ограничительных мер и общим повышением уровня стресса у населения стало больше возможностей провести социальную инженерию путём прямолинейного запугивания, так что можно отметить, что таких случаев стало больше. Для запугивания «службой безопасности», как правило, нужно меньше способностей и информации, чем для более редких и тонких вариантов с выманиванием денег.

Ещё стоит отметить, что стало заметно больше легитимных способов привести жертву к мошенникам через обычный рекламный канал (как правило, это реклама «социальной помощи» или предложение пройти опросы за вознаграждение). Это же касается и найма новых рядовых «сотрудников» как для банковского мошенничества, так и для многих других видов нелегальной деятельности. В связи с потерей дохода многие люди стали искать новые источники заработка. В итоге они становятся соучастниками преступлений — пополняют ряды «мулов» или «сотрудников» мошеннических колл-центров.

Интересен также момент связанный с резким расширением круга людей, которые начали использовать интернет не только для получения информации для её последующего использования в офлайне (например, поиска ближайшего магазина, торгующего определённым товаром, изучения отзывов о товаре перед его приобретением). Если раньше многие люди часто априори подозрительно относились к любым коммерческим предложениям в интернете, то пандемия немного ослабила их насторожённость (но не всегда увеличила фактическую компьютерную и финансовую грамотность), и это становится причиной роста числа случаев как социальной инженерии, так и банального заражения вирусами.

Компания «Фаззи Лоджик Лабс» хорошо известна в финансовом секторе, однако на рынке информационной безопасности её знают меньше. Расскажите, пожалуйста, о вашей системе Smart Fraud Detection, на каких принципах / моделях основан фрод-мониторинг?

М. Д.: Система Smart Fraud Detection представляет собой кросс-канальную систему обнаружения и выявления мошеннических транзакций в режиме реального времени. Для эффективного анализа в решении сочетаются методы детектирования аномалий как на основе правил (модуль политик), так и с использованием технологий машинного обучения (модуль оценки риска).

Модуль оценки риска транзакций занимается профилированием объектов связанных с событиями и дальнейшим вычислением набора признаков, которые используются в вероятностной модели оценки риска транзакций. Основной моделью является специальным образом сконструированное байесовское дерево, в узлах которого мы храним распределения вероятностей для различных интересных комбинаций признаков. Эти распределения обновляются в режиме близком к режиму реального времени.

В модуле политик, помимо изначально загруженных правил, банк может реализовывать собственные бизнес-сценарии с использованием как финальной оценки риска из модуля скоринга, так и множества других признаков из профилей пользователей (и прочих объектов) или указанных сотрудниками алгоритмов.

Среди преимуществ решения SFD можно отметить следующие. Единая модель позволяет обнаруживать как аномальное поведение, так и случаи заведомо похожие на мошеннические. Минимальна зависимость от внешних систем при профилировании объектов — не требуется постоянных запросов во внешние базы данных для выяснения статистики событий. Также стоит отметить возможность легко дообучать модели на данных заказчиков. При этом, как правило, не нужно прикладывать дополнительные усилия для объяснения, почему модель выдала именно такой результат.

Исходя из практики скажите, пожалуйста, в чём заключалась главная проблема у конечных пользователей с точки зрения того, как банкам удостоверить личность выполняющего платёж. Какая глубина контроля должна быть? Как решает эту проблему ваша система?

М. Д.: Во-первых, хочется отметить, что гарантированной «быстрой» защиты нет, злоумышленник может прийти в отделение банка с поддельным паспортом и подтвердить операцию, даже если она ранее была отклонена.

Во-вторых, конечно, хочется знать о пользователях «всё» и тратить на оценку сколько угодно времени. Но на практике мы ведём статистику по пользователям (и другим объектам и связям) с фактическим горизонтом в несколько месяцев, а система должна дать ответ за доли секунды (в зависимости от уровня SLA).

Поэтому уверенным «на 100%» быть практически невозможно. Запуская дополнительные проверки, можно понижать вероятность ошибки на порядки, и, как правило, этого достаточно, чтобы найти баланс между риском пропустить мошенническую транзакцию и издержками на проверку (и возможную задержку) легитимных событий.

Используются ли технологии оценки поведения пользователей в интернет-банке и мобильном банке? Например, чтобы отличать бота и злоумышленника от легитимного пользователя?

М. Д.: Да, конечно, используются технические и поведенческие признаки, разные признаки подходят для выявления различных типов атак.

Например, относительно просто заморозить аккаунт пользователя, который внезапно начал делать в мобильном приложении банка несколько действий в секунду, хотя раньше такой «прыткостью» не отличался. Это — простейшая оценка поведения по техническим признакам.

Одними из самых опасных типов атак, безусловно, являются различные вариации социальной инженерии, особенно когда в них участвуют близкие к жертве люди, которым пользователь априори доверяет.

В данном случае высокоуровневые поведенческие признаки являются по существу единственным способом остановить или хотя бы замедлить нелегитимную операцию.

В случае утечки данных пользователя (в том числе биометрических данных), которые могут привести к полной краже личности, поведенческий анализ тоже является одним из немногих подходов, которые позволяют вовремя блокировать мошеннические операции.

Давайте поговорим о внутреннем мошенничестве. В период пандемии многие компании отправили своих сотрудников на «удалёнку». Как обстоит дело с контролем сотрудников, ведь работа ведётся на удалённых компьютерах? Можно ли ставить агенты мониторинга на личные компьютеры сотрудников?

М. Д.: Часто на «удалёнке» сотрудники, даже используя личные компьютеры, подключаются к программному обеспечению «удалённое рабочее место», которое развёрнуто в датацентре организации, что несколько затрудняет злоумышленникам проведение некоторых типов атак. Но, например, для точечного «пробива» данных (например, запроса информации о депозитах конкретного клиента банка), который с точки зрения потока операций очень похож на штатную работу сотрудника организации, переход из офиса на «удалёнку» сильно ограничивает возможность отслеживать такой тип аномального поведения: за сотрудником банально некому следить и соблазн «по-быстрому там кое-что посмотреть» может быть слишком велик, как у работника, так и у его ближайшего окружения.

Поэтому идеальным вариантом представляется наблюдение за сотрудником с помощью веб-камеры, встроенной в его компьютер, ноутбук или планшет, подобно тому, как в офисе происходит наблюдение со стороны супервайзеров и службы безопасности через систему видеонаблюдения.

У системы Smart Fraud Detection есть подобные функции?

М. Д.: В нашей системе есть компоненты, которые позволяют осуществлять подобный мониторинг и интегрировать поток данных с видеокамер в общий поток событий, связанных с действиями сотрудников, позволяя получать единую оценку риска и оперативно принимать решения, если мы видим аномальное поведение какого-то работника организации.

Данные компоненты работают как в составе агента, устанавливаемого на клиентское устройство, так и через отдельно открытую веб-страницу, а также могут быть интегрированы в банковское приложение.

В период пандемии размываются периметры организаций, в том числе и финансовых. Могут ли комплексные системы антифрода реально защитить платежи, если даже мы сами не можем очертить периметр безопасности, за которым считаем, что все платежи проводятся правильно? Если они это делают, то как?

М. Д.: Размывание периметра организации — это «вынужденная правда жизни» компьютерной безопасности. Модель, где внутри системы (VPN / офиса) все данные и события являются легитимными, а снаружи — только злоумышленники, уходит в прошлое.

Верификация и защита должны иметь место на многих уровнях взаимодействия, иначе любая брешь в периметре скомпрометирует всю систему в целом.

Для платежей это тоже верно: на каждом этапе проведения платежей можно собрать ключевые признаки, количественно оценить риски и принять решение о дальнейшей обработке платежа.

Вопрос о безопасности — всегда на первом месте. Как быть с рисками в ИБ при выносе инфраструктуры на внешнюю площадку (облако)? Как работают антифрод-решения в этом случае? Вы работаете с облачными технологиями?

М. Д.: Некоторые типичные внутренние риски снижаются, т. к. часть административных привилегий делегируется в сторонние компании, которые могут быть менее заинтересованы в компрометации системы.

В плане обычной работы системы качество антифрод-скоринга может даже возрасти, потому что в случае облачного внедрения появляется возможность совмещать некоторые данные из многих источников и строить общие профили многих объектов, создавая общий пул информации по поведению пользователей.

В плане поддержки облачных инсталляций — наша система может быть установлена не только на площадке заказчика, но и в облачных системах, реализуя указанные преимущества.

Понятно, что некоторые другие риски в случае облачной инсталляции повышаются, в частности появляется риск атак со стороны сотрудников облачных провайдеров или возможность утечки данных из-за неосведомлённости сотрудников о том, что данные могут быть доступны третьим лицам. Мы решаем эту проблему кодированием значительной части «чувствительных» данных, когда они покидают периметр банка, оставшихся данных достаточно для получения качественной оценки риска.

Применение систем антифрода прежде всего ассоциируется с банками, где их эффективность очевидна сразу. В каких ещё отраслях экономики могут применяться данные технологии?

М. Д.: На самом деле, применение систем машинного обучения именно в безопасности банковских сервисов в данный момент довольно ограниченно с законодательной точки зрения: банк часто не может себе позволить использовать произвольную модель с какими угодно входными признаками, плюс процесс принятия решения относительно подтверждения и отклонения операций должен быть очень прозрачен. Примеров, где можно использовать идентичные или очень похожие системы без подобных ограничений, очень много: это платёжные сервисы (как карточные, типа VISA, MasterCard, МИР, так и сервисы типа PayPal и Skrill), сервисы перевода денег (Western Union), большие маркетплейсы и интернет-магазины (Amazon, Ozon, AliExpress) и некоторые сервисы предоставления услуг («Яндекс.Такси», Uber).

Каковы тенденции на этом рынке на ближайшие пару лет? В каком направлении планируете развивать свой Smart Fraud Detection?

М. Д.: Отмечу следующие тенденции. Во-первых, закрывание внутренних угроз с помощью новых технологий: как контроль работы сотрудников, так и автоматизация наиболее подверженных внутреннему фроду ролей. Также относительно мелкие банки, которым сложно поддерживать свои системы, будут переводить их в облако, и антифрод может стать одной из первых таких систем в типовом маленьком банке.

Если говорить о развитии SFD, то, безусловно, будет происходить техническое совершенствование моделей, внедрение новейших достижений в области ИИ — прогресс в ИИ развивается очень быстро: то, что пару лет назад было идеей в лаборатории, сейчас уже активно внедряется. Также расширится интеграция со сторонними информационными системами, как это сейчас часто происходит в системах кредитного скоринга. Наконец, будут появляться инструменты защиты новых, менее традиционных каналов и сфер обслуживания.

Спасибо большое за интервью! Желаю успехов!