Разработчики: | Oracle |
Дата последнего релиза: | 2015/12/12 |
Отрасли: | Финансовые услуги, инвестиции и аудит |
Технологии: | ИБ - Аутентификация, ИБ - Предотвращения утечек информации, ИБ - Система обнаружения мошенничества (фрод) |
Adaptive Access Manager - антифрод-система с функционалом многофакторной аутентификации пользователей.
Программное решение Adaptive Access Manager обеспечивает возможности многофакторной аутентификации пользователям коммерческих приложений и отслеживание попыток мошенничества с последующим блокированием таковых. ПО может приспосабливаться к изменениям условий, в реальном времени предупреждая злонамеренные действия до окончания транзакции - перевода финансовых средств или покупки товара.
В Oracle Adaptive Access Manager защита ввода пароля реализована с помощью «виртуальных устройств» для ввода пароля с помощью компьютерной мыши по специальному алгоритму. Обеспечивается идентификация самим пользователем сайта и приложения, в которое он вводит свои данные. Такими средствам служат "виртуальная клавиатура" или слайдер[1].
Чтобы злоумышленники не перехватили виртуальное устройство, изменяется расположение клавиш внутри устройства при каждой сессии. Виртуальные устройства, передаваемые в браузер пользователю, не содержат текстовой информации - только графическое изображение. Размер передаваемого изображения, его плотность можно менять в каждой сессии. Все это делает невозможным повторное использование злоумышленниками виртуального устройства, предоставляя пользователю технологию, аналогичную одноразовому паролю (OTP). Виртуальное устройство всегда индивидуально, а на сервер передается не зашифрованный пароль, а одноразовый токен.
Предусмотрена возможность интеграции системы аутентификации с альтернативными способами передачи данных, такими как электронная почта или SMS сообщения. Такая интеграция необходима при работе с приложениями в скомпрометированной среде, например, через интернет-киоски. В этом случае для подтверждения своей личности пользователь должен ввести одноразовый пароль, посланный на его мобильный телефон или на адрес его электронной почты через SMS или сообщение или обратиться к оператору с просьбой разрешить сессию.Российский рынок облачных ИБ-сервисов только формируется
Идентификация сайтов пользователем происходит при получении виртуального устройства. При первой регистрации пользователь может выбрать не только тип устройства, с которым он предпочитает работать, но и графическое изображение, служащее подложкой виртуального устройства, а также ключевую фразу. Изображение, ключевая фраза и временной штамп однозначно определяют сайт, таким образом происходит взаимная идентификация – приложение аутентифицирует пользователя, а пользователь точно знает, куда он обращается и кому предоставляет свои учетные данные.
После успешной аутентификации и при работе с приложениями пользователь должен проходить авторизацию. С точки зрения приложения и системы мониторинга мошенничества, значения термина "авторизация" различны, но в любом случае в определенный момент времени, проверяется право пользователя на выполнение некоторых действий или продолжение работы. В приложениях обычно существуют роли, которым приписывается список разрешенных в рамках приложения действий. Авторизация в приложениях – это проверка соответствия действий пользователей их правам и списку существующих у них на текущий момент ролей. Авторизации пользователей в системе мониторинга – это подтверждение аутентификации, которая может происходить как в фоновом режиме, незаметно для пользователя, так и явно, например, при помощи дополнительных вопросов (Question Pad), задаваемых пользователю в критические моменты. Решение на выполнение принудительного подтверждения аутентификации принимается системой мониторинга и зависит от степени риска того, что на приложение в текущий момент времени совершается атака, и последующие действия пользователя могут нанести вред. В итоге принимается решение о возможности дальнейшей работы пользователя с приложением или его частью.
Для предотвращения мошеннических действий Oracle Adaptive Access Manager имеет модели угроз и механизмы, быстрой оценки состояния сессии по заранее определенным правилам, затрачивая время и ресурсы на противодействие реальным угрозам, а не на попытки выявления их типов. Механизм системы мониторинга оценивает состояние сессии на предмет степени риска того, что в данной сессии могут предприниматься мошеннические действия, и предупреждает их.
Основой определения фактов в экспертной системе может служить набор идентификационных меток, собираемых во время сессии пользователя. Такие метки характеризуют устройство, с которого произошел вход в сеть, местоположение этого устройства, поведенческие характеристики пользователя, работающего с приложением. Можно накопить достаточно большой объем исторических данных с информацией о предыдущих сессиях пользователя, об его идентификационных метках. Тогда, при сравнении исторических данных с текущими, с большой долей вероятности можно определить попытки совершения противоправных действий и предупредить их.
Обычно пользователь имеет ограниченное количество устройств, используя которые он выходит в Интернет, и с помощью которых он работает с приложениями. Такими устройствами могут быть компьютеры, установленные на рабочем месте или дома, личный КПК. Появление нового устройства у пользователя должно вызвать подозрение у системы мониторинга и повышенный интерес к его действиям. Информация об устройствах может содержать достаточно большое количество параметров - это могут быть данные об установленном программном обеспечении, о наборе cookies, физические характеристики. Система мониторинга OAAM имеет достаточно разумные механизмы определения идентичности устройств, и после незначительного изменения их состояния не причисляет эти устройства к неизвестным и не поднимает тревоги.
Еще одним фактором, определяющим состояние сессии, служат географическое местоположение пользователя и характеристики соединения, такие как скорость соединения, имя провайдера, имена доменов первого и второго уровня. Для получения такой информации необходимо интегрировать систему мониторинга с поставщиками геолокационных данных, например, Quova, Maxmind, IP2location.
Имея в своем распоряжении информацию о пользователе, устройстве и местоположении, можно создать модель поведения пользователя, состоящую из набора правил, которые определяют степень риска того, что текущий пользователь является злоумышленником. Такие правила могут оценивать степень благонадежности пользователя по таким факторам, как место выхода в сеть, устройство, посредством которого он выходит в сеть, сколько раз он ошибся при вводе пароля. Каждое правило имеет свой коэффициент значимости, определяющий его вес, а механизм системы мониторинга подсчитывает суммарный вес сработавших в модели правил и принимает решение о выполнении действий, например, о разрешении или запрете входа пользователя в приложение, о генерации уведомления о совершении подозрительных действий со стороны пользователя.
Если применить модель безопасности на практике, то еще в самом начале сессии до ввода пароля можно отсечь неблагонадежных пользователей от доступа к приложению, а при использовании этой технологию совместно с "виртуальными устройствами", получить многофакторную аутентификацию, где вторым фактором является компьютер или КПК пользователя.
Порой возникают ситуации, когда под подозрения попадают обыкновенные пользователи, купившие новый компьютер или путешествующие по миру. Тогда, для дополнительной аутентификации пользователя можно применить стандартную технологию «вопросов и ответов», где по мере необходимости пользователю предлагается ответить на контрольные вопросы, ответ на которые знает только сам пользователь. На эти же вопросы пользователь отвечает при регистрации в приложении и оно запоминает ответы.
Одной моделью безопасности не стоит ограничиваться, а по мере необходимости подключать дополнительные, объединяя их в политики, характеризующие различные аспекты работы пользователя с приложениями. Такими дополнительными моделями могут быть:
- Бизнес политики - активизируют бизнес правила, установленные в организации с целью уменьшения рисков выполнения мошеннических транзакций; сюда входят:
- Отслеживание транзакций в ходе сессий
- Правила выполнения транзакций
- Логика, управляемая ключевыми значениями (например, сумма финансовой транзакции)
- Процессные политики (workflow) – правила, определяющие «нормальное» поведение пользователя при работе с приложениями, применяются для отслеживания различного ро-да отклонений от обычного режима работы:
- Время, затраченное на работу со страницей
- Выполняемые транзакции
- Страницы, к которым был получен доступ
- Последующие указатели ресурса (URL)/шаги и промежуток времени между каждым шагом
- Проверка на отклонения от обычного поведения
- Предопределенные модели возможных рисков
- Политики обращения с данными сторонних систем – система мониторинга должна ин-тегрироваться с данными сторонних систем, такими как:
- Сведения об IP адресах
- Черные/белые списки
Другие системы определения мошеннических действий
Применяя модель, оценивающее «нормальное» поведение пользователя при работе с приложением – продолжительность его работы, интенсивность, количество действий, можно получить третий фактор при аутентификации пользователя (дополнительная аутентификацию).
Система мониторинга мошеннических действий Oracle Adaptive Access Manager (Рис. 4) в реальном масштабе времени обрабатывает входящие данные, представляющие собой информацию о пользователях, их местоположении, устройствах, совершаемых транзакций при помощи правил, собранных в модели по разным категориям, для проверки и обнаружения случаев мошенничества.
Каждое правило имеет свой вес и коэффициент значимости (W и S), которые обрабатываются на уровне моделей и передаются в механизм подсчета рисков для принятия решения. Если оценка риска превышает допустимый предел, инициируется ответное действие. Таким действием может быть блокировка действий пользователя, требование дополнительной аутентификации или генерация уведомления об инциденте, требующего дополнительного расследования.
Описание правил, формирование моделей, назначение весовых коэффициентов происходит прозрачно для администраторов системы мониторинга, и система не представляет собой некий «черный ящик» с неизвестными алгоритмами обработки событий и принятия решений. Полезным дополнением к системе мониторинга, работающей в реальном режиме времени служит модуль для анализа информации и проверки правил в off-line режиме, когда можно создать дополнительный экземпляр базы данных событий системы мониторинга, и проводить все эксперименты именно с ним. Такой модуль не только облегчает внедрение системы, но и позволяет создавать новые модели защиты для более адекватной реакции системы мониторинга на новые угрозы. Кроме этого, используя такой модуль можно подключиться к существующим базам данных приложений для электронного бизнеса и проанализировать уже проведенные транзакции на предмет поиска мошеннических.
Система мониторинга OAAM включает не только автоматические средства обнаружения мошеннических действий, но также и графический интерфейс для обслуживания самой системы и для анализа ее текущего состояния. Администраторы могут отслеживать уведомления, следить за журналами регистрации, текущими транзакциями. В OAAM имеется графический интерфейс для создания ролей, где предусмотрена возможность разделения обязанностей среди персонала, обслуживающего систему мониторинга. Роли:
- Администратор системы – в его компетенции находится поддержание работоспособности компонент системы
- Офицер безопасности системы – ответственен за создание и настройку моделей безопасности; в случае необходимости офицер должен иметь возможность отключить или изменить правила в моделях.
- Офицер безопасности по расследованию инцидентов – отвечает за проверку уведомлений и расследование происшествий
- Оператор по работе с клиентами – отвечает за работу с клиентами
Многофакторная аутентификация, реализованная программным образом, интеграция со средствами мониторинга, дают возможность оценки риска каждого интерактивного входа в систему, каждой транзакции, повышая уровень безопасности при аутентификации пользователей.
Примечания
Подрядчики-лидеры по количеству проектов
Инфосистемы Джет (66)
Softline (Софтлайн) (57)
SearchInform (СёрчИнформ) (54)
ДиалогНаука (44)
Информзащита (40)
Другие (923)
Инфосистемы Джет (5)
Национальный аттестационный центр (НАЦ) (4)
Солар (ранее Ростелеком-Солар) (4)
R-Vision (Р-Вижн) (4)
Card Security (Кард Сек) (4)
Другие (62)
Солар (ранее Ростелеком-Солар) (8)
SearchInform (СёрчИнформ) (4)
Информзащита (3)
А-Реал Консалтинг (3)
Softscore UG (2)
Другие (44)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
SearchInform (СёрчИнформ) (19, 58)
InfoWatch (ИнфоВотч) (14, 49)
Солар (ранее Ростелеком-Солар) (4, 48)
FalconGaze (Фалконгейз) (1, 38)
Positive Technologies (Позитив Текнолоджиз) (8, 37)
Другие (408, 310)
R-Vision (Р-Вижн) (1, 4)
Инфосекьюрити (Infosecurity) (2, 2)
Солар (ранее Ростелеком-Солар) (2, 2)
SETERE Group (быв. Security Technology Research -ТБИ (Технологии Безопасность Исследования)) (1, 2)
Makves (Маквес) (1, 2)
Другие (10, 13)
Солар (ранее Ростелеком-Солар) (2, 7)
SearchInform (СёрчИнформ) (2, 4)
А-Реал Консалтинг (1, 3)
Makves (Маквес) (1, 2)
Softscore UG (1, 2)
Другие (5, 6)
SearchInform (СёрчИнформ) (2, 2)
Инфосекьюрити (Infosecurity) (1, 1)
Киберполигон (1, 1)
ARinteg (АРинтег) (1, 1)
Cloud4Y (ООО Флекс) (1, 1)
Другие (8, 8)
SearchInform (СёрчИнформ) (2, 16)
Перспективный мониторинг (1, 4)
Positive Technologies (Позитив Текнолоджиз) (1, 2)
СП Облачная платформа (Базис, Basis) (1, 1)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
Другие (3, 3)
Распределение систем по количеству проектов, не включая партнерские решения
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 52
InfoWatch Traffic Monitor Enterprise (IWTM) - 46
FalconGaze SecureTower - 38
MaxPatrol SIEM - 33
DeviceLock Endpoint DLP Suite - 31
Другие 347
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
Makves DCAP (Data-Centric Audit and Protection) - 2
Kickidler Система учета рабочего времени - 2
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2
MaxPatrol SIEM - 2
Другие 12
Solar Dozor DLP-система - 4
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 4
Solar JSOC - 3
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Softscore UG: Anwork Бизнес-коммуникатор - 2
Другие 10
Подрядчики-лидеры по количеству проектов
Индид, Indeed (ранее Indeed ID) (56)
Инфосистемы Джет (50)
ДиалогНаука (37)
Softline (Софтлайн) (36)
Информзащита (33)
Другие (854)
Card Security (Кард Сек) (4)
Национальный аттестационный центр (НАЦ) (4)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
СэйфТек (SafeTech) (3)
Другие (52)
Индид, Indeed (ранее Indeed ID) (8)
Солар (ранее Ростелеком-Солар) (2)
Информзащита (2)
Deiteriy (Дейтерий) (2)
Softline (Софтлайн) (2)
Другие (33)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Индид, Indeed (ранее Indeed ID) (5, 57)
СэйфТек (SafeTech) (6, 38)
FalconGaze (Фалконгейз) (1, 38)
Аладдин Р.Д. (Aladdin R.D.) (20, 27)
Visa International (2, 26)
Другие (473, 231)
СэйфТек (SafeTech) (1, 3)
МегаФон (1, 2)
Samsung Electronics (1, 1)
Аладдин Р.Д. (Aladdin R.D.) (1, 1)
Konica Minolta (Коника Минолта) (1, 1)
Другие (3, 3)
Индид, Indeed (ранее Indeed ID) (3, 8)
СэйфТек (SafeTech) (1, 1)
Avanpost (Аванпост) (1, 1)
Солар (ранее Ростелеком-Солар) (1, 1)
Другие (0, 0)
Индид, Indeed (ранее Indeed ID) (2, 9)
Shenzhen Chainway Information Technology (1, 6)
СэйфТек (SafeTech) (1, 4)
Аладдин Р.Д. (Aladdin R.D.) (4, 3)
RooX Solutions (Рукс Солюшенс) (1, 1)
Другие (2, 2)
Индид, Indeed (ранее Indeed ID) (2, 3)
СэйфТек (SafeTech) (1, 3)
Shenzhen Chainway Information Technology (1, 2)
Axel Pro (Аксель Про) (1, 1)
RED Security, Прикладная техника (ранее МТС RED, Серенити сайбер секьюрити) (1, 1)
Другие (9, 9)
Распределение систем по количеству проектов, не включая партнерские решения
Indeed Access Manager (Indeed AM) - 45
FalconGaze SecureTower - 38
3-D Secure (3D-Secure) - 23
PayControl - 23
Avanpost IDM Access System - 20
Другие 274
PayControl - 3
МегаФон Мобильный ID - 2
ОТР.Опора - 1
Shenzhen Chainway C-серия RFID-считывателей - 1
JaCarta Authentication Server (JAS) - 1
Другие 3
Indeed Access Manager (Indeed AM) - 6
Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2
Indeed PAM - Indeed Privileged Access Manager - 2
Solar webProxy Шлюз веб-безопасности - 1
PayControl - 1
Другие 1