Бетта Секьюрити: Как остановить мошенничество до того,...

2Apr 12, 2023 Apr 12, 2023 ©Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved

Внутренние злоупотребления– возрастающая опасность

Данные опроса 2008 ACFE - Ассоциация Сертифицированных Экспертов по выявлению мошенничеств

Средний убыток от инсайдерских злоупотреблений составляет 7% от годового оборота

В 60% всех злоупотреблений и мошенничеств замешаны сотрудники самих компаний.

65% злоупотреблений и мошенничеств были обнаружены случайно.В среднем, злоупотребления и мошенничества продолжались 24 месяцев до их обнаружения.

Исследование Центра инсайдерских угроз в финансовом сектореСША(Июнь 2005)

В 78% случаев мошенниками были свои же работники, использующие простые, вполне легитимные действия.

Исследования компании «Ernst&Young»,Май 2009

В период экономического кризиса ожидается увеличение числа случаевкорпоративного мошенничества среди сотрудников крупных компаний на 64%.

наемные работники боятся быть уволенными и у них растет соблазн обмануть хозяев .


Как хорошо Вы знаете своих сотрудников?

4Apr 12, 2023 Apr 12, 2023

Типы внутренних злоупотреблений и мошенничества

Внутренний потенциальный злоумышленник: настоящий или бывший работник.

Внутреннее мошенничество

Злоумышленник использует ИТ для собственного обогащения или для других персональных целей

Информационный саботаж Злоумышленник использует средства ИТ для нарушения функционирования бизнес-процессов организации.

Утечка информации

Злоумышленник использует средства ИТ для раскрытия конфиденциальной корпоративной аналитической информации

5Apr 12, 2023 Apr 12, 2023

…Кроме зарегистрированных пользователей

LAN

Application Server Database Server Mainframe

Web Server FTP Server Mail Server

DMZ

Internal User Internal User Internal User

WEB

Firewall

VPN Gateway

Remote User

Большинство элементов под контролем

Существующие средства ИБ

6Apr 12, 2023 Apr 12, 2023

Традиционные способы обнаружения внутреннего мошенничества

Базируются на анализе регистрационных журналов и баз данных приложений

Отчетности, которую можно получить из каждой информационной системы

-Трудно достоверно воспроизвести порядок действий пользователя в различных приложениях

Заключение:Традиционные способы не достаточны для активного обнаружения и предотвращения внутреннего мошенничества.

-Просмотр, но не изменение данных журналов приложении и баз данных

-Действия привилегированных пользователей – ИТ персонала – часто не регистрируются

В данные способы не попадают:

- Разные приложения имеют различные виды и форматы журналов, что усложняет одновременную выборку по ним


Что делать и как с этим бороться?

8Apr 12, 2023 Apr 12, 2023

Методология – 9 Шагов

Сбор информации и составление общей системы

Управление рисками

Отчетность и анализ

Построение схемы решений

Установление сроков

Активные действия I

Анализ информации

Контроль, обеспечение и обучение

Исследования

Решение

Внедрение

Активные действия II

Поддержка и обслуживание


Intellinx – решение для управления рисками и предотвращения мошенничества

Сбор информации

Отслеживание сетевых потоков: экраны, транзакции, Web-страницы и прочее.

Журналы приложений и базы данных

Справочная информация

Поиск, Проигрывание - «Черный ящик» компании.

Полное воспроизведение сеансов работы пользователей

Гибкая и быстрая поисковая система - “как Google”

Аналитический процессор

Предопределенные правила для распознавания нарушений в порядке работы пользователей в реальном времени

Динамические профили и рейтинговые модели

Новые правила могут быть определены и использованы пост-фактум – для расследования событий в прошлом

Инструментарий для расследования и ведения дел

Аналитический инструментарий для расследования событий

Динамические отчеты и графики

Инструментарий для анализа и минимизации ошибочных результатов


Intellinx может идентифицировать:

Что Просмотр определенного банковского счета всеми пользователями

Что Манипуляции с банковским счетом из Черного/Белого списка

Как Поиск счета по имени клиента более чем Х раз в течении определенного промежутка времени

Когда Действия в нерабочие часы

Корреляция по времени

Тот же пользователь(user- id ) с разных терминалов в то же время

Корреляция по времени

В центре обслуживания - Просмотр данных клиента без сопутствующего звонка клиента

Корреляция по данным

Добавление адреса/совладельца счета к разных банковских счетам

Откуда Любые действия выполнены из того же места/терминала

Агрегация Сумма денежных переводов с того же счета в течении определенного периода времени превышает определенный лимит

Процесс Добавление совладельца, затем перевод денег, затем удаление совладельца – в течении определенного промежутка времени

Процесс Увеличение кредитного лимита, затем перевод денег, затем уменьшение кредитного лимита – в течении определенного промежутка времени


Intellinx – Расследование внутренних злоупотреблений и мошенничества

Детальное отслеживание манипуляций пользователей с конфиденциальной информациейПример: Поиск всех пользователей, имеющих доступ к определенному номеру счета

Контролирование критических бизнес-процессовПример: предупреждение об изменении информации о клиентах несколько раз в течении определенного периода

Идентифицирование неправомерных действий пользователей Примеры :

Чрезмерная частота выполнения определенных операцийВнеурочное время выполнения определенных операцийЧрезмерное обращение к конфиденциальной информацииЧастые случаи прерывания или неадекватного вмешательства в определенные деловые процессы

Контролирование действий технического персоналаПример: изменение конфиденциальной информации средствами Администрации базы данных(ДБА)


Технология Intellinх-Sniffing Collection Analyzing Network Transmission

Патентно-защищенная технология прослушивания и анализирования сетевых пакетов.

Нет нужды в установке каких-либо компонентов на клиенте или на сервере.

Нет влияния на производительность серверов или сети.

Установка за несколько часов, без всякого риска для регулярного порядка работы.

Данные сохраняются в сжатом формате.

Данные записываются в закодированном и защищенном от изменений формате.

Поддерживаемые технологии и платформы: •IBM Mainframe: 3270, MQ, LU0, LU6.2•IBM System-i(АS/400): 5250, MPTN•Web: HTTP/ HTTPS/SOAP•Client/Server: TCP/IP, MQ Series, MSMQ, SMB,FTP, Entire Broker….•VT100, SSH•SWIFT, FIX, ISO8583 (ATM), другие аппликативные протоколы.•RDBMS – Oracle(TNS), MS SQL(TDS), DB/2(DRDA)

13Apr 12, 2023 Apr 12, 2023

Пример: Чейз Манхеттен банк Кража с малоактивных счетов.

14Apr 12, 2023 Apr 12, 2023

На какие предупреждающие сигналы (Red Flags) необходимо обратить внимание, чтобы вовремя предотвратить подобные инциденты. Комбинация событий:

Чрезмерное количество запросов информации о малоактивных счетах. Перевод денег с малоактивных счетов.

Традиционные средства анализа журналов и баз данных приложений Могут отследить перевод денег с малоактивных счетов.Не способны отследить:

o Действия в различных приложенияхo Запросы и другие Read-Only действия пользователя,

которые обычно не регистрируются.

Невозможность получения полной картины о действиях пользователей может привести к большому количеству ложных сообщений(False Positive Alerts).

Пример: Чейз Манхеттен банк Возможные признаки мошенничества


Случай 2 – Утечка информации о знаменитостяхБанк получает нежелательную огласку.

Как можно обнаружить, кто ответственен за утечку информации– работники банка или посторонние?


Случай 3 : Чужие логиныSociete General


Случай 3 – Использование чужих логиновСлужащий банка выполняет банковские операции, используя чужие логины. При этом он инициирует и утверждает транзакции вместо сотрудника, имеющего соответствующие привилегии.Как можно это обнаружить?

Intellinx позволяет определить правила для выявления использования чужих логинов:

-Тот же логин использован в тоже самое время с двух разных терминалов.

-Несколько логинов использованы на том же терминале.

-Использован логин пользователя физически не находящегося в офисе – пользователь не провел магнитную карточку на входе в офис.

-Действия пользователя в системе после окончания рабочего дня.


Случай 4 – Транзакции с кредитными карточкамиРаботник телефонного центра просматривает месячный отчет о транзакциях определенных клиентов и «сливает» информацию частным детективам. Правила кредитной компании обуславливают доступ к информации о клиентах только в случае получения звонка от клиента через IVR (interactive voice response)

Нормальный порядок работы : Работник Кол-Центра получает телефонный запрос от клиента и выполняет требуемые действия с данными клиента.

Intellinx обнаруживает необычное поведение: Работник Кол-Центра просматривает информацию о клиентах без предварительного звонка.

Каким образом можно удостовериться, что работник просматривал информацию только после получения звонка?


Бизнес Правила Активное отслеживание действий

пользователей


Предопределенные бизнес правила

Более 100 предопределенных правил для выявления и предотвращения нарушений и аномалий в действиях пользователей:

В банковской сфере

Страховании

Информационной безопасности

Правила разработаны экспертами в области информационной безопасности и финансов.

Правила разработаны на опыте внедрения Intellinx у различных клиентов и постоянно расширяются.

Модель, позволяющая определять конфигурацию и настройку параметров в соответствии с требованиями конкретного клиента


Какую пользу может принести Intellinx компании

Укрепление информационной безопасности компании посредством выявления нарушений и аномалий в действиях пользователей

Полное отслеживание действий пользователей

Отслеживание попыток злоупотреблений, мошенничества и утечки информации в режиме реального времени

Гибкие инструментарии для проведения расследований и анализа

Предоставление средств для соответствия принятым законам и стандартам :СТО БР ИББС-1.0-2008 , SOX, AML, Basel II, HIPAA and GLBA

Отслеживания информационных потоков между системами до расследования деловой активности пользователей

25Apr 12, 2023 Apr 12, 2023

Клиенты Intellinx …

Банки и Финансы Страховые компании

Учреждения Здравохранение и коммерция


Отзывы клиентов об Intellinx

Банк Леуми(Израиль). Мр. Сассон Мордехай, Вице-Президент, Руководитель оперативного Отдела.

Как финансовая организация, мы должны отвечать требованиям законодательства о полной регистрации действий персонала и пользователей. Intellinx дал возможность Банку Леуми соответствовать этим требованиям после очень быстрого процесса внедрения, позволив сохранить много месяцев, требовавшихся для внесения изменений в наши системы. Intellinx – это решение, не влияющее на нашу инфраструктуру и требующее очень ограниченные дисковые ресурсы.

Администрация Штата Делавэр(США). Мс. Пегги Белл. Исполнительный Директор Юридической и Криминальной Информационной Службы:Результаты внедрения Intellinx были более впечатляющие , чем мы ожидали:

-Система отслеживания функционирует фантастически-Работа с Intellinx просто ошеломляет

-Период расследования утечки информации сократился на 90%-Потенциальная угроза безопасности сотрудников органов и общественности значительно уменьшилась


Что аналитики говорят об Intellinx

Joseph Feiman, Gartner

Intellinx внесен в список производителей наиболее заметных (“cool vendor” ) продуктов в

категории "Разработка приложений"(‘Application Development’), 2006

«Gartner определяет список «cool vendors« - производителей продуктов, вызвавших

наибольший интерес в прошлом году, из-за предлагаемой технологии или новаторских ,

необычных решений. Они предлагают продукты или услуги , позволяющие пользователям

делать вещи, которые они не могли делать раньше, и которые значительно влияют или

повлияют на ведение бизнеса«

28Apr 12, 2023 Apr 12, 2023

Intellinх – Примеры использования

Почтовый Банк Израиля.Регистрация операций на сумму выше $10,000

Выявление всех банковских операций клиента в течении недели ,превышающих определенную сумму.

Иппотечный Банк ТфахотРегистрация всех операций, выполненных пользователямиПроигрывание действий определенных пользователей в течении определенного времени.

Национальний Банк Израиля(Леуми)Регистрация всех операций, выполненных пользователями в соответствии с нормативным актом 357 ГосБанка Израиля.Главный регистрационный журнал банка

SARS – Центральное налоговое управление (Южная Африка)Регистрация всех операций, выполненных пользователямиВыявление случаев внутренних злоупотреблений и мошенничества


Спасибо Спасибо За вниманиеЗа внимание

Бетта Секьюрити: Как остановить мошенничество до того,...

Documents

rights reservedjul

google intellinx

societe general intellinx

user id

mptn web

mq series

ibm mainframe

gartner cool vendors