Silná autentizace a detekce fraudu (nejen) ve finančním sektoru jak to udělat správně David Matějů Senior Security Consultant CA Expo 2018
Vývoj autentizace uživatelů (nejen) v bankovnictví CÍL ZPŮSOB VÝSLEDEK 2010+ Personalizace každého přihlášení Pokročilé behaviorální modely, 2FA pouze v opodstatněných případech Rozpoznání oprávněných uživatelů, stop fradulentnímu chování 2005 Minimalizace negativních dopadů Základní analytika, SMS, HW OTP tokeny Mnoho false-positives, nespokojení uživatelé 2000 Omezení neoprávněných přístupů Složitá hesla, základní pravidla Zapomenutá hesla, pravidla one-size-fits-all, nespokojení uživatelé 90 léta Budování důvěry Jednoduchá statická hesla Jednoduše zcizitelné nebo odhadnutelné heslo 2
Uměním je vyvážit použitelnost, bezpečnost a náklady Použitelnost Náklady Bezpečnost 3
CA Advanced Authentication / CA Payment Security 2 v 1 CA STRONG AUTHENTICATION CA RISK AUTHENTICATION Credentials OTP via SMS Where is the user? What device is being used? Hardware OTP Mobile OTP KBA Q&A What is the user trying to do? Is the action consistent with history? Identifikace uživatele použitím široké škály autentizačních metod Autentizace v reálném čase založená na analýze rizika dané operace / transakce 4
CA Risk Authentication / CA Risk Analytics CA RISK AUTH / ANALYTICS Where is the user? What is the user trying to do? What device is being used? Is the action consistent with history? Přínosy obě strany Neviditelné pro uživatele Behaviorální analýza na pozadí Adaptivní skóring rizika Dynamická pravidla DeviceDNA identifikace zařízení Významné snížení podvodných přihlášení a transakcí Autentizace v reálném čase založená na analýze rizika dané operace / transakce 5
CA Risk Authentication / CA Risk Analytics CA RISK AUTH / ANALYTICS OBSERVED Operating System System Language Time Zone Offset Monitor Details (11 characteristics) Browser Details (5 Characteristics) Plug-ins IE Plug-ins Camera/Microphone Presence Fonts Network IP Address Connection Type (LAN, Dial-up, etc.) CPU Model and Clock Speed Volume of Boot Partitions True IP Address of End-User System CA RISK AUTH / ANALYTICS DERIVED Zone Hopping User Velocity Device Velocity User Previously Associated with Device New User or New Device Device Known, But New User at Device Negative IP Negative Device Trusted IP Trusted Device End-user geo location Anonymizing Proxy Check 6
CA Risk Auth / CA Payment Security Neuronová síť Neural Networks Ideální kombinace výkonu, flexibility a použitelnosti pro implementace velkých behaviorálních systémů Založeno na Advanced machine learning techniques Rozezná legitimní od fraudulentního chování v kontextu každého uživatele Učí se v reálném-čase Vysoká přesnost, minimum tzv. false-positives Výsledkem je srozumitelné rizikové skóre 7
CA Risk Auth / CA Payment Security Behaviorální model CA Model vybírá z tisíců komplexních proměnných a detekuje v nich trendy, podle historických dat na ně aplikuje další operace typu dobře/špatně, Pak vybere cca. 100 nejvlivnějších a ty použije pro oddělení legitimního a fradulentního chování. 8
CA Risk Auth / CA Payment Security Pravidla Cílí na známé typy útoku Kritická pro vyhodnocení rizikového skóre Okamžitá akce při vysokém riziku Definice vlastních pravidel Např. VIP, web, ios / Android, externí / interní, 9
Maximální detekce fraudu, minimální vliv na uživatele Dopad boje proti fraudu musí být nižší než ztráty z něj. Behaviorální modely krmené v reálném čase daty přinášejí nejlepší poměr ceny a výkonu Expertní systémy (pravidla) nemohou obsáhnout dynamický trh fraudu. 10
Výsledky behaviorálního modelu na potřebu sekundární autentizace 85% podvodů je detekováno při sekundárním ověření pouhých 5% uživatelů / klientů Další zvyšování nad 5% už přináší jen marginální výsledky Téměř 100% detekce podvodů již kolem 30% sekundárním ověřování Při sekundárním ověřování pouhé 0.1% uživatelů / klientů již detekujete kolem 25% podvodů Při sekundárním ověřování pouhého 0.5% uživatelů / klientů již detekujete kolem 50% podvodů Zvýšením sekundárního ověření z 10% na 50% uživatelů / klientů detekujete jen o 9% více podvodů. 11
01/03/2015 03/03/2015 05/03/2015 07/03/2015 09/03/2015 11/03/2015 13/03/2015 15/03/2015 17/03/2015 19/03/2015 21/03/2015 23/03/2015 25/03/2015 27/03/2015 29/03/2015 31/03/2015 02/04/2015 04/04/2015 06/04/2015 08/04/2015 10/04/2015 12/04/2015 14/04/2015 16/04/2015 18/04/2015 20/04/2015 22/04/2015 24/04/2015 26/04/2015 28/04/2015 30/04/2015 Success Rate (line) Daily Transaction Volume (bars) Reálná data transakce CNP (card not present) Risk-based autentizace zapnuta 30.3.2015 100% 98% 96% O 4% více úspěšných transakcí 7,000 6,000 94% 92% 90% 88% 86% 84% 82% 5,000 4,000 3,000 2,000 1,000 80% - 12
Daily Txn Volume Abandonment / Failure Rate Reálná data transakce CNP (card not present) Risk-based autentizace zapnuta 30.3.2015 Txn Volume Aban. Rate Failure Rate 7,000 6.00% 6,000 5.00% 5,000 4.00% 4,000 3,000 2,000 Skokové snížení počtu přerušených i neúspěšných transakcí. 3.00% 2.00% 1,000 1.00% - 0.00% 13
Daily Fraud Rate by Volume (bps) Reálná data transakce CNP (card not present) 80% snížení sekundárního ověření bez nárůstu fraudu 4.0 3.5 3.0 2.5 2.0 1.5 1.0 0.5 0.0 1-Feb 15-Feb 1-Mar 15-Mar 29-Mar 12-Apr 26-Apr 10-May 24-May Volume Fraud Rate (bps) Volume Fraud Trends 14
CA Advanced Authentication web, mobile, IoT CA Payment Security 3D Secure Použitelnost Náklady Bezpečnost 15
Děkuji za pozornost!
David Matějů Senior Security Consultant david.mateju@contractor.ca.com @cainc slideshare.net/cainc linkedin.com/company/ca-technologies ca.com