Embed Size (px)
DESCRIPTION
Alekseiy CHekanov (ALMITEK)
Citation preview
Обеспечение безопасности и непрерывности работы электронных платежных систем
Алексей Чеканов
11 октября 2007
Чего ждут клиенты…
Клиент рассчитывает, что пользоваться электронной платежной системой можно будет:
1. Безопасно2. 24x73. Комфортно
…и что получается
• Июнь 2007– 31709 новых фишинговых сайтов*
* Отчет Anti-Phishing Working Group** Опрос RSA, декабрь 2006
• 50% пользователей опасаются продолжать (или начинать) пользоваться онлайн-услугами финансовых организаций
EMEA - Malicious activity by country*
* Отчет Symantec, сентябрь 2007
EMEA - Top countries hosting phishing Web sites*
* Отчет Symantec, сентябрь 2007
Россия и Украина - 2007
Направленные атаки:• Яndex-деньги - фишинг• Альфа-банк – фишинг• Райффайзен Банк Аваль
(UA) – троянУниверсальные:• Трояны BanKey.A и
BankFake.A.
Голосовой фишинг (вишинг): • Альфа-банк, Райффайзен Банк, Банк Москвы,
Мастер Банк …
Цена потерь
• Сколько теряют клиенты?– $$ - 6.2 млн. руб. за 1 половину 2007 г.
(© Следственный комитет МВД)– $$ - Мнение зала?– Репутационный ущерб
• Сколько вы готовы потратить на борьбу?– До $10 на клиента– До $30 на клиента– До $50 на клиента– Свыше $50 на клиента
Управление безопасностью
Невозможно защитить всех участников ото всех угроз
• Управляйте рисками:– Оценка угроз– Оценка потерь
• Стройте стратегию управления безопасностью на основе анализа рисков
Адаптивная система защиты
• Онлайн анализ действий пользователя• Реакция на подозрительные транзакции
– Дополнительная аутентификация– Голосовое подтверждение– Одноразовые пароли– Биометрия– …
• Баланс между удобством и безопасностью
Подозрительные транзакции?
• Нетипичное поведение пользователя• Действия с высоким уровнем «тревоги»
– Вывод денег на счета других платежных систем
– Переводы значительных сумм денег на внешние банковские счета
• Действия с подозрением на последствия фишинга– «Засвеченные» IP-адреса– Скомпрометированные учетные записи
Проактивная защита
Защита точек доступа к платежной системе (Endpoint Security)
• Проверка рабочих мест пользователей:– Антивирусная защита– Сетевая защита (IDP, FW)– Антифишинг– Актуальность всех обновлений системы и баз антивирусов
• Автоматическая установка• Удаленное управление
Защита на уровне операторов связи
Совместные предложения с операторами
• Предложите пользователям не только доступ в Интернет –предложите им услугу по защите от внешних угроз
• “Clean pipe” – защита от троянов, фишинга, вирусов и т.п.
Доступность
Клиент ожидает от электронных платежных систем работы в режиме 24x7
• Доступность – не обязательно означает моментальное исполнение указаний клиента
• Если клиент не может получить доступа к системе – объясните ему причину
Управление уровнем доступности
• Определите целевые показатели доступности и восстановления
• Обеспечьте архитектуру систем, обеспечивающую их достижение
• Осуществляйте постоянный мониторинг доступности систем
Целевые показатели восстановления
• MTPD = Maximum Tolerable Period of Disruption• RTO = Recovery Time Objective• RPO = Recovery Point Objective
• Проведите анализ воздействия на бизнес –все параметры должны быть обоснованны
• Не забывайте пересматривать эти показатели по мере развития системы
• Не стесняйтесь прописывать их в SLA с партнерами и клиентами
Архитектура решения
• Осуществляйте развитие в рамках понятной стратегии параллельно с развитием бизнеса
• Используйте преимущества отказоустойчивой архитектуры «в мирное время»
Мониторинг
Не оставляйте ваши системы без присмотра!• Внешний мониторинг
– Доступность– Производительность– Корректность
• Внутренний мониторинг– Инженерная инфраструктура– ИТ инфраструктура– Информационная безопасность
