Сессионный модуль

Описание

Модуль предоставляет сессионную аналитику, дополненную данными об угрозах из множества источников. Продукт применяется для изучения образа взаимодействия пользователей с онлайн-сервисом и выявления случаев их аномального поведения и окружения.

Сессионный модуль предназначен:

  • для анализа устройств и окружения пользователя веб-ресурса и мобильного приложения (в случае использования модуля Mobile SDK), а также его поведенческих характеристик при работе в цифровых каналах обслуживания;

  • построения цифрового профиля и поведенческой модели пользователя веб-ресурса и мобильного приложения (в случае использования модуля Mobile SDK);

  • сессионного мониторинга цифровых каналов обслуживания с целью выявления нетипичного для пользователя поведения;

  • обнаружения использования множественных аккаунтов на одном устройстве, нелегитимных попыток входа, а также авторизации через устройства с плохой репутацией;

  • предотвращения компрометации пользовательских аккаунтов и персональных данных;

  • анализа характеристик онлайн-сессий для выявления признаков активности вредоносного программного обеспечения.

Принцип работы

Принцип работы сессионного модуля BI.ZONE AntiFraud представлен на рисунке ниже.

  1. Пользователь подключается к защищаемому ресурсу — в своем браузере переходит на веб-страницу заказчика или открывает мобильное приложение (в случае использования модуля Mobile SDK).

  2. Происходит активация сбора параметров устройства, окружения и поведенческих метрик пользователя.

  3. Все параметры устройства, окружения и поведенческие метрики пользователя, собранные в браузере, отправляются в BAF.

  4. В сессионном модуле BAF осуществляется анализ собранных данных и генерация результирующих событий о потенциально мошеннических действиях пользователя.

  5. Результирующие события из BAF передаются в системы заказчика. Опционально предоставляется доступ к пользовательскому интерфейсу для анализа сессий. Возможна настройка передачи от систем заказчика сообщений с обратной связью (подтверждение мошеннических действий) по онлайн-сессии для использования этой информации на стороне сессионного модуля BAF при расчете репутации пользователей, устройств, IP-адресов и т. п.

Преимущества

К основным техническим преимуществам сессионного модуля BAF относятся:

  • Формирование уникального цифрового профиля пользователя. Цифровой профиль включает в себя:

    • Цифровые отпечатки и характеристики устройств, зафиксированных в онлайн-сессиях пользователя. Создаются списки пользовательских устройств, динамически рассчитывается степень доверия к ним, а также отслеживаются изменение существующих и появление новых устройств у пользователя.

    • Характеристики пользовательских онлайн-сессий, такие как сетевое соединение и геолокация. Отслеживается типичность подключения и происходящие изменения.

    • Паттерны поведения пользователя при работе с защищаемым веб-ресурсом. Выявляются нехарактерные для пользователя действия.

  • Расчет репутации. В сессионном модуле BAF проводится непрерывный расчет репутации:

    • Для пользовательского устройства. Определяются устройства, с которых осуществляется доступ к веб-ресурсу под множеством различных учетных записей, создаются черные списки устройств, используемых кибермошенниками.

    • Для IP-адреса. Используется собственная база данных репутации IP-адресов, предназначенная в том числе для выявления использования адресов определенных категорий, имеющих повышенный уровень риска (VPN, VPS, Proxy, TOR и т. п.).

    • Для пользователя. Определяются пользователи веб-ресурса, замеченные в мошеннических действиях, выявляются потенциальные связи с другими учетными записями.

  • Выявление аномалий в сессиях. В течение сессии в режиме реального времени проводится анализ получаемых данных для выявления аномалий, которые могут свидетельствовать о мошеннической активности, в том числе с использованием вредоносного программного обеспечения, например:

    • Средства удаленного управления. Выявляются сессии, осуществляющиеся с применением удаленного подключения (RDP, VNC, TeamViewer и т. п.).

    • Подмена устройства. Отслеживается использование средств для подмены параметров устройства или эмуляторов.

    • Веб-инъекции. Обнаруживается наличие внедренного в код страниц веб-ресурса вредоносного JavaScript- или HTML-кода.

    • Автоматизация пользовательских действий. Вскрывается использование средств для автоматизированной работы с веб-ресурсом (боты).

  • Применение алгоритмов машинного обучения:

    • Использование машинного обучения позволяет адаптироваться к быстро меняющимся схемам мошенничества при минимальном количестве ложных срабатываний.

Размещение

Сессионный модуль BAF может эксплуатироваться:

  • как облачный сервис для заказчика, в этом случае компоненты BAF размещаются в инфраструктуре исполнителя,

  • как локальное решение в инфраструктуре заказчика.

Облачный сервис позволяет избежать расходов на закупку и эксплуатацию серверного оборудования, минимизировать влияние на существующий ландшафт ИТ-инфраструктуры заказчика, а также ускорить сроки ввода BAF в промышленную эксплуатацию. При этом облачный сервис по умолчанию защищен – персональные данные пользователей не передаются, чувствительная информация хешируется, а взаимодействие осуществляется по закрытым каналам.

Размещение BAF внутри периметра ИТ-инфраструктуры обеспечивает для заказчика возможность полного контроля собственных информационных активов.