CNews: С чем связано повышенное внимание специалистов к антифрод-системам в последнее время?

Алексей Сизов: Атаки типа APT, MITM наряду с социальной инженерией и внутренним мошенничеством – сегодня наиболее опасные угрозы ИБ в корпоративном секторе, ведущие к наибольшим потерям. Большие риски связаны также с «атаками нулевого дня», которые являются новыми не только для конкретной компании, но и для экспертов рынка и отрасли ИБ в целом. Эти виды атак не детектируются традиционными средствами ИБ. Между тем, как показывает практика, основную часть потерь атакуемые компании несут в первые часы после начала атаки, поэтому скорость реакции на «нападение» имеет критически важное значение.

С учетом этих факторов на первый план выходят системы раннего обнаружения подозрительных событий, позволяющие детектировать атаки еще на стадии подготовки. Это в полной мере относится к такому классу решений, как антифрод-системы.

CNews: Антифрод – тема не новая на рыке. Какова динамика спроса на этот класс решений?

Алексей Сизов: В 2017 году мы наблюдали рост интереса к антифрод-системам: спрос на них повысился более чем вдвое, и это только по оценкам за неполный год. При этом у многих заказчиков (главным образом, из банковского сектора), ранее внедривших такие решения, антифрод-системы получают, можно сказать, вторую жизнь – начинается замещение старых систем на более совершенные системы нового поколения.

CNews: Что значит «новое поколение антифрод-систем»?

Алексей Сизов: Новое поколение – это, во-первых, новые технологии, на которых строятся антифрод-системы: стек больших данных и вычисления in-memory. Благодаря им время обработки событий, например, платежных транзакций, сокращается до десятых или даже сотых долей секунды, при этом не требуется, как это было прежде, приобретать оборудование и общесистемное ПО, стоимость которого могла многократно превышать стоимость самого антифрод-решения.

Во-вторых, это методология. На смену большому штату высококвалифицированных экспертов, которые анализируют события вручную, сегодня приходят методы машинного обучения (Machine Learning – ML). Их преимущество – в повышении скорости и точности анализа событий и возможности выявлять «атаки нулевого дня».

CNews: Есть ли уже такие системы на рынке, и понимают ли заказчики их преимущества?

Алексей Сизов: Ответ на оба вопроса – да. Антифрод-система нового поколения снимает ограничения традиционных систем, например, в части источников обрабатываемых событий. В таком антифрод-решении есть механизм, который позволяет обрабатывать критически важную для организации информацию из любых источников, будь то канал ДБО, система кредитного скоринга, SIEM, внешние сервисы Threat Intelligence и т.д.

Таким образом, заказчики избавлены от необходимости использовать для выявления фрода разные системы, работающие с разными видами операций. По такой идеологии «антифрода без границ» создавалось, например, наше собственное решение Jet Detective. Не побоюсь назвать его самой открытой и дружественной системой на рынке. Уверен, что решение позволит не только поднять планку качества антифрода, но и разрушить стереотип, что внедрение антифрод-решения – это долго.

CNews: Что вы имеете в виду, говоря об открытости антифрод-системы?

Алексей Сизов: Открытость системы означает возможность решать с ее помощью сложные технологические задачи, от интеграции источников до разработки сложных математических правил и политик, силами профильных экспертов, без привлечения разработчиков. Все это делается с помощью интуитивно понятного web-интерфейса, простота работы с которым приятно удивляет наших заказчиков. Всего день обучения, и антифрод-аналитик может самостоятельно выполнять задачи, для решения которых прежде требовался программист, а то и несколько.

Открытость – это также возможность выбора архитектурной схемы внедрения решения в инфраструктуру заказчика. За счет этого можно подобрать наиболее эффективный вариант использования текущих возможностей платформы.

Еще один фактор открытости – отсутствие компонентов black box. Думаю, мы сейчас единственный на рынке производитель, который готов детально рассказать о каждом подходе и алгоритме машинного обучения, не ссылаясь на ноу-хау или коммерческую тайну.

Большинство ключевых вендоров антифрод-решений пошли не по пути создания сложных математических моделей и управления ими (фабрик машинного обучения), а по пути использования интерпретируемых математических моделей. Их работа позволяет сформировать набор логических правил для выявления случаев фрода или других неправомерных действий. Это удобно, но есть нюанс: при таком подходе требуется экспертная оценка предлагаемой логики (и это важно, поскольку на практике примерно 5–10% условий являются с точки зрения эксперта некорректными), однако вытекающие из этой логики действия выполняются машиной, а не экспертом. Фактически происходит перекладывание ответственности за ошибки методов ML на заказчика, к тому же не один из методов не является по-настоящему открытым.

CNews: Какие задачи позволяет решить машинное обучение в рамках борьбы с фродом?

Алексей Сизов: ML помогает решить две задачи: повысить скорость реагирования на зафиксированную угрозу или факт мошенничества и детектировать атаки принципиально нового типа. Для этого применяется машинное обучение «с учителем» и машинный поиск аномалий.

Мы создали функционал, позволяющий работать с ключевыми математическими моделями «с учителем», но при этом не просто использовать давно известные алгоритмы, а готовить для каждой модели необходимые данные, обучать модель на выборках, проводить оценки ее качества.

Для выявления новых типов мошенничества наиболее рационален гибридный подход – комбинация классических методов машинного обучения «с учителем» и моделей выявления аномалий. Jet Detective работает с различными математическими моделями (Random Forest, Gradient Boosting, нейронная сеть, линейная регрессия, байесовская модель), выбирая наилучшую из них или используя их ансамбль.

Модель выявления аномалий позволяет сформировать максимальное количество профилей аномалий на основе различных метрик поведения или просто последовательности событий, а обучающие выборки, полученные как по факту анализа результатов работы моделей, так и исходя из фактически зафиксированных фактов фрода, дают возможность оценить критичность аномалии. Все это позволяет прогнозировать реальные инциденты, имеющие высокий показатель риска.

Применяя такие модели на больших объемах данных для контроля поведения клиентов или сотрудников, аномалии в 80% случаев удается замечать еще до момента реализации риска. В зависимости от предметной области или бизнес-процесса это может делаться в течение минут и часов (в случае каналов ДБО и платежных сервисов) или дней (в случае контроля сотрудников).

CNews: Чем выгодно использование именно вашего антифрод-решения?

Алексей Сизов: Любую систему заказчик выбирает по критериям скорости, эффективности, стоимости. По скорости обработки операций наша система не уступает решениям ведущих игроков на рынке. Превзойти показатели в сотые доли секунды на обработку поступающего в антифрод-систему события сегодня уже сложно, да и для реальных бизнес-процессов это не нужно. Наше преимущество – высокая скорость работы с самим решением: подключение новых источников, ввод новых данных, создание логики.

Что касается эффективности работы, то ее залогом является полная открытость системы. А повышение эффективности антифрода – ключевая выгода для любой организации.

Сделать систему дешевле позволяют применяемые инновационные технологии. Один только отказ от реляционных СУБД дает выигрыш в 30–40% по сравнению с конкурентами. Да и в целом наша политика лицензирования вполне лояльна и позволяет не ставить на разные чаши весов качество и стоимость решения.

CNews: Сегодня многие направления ИБ переводятся на аутсорсинг. Что с антифродом?

Алексей Сизов: Да, мы часто рекомендуем заказчикам не только внедрять подобные решения у себя, но и пробовать работать по SaaS-модели. Ее выгоды для небольших организаций очевидны. Если проект сводится к достаточно стандартизированным функциям подключения, анализа и т.д., то заказчик несет гораздо меньше расходов. Он не тратит больших средств на полноценный проект с закупкой оборудования и общего объема лицензий, он покупает только ту услугу, которая ему нужна в текущий момент. К услугам заказчиков наш собственный виртуальный ЦОД, сертифицированный для хранения персональных данных. Регуляторные требования в некоторых областях могут создавать сложности для реализации такой модели, но они вполне преодолимы.

CNews: Каковы перспективы дальнейшего развития Jet Detective?

Алексей Сизов: Jet Detective – это больше, чем система противодействия мошенничеству или, например, оценки кредитных заявок. Это полноценная платформа, способная решать также бизнес-задачи. Организации все чаще объединяют различные направления контроля в рамках одного подразделения, которое централизованно отвечает за управление всеми видами рисков. Jet Detective может стать рабочим инструментом для такого подразделения. В перспективе система «перерастет» специализированные направления безопасности и AML и перейдет на поле бизнес-контроля, который становится все более востребован.

Подводя итог, отмечу, что к настоящему времени аудитория потенциальных пользователей антифрод-систем с использованием методов математического моделирования разделилась на два лагеря: одни уже убедились в эффективности применения комбинации ML и элементов rule-based анализа, другие ищут тому подтверждение. Но период полного недоверия и скепсиса уже ушел в прошлое.