4. Типы внутренних злоупотреблений и мошенничества
Внутренний потенциальный злоумышленник : настоящий или
.бывший работник
Внутреннее мошенничество
Злоумышленник использует ИТ для собственного обогащения или для
других персональных целей
Утечка информации
Злоумышленник использует средства ИТ дляраскрытия
конфи денциальнойкорпоративной аналитической информации
Информационный саботаж
Злоумышленник использует средства ИТ длянарушения
.функционирования бизнес-процессов организации
Jul 20, 2009 Jul 20, 2009 4
5. Существующие средства ИБ
Большинство элементов под контролем
…Кроме зарегистрированных пользователей
Web Server FTP Server Mail Server
DMZ
WEB
Application Server Database Server Mainframe
LAN
Firewall
VPN Gateway
Remote User Internal User Internal User Internal User
Jul 20, 2009 Jul 20, 2009 5
6. Традиционные способы обнаружения внутреннего
мошенничества
Базируются на анализе регистрационных журналов и баз данных приложений
Отчетности, которую можно получить из каждой информационной системы
В данные способы не попадают:
Просмотр, но не изменение данных журналов приложении и баз данных -
Действия привилегированных пользователей – ИТ персонала – часто не регистрируются -
Трудно достоверно воспроизвести порядок действий пользователя в различных приложениях-
- Разные приложения имеют различные виды и форматы журналов, что усложняет одновременную
выборку по ним
:Заключение
Традиционные способы не достаточны для активного обнаружения и
.предотвращения внутреннего мошенничества
Jul 20, 2009 Jul 20, 2009 6
8. Методология – 9 Шагов
Исследования Сбор информации и составление общей системы
Управление рисками
Решение Отчетность и анализ
Построение схемы решений
Установление сроков
Внедрение Активные действияI
Анализ информации
Активные действияII
Поддержка и обслуживание Контроль, обеспечение и обучение
Jul 20, 2009 Jul 20, 2009 8
14. Пример: Чейз Манхеттен банк
Возможные признаки мошенничества
На какие предупреждающие сигналы (Red Flags) необходимо
обратить внимание, чтобы вовремя предотвратить подобные
инциденты.
Комбинация событий:
Чрезмерное количество запросов информации о малоактивных
счетах.
Перевод денег с малоактивных счетов.
Традиционные средства анализа журналов и баз данных приложений
Могут отследить перевод денег с малоактивных счетов.
Не способны отследить:
o Действия в различных приложениях
o Запросы и другие Read-Only действия пользователя,
которые обычно не регистрируются.
Невозможность получения полной картины о действиях
пользователей может привести к большому количеству ложных
сообщений)False Positive Alerts).
Jul 20, 2009 Jul 20, 2009 14
28. Intellinх – Примеры использования
.Почтовый Банк Израиля
Регистрация операций на сумму выше$10,000
,Выявление всех банковских операций клиента в течении недели
.превышающих определенную сумму
Иппотечный Банк Тфахот
Регистрация всех операций, выполненных пользователями
Проигрывание действий определенных пользователей в течении
.определенного времени
(Национальний Банк Израиля(Леуми
Регистрация всех операций, выполненных пользователями в
.соответствии с нормативным актом 357 ГосБанка Израиля
Главный регистрационный журнал банка
SARS –Центральное налоговое управление ((Южная Африка
Регистрация всех операций, выполненных пользователями
Выявление случаев внутренних злоупотреблений и мошенничества
Jul 20, 2009 Jul 20, 2009 28