探讨构建新一代欺诈防御解决方案 William Wei(魏小强) Cell: 86-13911789798 © 2013 IBM Corporation 主題 2014最新欺诈攻击技术 趋势分析 如何构建新一代动态金融欺诈安全防御体系 如何构建移动支付安全解决方案 大数据优势欺诈情报分析与跨渠道服务的优势 问与答 恶意程序危险趋势/ 2014最危险恶意程序趋势 1.
Download ReportTranscript 探讨构建新一代欺诈防御解决方案 William Wei(魏小强) Cell: 86-13911789798 © 2013 IBM Corporation 主題 2014最新欺诈攻击技术 趋势分析 如何构建新一代动态金融欺诈安全防御体系 如何构建移动支付安全解决方案 大数据优势欺诈情报分析与跨渠道服务的优势 问与答 恶意程序危险趋势/ 2014最危险恶意程序趋势 1.
Slide 1
探讨构建新一代欺诈防御解决方案
William Wei(魏小强)
Cell: 86-13911789798
© 2013 IBM Corporation
Slide 2
主題
2014最新欺诈攻击技术 趋势分析
如何构建新一代动态金融欺诈安全防御体系
如何构建移动支付安全解决方案
大数据优势欺诈情报分析与跨渠道服务的优势
问与答
2
Slide 3
恶意程序危险趋势/
2014
3
Slide 4
2014最危险恶意程序趋势
1. 源码泄露将大大加速恶意程序的发布周期
恶意程序Carberp 源码在2013年6月发布,从而提供给犯罪分子机会开发新的恶
意程序变种。我们也看到同样的开发发生在2011年5月份 Zeus 2.0.8.9 源码泄露
后导致新的变种如 Ice IX 和Citadel 恶意程序的出现。
为什么非常危险?
新的恶意程序变种包含新的特诊,签名,以及伪装功能,而其它传统防御技术
从来没有发现过。这就导致标准的反病毒/反恶意程序平台不可能来识别这种
恶意程序。犯罪分子就可以为所欲为。
4
Slide 5
2014最危险恶意程序趋势(2)
2. 手机短信转发恶意程序将变得无处不在
转发手机短信的能力将成为一个标准功能,而几乎所有主要的恶意程序家族,
以及单机短信转发恶意软件一应俱全。
为什么非常危险?
手机短信验证显示交易的全部信息,但是做为代外认证手段已经变得没有用处。
同时,企业必须警惕的是短信通讯被入侵带来的潜在风险同时伴随着飞速发展
的移动设备的巨大用户群。手机银行、移动互联网银行等已然成为未来主流。
从而让这一风险更加触目惊心。
5
Slide 6
2014最危险恶意程序趋势(3)
3. 经典传统恶意程序重新焕发活力
当安全产品能够检测新的网络犯罪技术时,恶意程序的开发者回头去研究那些
更多需要手工和消耗时间的传统方法来绕过很多先进的检测和防御解决方案。
为什么非常危险?
异常检测和设备ID解决方案现在能够被一些非常基本和简单的网络犯罪技术轻
易的绕过或避开。例如,我们发现多个恶意程序变种阻止用户与真实网站进行
交互,从而使客户原有的欺诈检测解决方案不太有效。
6
Slide 7
2014最危险恶意程序趋势(4)
4. 帐号控制将迁移到受害者的电脑设备上
欺诈者不再使用他自己的机器进行入侵控制帐号攻击,他直接通过访问受害者
的机器使用多种远程访问技术。这种方法可以绕开多种设备指纹技术,因为欺
诈者使用真正的受害者的真实设备
为什么非常危险?
设备指纹技术常常用来查明是否该帐号访问点来源于客户知道的设备或者一个
不同的设备。当访问来自于客户设备,而它提供给指纹识别解决方案的是合法
的用户访问他自己的帐号。
7
Slide 8
2014最危险恶意程序趋势(5)
5. 恶意程序反研究反破解变得更加普及
现代的恶意软件使用多种技术来避免端点和基于网络的安全软件的检测平台。
然而,现在我们越来越多地看到恶意软件,使用各种技术(包括先进的加密和
虚拟机和调试软件),以避免被恶意软件研究人员进行分析。反侦察反分析将
成为大多数恶意软件产品的标准组件。
为什么非常危险?
安全解决方案的更新与基于恶意软件研究对策。如果恶意软件不能研究,不能
开发反制措施。采取的斗争,以更早的阶段 - ?恶意软件编写者正大力投资在
确保 研究人员还不能分析和检测自己的软件
8
Slide 9
浏览器人恶意程序:任何事情均有可能
Login:
Password:
***
*
PII 身份盗窃
帐号盗窃
社会工程攻击
9
Slide 10
网络钓鱼呈猖獗之势
10
Slide 11
新威胁 vs.传统思路
设备识别
挑战问题
恶意程序
OTP 设备
浏览器人,
实时钓鱼
带外认证
手机人/Man in the Mobile
x
登陆签名
社会工程
恶意程序
虚拟浏览器棒
内存注入
恶意程序
鼠標點擊流檢測
惡意軟体採取模擬人
(Human-like) 行爲
绕过
11
Slide 12
Security Solution Silos
12
Slide 13
重新思考欺诈防范的方法
欺诈性交易监测
用户认证
保护真用户和交易
你难道相信交易来
源于一个被恶意程
序感染的设备吗?
防止恶意程序冒充
真用户和交易
恶意程序防御
13
Slide 14
如何构建新一代金融反欺诈
解决方案
Slide 15
犯罪分析利用恶意程序攻击最薄弱环节
容易
个人/企业客户
客户账户
容易
网络犯罪
困难
15
Slide 16
绝大多数欺诈发生的根本原因:
中间浏览器人恶意程序和网络钓鱼
MitB 中间浏览器人攻击是最大风险
… which is why regulators are
focused on the problem
Phishing and
Other
10% 0%
Insider
“几年前的指导意见为通过控制技术
实现,现已经不那么管用了..”
13%
77%
MitB and Keylogging
“恶意程序能够损毁一些强大的认
证技术”
“銀行需要採取措施,假設所有的
PC 感染了宙斯惡意代碼”
Source:
16
Slide 17
解剖恶意程序攻击
系统渗透
恶意程序
注入
欺诈活动
执行
資金
损失
用户目标
社會工程
Web / OS 漏
洞
恶意程序安
裝
Web 注入,
抓取帐号凭
证
骗子帐号转帐 ,
实时欺诈
17
Slide 18
新威胁,新想法
防患于未然总是好于事后补救
被动应对
交易检测
主动预防
事后灭火
事中欺诈监测
/阻断威胁
•
资金已损失
•
分析欺诈操作时间和源头
•
•
误报: 人工复核成功高,
客户需要参与很麻烦
•
阻断中间人攻击和网络钓
鱼
需要客户参与且麻烦多
•
漏報: 欺詐
•
•
面临监管审查
•
不清楚为何账号被盗
阻断账号被盗和跨渠道欺
诈
•
品牌已经受损
•
消耗大量资源
•
识别欺诈者和账号丢失
•
明显改善客户体验
18
Slide 19
零日漏洞颠覆传统安全防御
手段
Slide 20
零时差恶意程序巨大危害
終端檢測和阻斷犯罪邏輯
100,000,000
Endpoints
OddJob
Shylock
Sunspot
Tilon
Torpig v2
SpitMo for
Android
Ramint goes
financial
20
Slide 21
多层次整体欺诈主动防御解决方案
事中欺诈防范
多渠道欺诈防范
电信诈骗欺诈防范
Online Banking
Phishing and
Malware Fraud
事前防范
移动渠道欺诈
防范
Mobile Fraud Risk
WWW
事前欺诈防范
Advanced Threats
(Employees)
Wire, ACH, Internal Apps
Account Takeover,
New Account Fraud
Slide 22
Questions?
© 2013 IBM Corporation
探讨构建新一代欺诈防御解决方案
William Wei(魏小强)
Cell: 86-13911789798
© 2013 IBM Corporation
Slide 2
主題
2014最新欺诈攻击技术 趋势分析
如何构建新一代动态金融欺诈安全防御体系
如何构建移动支付安全解决方案
大数据优势欺诈情报分析与跨渠道服务的优势
问与答
2
Slide 3
恶意程序危险趋势/
2014
3
Slide 4
2014最危险恶意程序趋势
1. 源码泄露将大大加速恶意程序的发布周期
恶意程序Carberp 源码在2013年6月发布,从而提供给犯罪分子机会开发新的恶
意程序变种。我们也看到同样的开发发生在2011年5月份 Zeus 2.0.8.9 源码泄露
后导致新的变种如 Ice IX 和Citadel 恶意程序的出现。
为什么非常危险?
新的恶意程序变种包含新的特诊,签名,以及伪装功能,而其它传统防御技术
从来没有发现过。这就导致标准的反病毒/反恶意程序平台不可能来识别这种
恶意程序。犯罪分子就可以为所欲为。
4
Slide 5
2014最危险恶意程序趋势(2)
2. 手机短信转发恶意程序将变得无处不在
转发手机短信的能力将成为一个标准功能,而几乎所有主要的恶意程序家族,
以及单机短信转发恶意软件一应俱全。
为什么非常危险?
手机短信验证显示交易的全部信息,但是做为代外认证手段已经变得没有用处。
同时,企业必须警惕的是短信通讯被入侵带来的潜在风险同时伴随着飞速发展
的移动设备的巨大用户群。手机银行、移动互联网银行等已然成为未来主流。
从而让这一风险更加触目惊心。
5
Slide 6
2014最危险恶意程序趋势(3)
3. 经典传统恶意程序重新焕发活力
当安全产品能够检测新的网络犯罪技术时,恶意程序的开发者回头去研究那些
更多需要手工和消耗时间的传统方法来绕过很多先进的检测和防御解决方案。
为什么非常危险?
异常检测和设备ID解决方案现在能够被一些非常基本和简单的网络犯罪技术轻
易的绕过或避开。例如,我们发现多个恶意程序变种阻止用户与真实网站进行
交互,从而使客户原有的欺诈检测解决方案不太有效。
6
Slide 7
2014最危险恶意程序趋势(4)
4. 帐号控制将迁移到受害者的电脑设备上
欺诈者不再使用他自己的机器进行入侵控制帐号攻击,他直接通过访问受害者
的机器使用多种远程访问技术。这种方法可以绕开多种设备指纹技术,因为欺
诈者使用真正的受害者的真实设备
为什么非常危险?
设备指纹技术常常用来查明是否该帐号访问点来源于客户知道的设备或者一个
不同的设备。当访问来自于客户设备,而它提供给指纹识别解决方案的是合法
的用户访问他自己的帐号。
7
Slide 8
2014最危险恶意程序趋势(5)
5. 恶意程序反研究反破解变得更加普及
现代的恶意软件使用多种技术来避免端点和基于网络的安全软件的检测平台。
然而,现在我们越来越多地看到恶意软件,使用各种技术(包括先进的加密和
虚拟机和调试软件),以避免被恶意软件研究人员进行分析。反侦察反分析将
成为大多数恶意软件产品的标准组件。
为什么非常危险?
安全解决方案的更新与基于恶意软件研究对策。如果恶意软件不能研究,不能
开发反制措施。采取的斗争,以更早的阶段 - ?恶意软件编写者正大力投资在
确保 研究人员还不能分析和检测自己的软件
8
Slide 9
浏览器人恶意程序:任何事情均有可能
Login:
Password:
***
*
PII 身份盗窃
帐号盗窃
社会工程攻击
9
Slide 10
网络钓鱼呈猖獗之势
10
Slide 11
新威胁 vs.传统思路
设备识别
挑战问题
恶意程序
OTP 设备
浏览器人,
实时钓鱼
带外认证
手机人/Man in the Mobile
x
登陆签名
社会工程
恶意程序
虚拟浏览器棒
内存注入
恶意程序
鼠標點擊流檢測
惡意軟体採取模擬人
(Human-like) 行爲
绕过
11
Slide 12
Security Solution Silos
12
Slide 13
重新思考欺诈防范的方法
欺诈性交易监测
用户认证
保护真用户和交易
你难道相信交易来
源于一个被恶意程
序感染的设备吗?
防止恶意程序冒充
真用户和交易
恶意程序防御
13
Slide 14
如何构建新一代金融反欺诈
解决方案
Slide 15
犯罪分析利用恶意程序攻击最薄弱环节
容易
个人/企业客户
客户账户
容易
网络犯罪
困难
15
Slide 16
绝大多数欺诈发生的根本原因:
中间浏览器人恶意程序和网络钓鱼
MitB 中间浏览器人攻击是最大风险
… which is why regulators are
focused on the problem
Phishing and
Other
10% 0%
Insider
“几年前的指导意见为通过控制技术
实现,现已经不那么管用了..”
13%
77%
MitB and Keylogging
“恶意程序能够损毁一些强大的认
证技术”
“銀行需要採取措施,假設所有的
PC 感染了宙斯惡意代碼”
Source:
16
Slide 17
解剖恶意程序攻击
系统渗透
恶意程序
注入
欺诈活动
执行
資金
损失
用户目标
社會工程
Web / OS 漏
洞
恶意程序安
裝
Web 注入,
抓取帐号凭
证
骗子帐号转帐 ,
实时欺诈
17
Slide 18
新威胁,新想法
防患于未然总是好于事后补救
被动应对
交易检测
主动预防
事后灭火
事中欺诈监测
/阻断威胁
•
资金已损失
•
分析欺诈操作时间和源头
•
•
误报: 人工复核成功高,
客户需要参与很麻烦
•
阻断中间人攻击和网络钓
鱼
需要客户参与且麻烦多
•
漏報: 欺詐
•
•
面临监管审查
•
不清楚为何账号被盗
阻断账号被盗和跨渠道欺
诈
•
品牌已经受损
•
消耗大量资源
•
识别欺诈者和账号丢失
•
明显改善客户体验
18
Slide 19
零日漏洞颠覆传统安全防御
手段
Slide 20
零时差恶意程序巨大危害
終端檢測和阻斷犯罪邏輯
100,000,000
Endpoints
OddJob
Shylock
Sunspot
Tilon
Torpig v2
SpitMo for
Android
Ramint goes
financial
20
Slide 21
多层次整体欺诈主动防御解决方案
事中欺诈防范
多渠道欺诈防范
电信诈骗欺诈防范
Online Banking
Phishing and
Malware Fraud
事前防范
移动渠道欺诈
防范
Mobile Fraud Risk
WWW
事前欺诈防范
Advanced Threats
(Employees)
Wire, ACH, Internal Apps
Account Takeover,
New Account Fraud
Slide 22
Questions?
© 2013 IBM Corporation