36 minute read
SECURITY AND IT MANAGEMENT
from sistbezop_052022
by borov665
Алексей Захаренков
Advertisement
Главный риск обусловлен доступностью аТМ, зачастую отсутствием физической охраны на объектах, что дает возможность злоумышленникам оперативно провести необходимые действия с аТМ и беспрепятственно покинуть место преступления. Статистика последних нескольких лет достаточно печальна. Банки, не уделяющие внимания технической защите своих аТМ, теряют вгод десятки, а иногда и сотни миллионов рублей, в зависимости от региона, загруженности аТМ деньгами и количества аТМ в свободном доступе.
Защитит ли страхование?
несомненно, банки страхуют свои потери, но с каждым очередным похищенным аТМ страховые компании повышают страховые премии и устанавливают весьма существенную франшизу. надо также учитывать тот факт, что сам аТМ, которому нанесен физический ущерб злоумышленниками, страховке не подлежит и банки вынуждены либо списывать, либо восстанавливать банкомат, неся достаточно серьезные операционные расходы. зная криминальную статистику, можно с уверенностью утверждать, что банки, обладающие обширной банкоматной сетью в Москве и регионах, теряют только в результате подрывов и хищений более 10 аТМ в год. и это не считая иных действий, таких как скимминг и установка вредоносного ПО. Так, один из банков первой десятки страховые компании просто перестали обслуживать, поскольку страховые премии уже не могут перекрывать выплаты по наступившим последствиям. все вышеперечисленное означает, что банкоматы необходимо защищать, причем защищать комплексно, так как просто установка охранной сигнализации или выставление поста охраны не дают оптимистичного результата. Сами банки впоследние годы, сокращая операционные расходы, начали отказываться от физической охраны в своих отделениях, а охрана круглосуточных гипермаркетов и торговых центров, как правило, не участвует в защите выносных аТМ, даже если взлом или хищение происходит у них на глазах.
Ни для кого ни секрет, что одним из наиболее рискованных и уязвимых сегментов вбанковской безопасности является сегмент выносных банкоматов (АТМ), установленных в круглосуточных зонах отделений банка и в арендованных помещениях со свободным круглосуточным доступом, таких как магазины, торговые центры и т.д. Вданной статье мы проанализируем все основные угрозы безопасности банкоматов в подобных зонах размещения, а также рассмотрим проект, обеспечивший защиту сети банковских АТМ
От хакеров до грузчиковрецидивистов
итак, какие же основные риски в настоящее время наиболее актуальны для уязвимости аТМ? Перечислим и расскажем о каждом подробно. 1. Скимминг. установка мошенниками на картридеры аТМ устройств, внешне не отличающихся от картридера и считывающих информацию с карт клиента. Как вариант – установка накладки, в которую вклеена видеокамера, считывающая Пин-код карты. Как правило, подобные накладки устанавливаются на верхнюю часть аТМ. Сразу оговорюсь: подобный вид мошенничества постепенно вымирает, так как выработаны достаточно эффективные меры противодействия, например обычные антискимминговые накладки, которые тем не менее затрудняют мошенникам оперативную возможность установки своих устройств. второй, более дорогостоящий, способ противодействия – это установка активного антискимминга. активный антискиммер контролирует пространство перед банкоматом и позволяет моментально выявить несанкционированную установку на него посторонних устройств. антискиммер может также создавать радиопомехи в области картоприемника, препятствующие работе посторонних электронных устройств. датчики антискиммера позволяют анализировать электромагнитное поле в зоне размещения картридера, Пин-клавиатуры и монитора. в случае резкого изменения напряженности поля (включения излучающих устройств при радиопередаче, установки постороннего оборудования) устройство подает команду на управляющий блок банкомата, который выводит банкомат из режима обслуживания клиентов. несмотря на эффективность работы данного устройства, у него есть существенный минус –это достаточно недешевое оборудование, предназначенное для решения узконаправленной задачи. в нашей компании при разработке комплексных мер защиты аТМ мы отказались от применения данных устройств в пользу иных, многофункциональных, мер, позволяющих решать сразу несколько задач противодействия мошенническим действиям. но об этом ниже. 2. установка вредоносного ПО. чуть менее распространенный способ хищения денежных средств из аТМ, но наносящий значительно более существенный финансовый ущерб. Метод заключается в том, что злоумышленник подключается к компьютеру аТМ, как правило открыв верхнюю крышку банкомата, и загружает ПО, которое позволяет ему беспрепятственно снять практически все деньги, находящиеся вданный момент в кассетах аТМ. Так, в одном из круглосуточных магазинов мошенник под видом обслуживающего инженера открыл на глазах у клиентов магазина и сотрудников охраны верхнюю крышку аТМ, загрузил ПО и снял несколько миллионов рублей, после чего благополучно покинул место преступления. Расписывать более подробно всю схему подключения к аТМ в данной статье мы по понятным причинам не планируем, но схему противодействия распишем. 3. хищение аТМ. Это очень распространенная схема, в которой задействованы от четырех до шести человек. в зону риска попадают отделения банков или круглосуточные ТЦ и магазины, расположенные близко к выезду из города. аТМ, если он небольшой, просто переворачивают, кладут на тележку и вывозят к автомобилю, стоящему рядом со входом в круглосуточную зону банка или ТЦ. По статистике, на подобное действие у преступников уходит от одной до двух с половиной минут. учитывая количество злоумышленников, участвующих вхищении, охрана магазинов и ТЦ практически никогда не оказывает противодействия. Если аТМ по габаритам и весу (такие устанавливаются обычно в круглосуточных зонах отделений банка) не позволяет вынести его на руках, то к нему цепляют трос и выдергивают из банкоматной зоны автомобилем. в данном случае, помимо ущерба от хищения, банк получает достаточно серьезные повреждения входной группы круглосуточной зоны, которые также можно отнести в операционные расходы. 4. взлом или подрыв аТМ. Как правило, данные действия совершаются в круглосуточных банкоматных зонах. Преступники действуют вдвоем, реже в одиночку. взлом осуществляется после открытия внешней нижней крышки аТМ. далее либо вскрывается замок сейфовой части путем высверливания технологических отверстий, либо идет воздействие на петли сейфа. Подрыв банкомата осуществляется путем закачки газа внутрь сейфа и последующей детонации. некоторое время назад были предложены системы подавления, которые определяли, что в банкомат начали закачивать газ, после чего начинала работать система вытеснения газа. Однако данные устройства показали не слишком высокую эффективность, так как преступники нашли способы обойти
систему вытеснения, например закачивая газ одновременно через два отверстия. хотим обратить внимание сотрудников служб безопасности банков на одну из схем преступников, которая позволяет определить, что вближайшие дни на определенный аТМ будет совершено покушение. Так как преступники не могут знать заранее, насколько аТМ, на который планируется нападение, загружен деньгами, они включают так называемую карусель изагружают аТМ самостоятельно. на абсолютно нейтральный счет, который может быть открыт на третье лицо, через нужный аТМ загружаются деньги. С этого же счета через другой аТМ деньги снимаются и опять вносятся через нужный преступникам аТМ. Подобная процедура может совершаться неоднократно, раз за разом, пока выбранный преступниками аТМ гарантированно не наполнится деньгами. После этого в ближайшую ночь происходит нападение. Предотвратить нападение на аТМ возможно при условии внимательной работы службы мониторинга банка.
Комплексное решение
Теперь подробно остановимся на мерах противодействия. нашей компании одним из банков была поставлена задача максимально сократить, а по возможности свести к нулю финансовые потери от нападений на их сеть аТМ. Потери на тот момент были настолько серьезными, что страховые компании рассматривали вариант отказа от страхования банкоматной сети банка. Был разработан, предложен и согласован вслужбе безопасности банка комплекс технической защиты аТМ, расположенных в первую очередь в круглосуточных зонах обслуживания клиентов. Комплекс включал в себя два направления: оборудование аТМ системами технической защиты и создание единой диспетчерской для осуществления ночного мониторинга круглосуточных зон. Первое направление включало в себя оборудование аТМ системой охранной сигнализации свыводом сигнала на пункт централизованного наблюдения охраняющей организации, с которой у банка заключен договор на мониторинг иреагирование. далее следовало оборудование круглосуточной зоны системой видеонаблюдения, СКуд, системой "туман безопасности" и системой дуплексной связи круглосуточной зоны с единой диспетчерской. Каждый аТМ оборудуется системой охранной сигнализации по следующей схеме: l защита верхней крышки аТМ на открытие –магнитно-контактный датчик; l защита нижней крышки аТМ на открытие –магнитно-контактный датчик; l защита сейфа – вибрационный извещатель сгазоанализатором. Охранная сигнализация работает круглосуточно, вне зависимости от работы отделения банка. При проведении инкассации или необходимости перезапустить сигнализацию данные действия осуществляются сотрудником единой диспетчерской дистанционно, непосредственно со своего рабочего места. Система видеонаблюдения включает в себя установку внешних видеокамер, которые фиксируют: l общий вид круглосуточной зоны как минимум с двух ракурсов; l человека, входящего в круглосуточную зону сулицы, – крупным планом; l общий вид каждого аТМ – крупным планом и отдельно, точечно, зону картоприемника ивыдачи денежных средств – крупным планом. данная конфигурация системы видеонаблюдения позволяет полностью контролировать действия находящихся в круглосуточной зоне вночное время и снимает любые спорные вопросы, возникающие у клиентов банка при работе с аТМ. время хранения видеозаписи составляет не менее четырех месяцев. в дневное время видеозапись осуществляется автономно без контроля происходящего со стороны службы безопасности банка. При этом имеется возможность дистанционного подключения к видеокамерам любого отделения икруглосуточной зоны непосредственно из центрального офиса банка.
в ночное время, после закрытия отделений банка, круглосуточные зоны аТМ переходят врежим прямого мониторинга из помещения единой диспетчерской, расположенной вцентральном офисе банка. для того чтобы операторы диспетчерской не рассеивали внимание, так как общее количество аТМ в круглосуточных зонах превышает 300 единиц, при появлении в круглосуточной зоне посетителя диспетчера оповещает звуковой сигнал и посетитель выделяется на мониторе "маской". Система контроля доступа включает в себя электромагнитный замок, который дистанционно блокирует дверь клиентской зоны сотрудником единой диспетчерской при проведении инкассации либо в случае противоправных действий в отношении аТМ. через систему контроля доступа также реализована возможность дистанционного нажатия КТС (кнопки тревожной сигнализации). в случае совершения каких-либо противоправных действий в отношении аТМ сотрудник диспетчерской активирует программную КТС, сигнал от
Полнофункциональный банкомат
Многофункциональный банкомат
которой сообщает охраняющей организации онеобходимости выезда именно на тот объект, на котором происходит нападение или иные действия в отношении аТМ. Реализация дистанционной программной КТС позволяет передать информацию охраняющей организации еще до срабатывания охранной сигнализации, установленной в аТМ. Система дуплексной связи позволяет диспетчеру слышать все переговоры злоумышленников и сообщать им о том, что их видят, контролируют и предлагают покинуть зону аТМ. Последним шагом в отношении злоумышленников, если они не оставляют попыток того или иного воздействия на аТМ, является блокировка входной двери и активация системы "туман безопасности". Эта охранно-дымовая система начинает вырабатывать густой непрозрачный туман, за несколько секунд полностью заполняющий помещение круглосуточной зоны. задымляющий помещение эффект достигается за счет специальной жидкости, испаряемой при постоянно поддерживаемой в нагревательном блоке температуре, которая затем конденсируется ввоздушном пространстве помещения, превращаясь в стойкий мелкодисперсный аэрозоль, создавая эффект дыма или тумана. диаметр образуемых частиц такого дыма или тумана всреднем составляет от 0,2 до 3 мкм. После заполнения помещения туманом злоумышленник перестает что-либо видеть на расстоянии дальше 20–25 см. Происходит полная дезориентация в пространстве. дополнительным психологическим эффектом является дистанционное включение сирены сотрудником диспетчерской и его сообщение злоумышленникам о скором прибытии наряда охраны. Осадки от "тумана безопасности" полностью исключают загрязнение и нанесение какого-либо ущерба имуществу или злоумышленнику, такой туман рассеивается практически бесследно. Анкерение к полу является немаловажным элементом защиты аТМ. анкерение должно проводиться по параметрам, указанным в техническом паспорте аТМ, только в этом случае от данного мероприятия будет практическая польза. весь описанный процесс защиты касается аТМ, расположенных в круглосуточных зонах самообслуживания. Мы специально не стали касаться проблем защиты так называемых выносных аТМ, расположенных в магазинах, торговых центрах на предприятиях и т.д., так как объем статьи не позволяет этого сделать. Проблематика защиты подобного сегмента заслуживает отдельной статьи и существенно отличается от концепции защиты аТМ, расположенных в круглосуточных зонах самообслуживания отделений банка.
Заключение
данный проект начал внедряться нами в 2017г. и в настоящее время полностью завершен. Описываемыми системами защиты оборудованы все отделения банка. за последние два года ущерб от покушений на аТМ фактически сведен к нулю. Те попытки, которые предпринимались злоумышленниками, пресечены сотрудниками диспетчерской совместно с сотрудниками охраняющей организации. После нескольких неудачных попыток хищения и подрыва аТМ руководство банка признало, что вложенные в проект деньги полностью окупились. установки скимминга, установки вредоносного ПО также после нескольких неудачных попыток полностью прекратились. n
Ваше мнение и вопросы по статье направляйте на ss@groteck.ru
Почему именно централизованно, почему недостаточно разбирать продукты поодиночке? Как показывают опыт и практика, события в связанных сервисах, не всегда означающие что-то полезное поодиночке, в связке могут дать вам понимание происходящих процессов. Мы вРайффайзенбанке выбрали одно из самых популярных мировых решений для сбора данных – Elastic Stack. Практика эта здравая, потому что в случае, когда у нас есть много данных, мы можем их обрабатывать – обрабатывать в автоматическом режиме, поставив нужные триггеры или устраивая сессии рассмотрения аналитики, перенимая опыт у коллег из бизнеса, которые давно и успешно используют инструменты BI (Business Intelligence). Среди инструментов данного направления я бы отметил Tableu, но его использовать в новых реалиях не представляется возможным. Популярен также Microsoft Power BI, который сейчас есть в виде наземных лицензий, и это сильно может выручить нас до того момента, когда мы увидим какие-то собственные продукты, способные предоставить подобный функционал. Power BI очень прост в освоении. Если вы использовали когда-нибудь Excel в продвинутом режиме, то начать решать задачи по аналитике в Power BI будет достаточно просто.
МНЕНИЕ ЭКСПЕРТА
Денис Богданов
Часто работники сферы информационной безопасности сталкиваются с недопониманием со стороны руководства, которое не заинтересовано в том, чтобы закладывать в бюджет большие суммы на профилактические меры по информационной безопасности (иБ). Многие руководители не видят смысла в расширении штата отдела иБ, так как, по их мнению, если в штате уже присутствует офицер или менеджер по информационной безопасности, все риски этой сферы закроются сами собой и ничего больше предпринимать не нужно. Если смотреть на данный вопрос с такой точки зрения, поддерживать информационную безопасность в вашей компании на должном уровне будет невозможно. Руководитель в первую очередь должен понимать, для чего ему отдел информационной безопасности и какие результаты он хочет видеть по итогам работы. и это должны быть не абстрактные понятия вроде "все должно работать и ничего не должно утекать", а принятие перечня согласованных мер, которые необходимо выполнить в установленные сроки. видов угроз – масса, а их приоритет для каждой компании индивидуальный. для поддержания уровня сервиса, как мне кажется, основополагающие процессы – в первую очередь это Incident Management (инцидент-менеджмент). Первое, на что я хочу обратить внимание врамках инцидент-менеджмента, – это новые каналы регистрации обращений в поддержку. Гибридный формат работы не предполагает возможности подойти к специалисту или позвонить на горячую линию. Поэтому важно проинспектировать имеющиеся у вас чаты и другие средства для совместной работы– возможно, именно вних есть оптимальный канал-инструмент. второй важный момент в инцидент-менеджменте – максимальный упор на самообслуживание. Если какую-то задачу или какую-то поломку ПО сотрудник может исправить сам, то этот кейс необходимо автоматизировать и предоставить информацию по решению. Третий момент – это автоматизации, которые могут работать, основываясь на данных из мониторинга, то есть на аналитике данных. Если что-то можно сделать без участия пользователя, это обязательно надо привести в автоматизированный вид и сделать. другие важные процессы – это Problem Management (управление проблемами) и Disaster Management (управление чрезвычайными ситуациями), которые скорее направлены на то, чтобы мы не имели проблем со стабильностью в будущем. Следует помнить, что Problem иDisaster Management – это не поиск виновного на недружелюбных собраниях специалистов именеджмента. Собрания необходимы, но с другой целью – для поиска такого способа, при котором случившаяся проблема больше никогда не повторится, для извлечения максимальных практических выводов и уроков из произошедшего.
От стабильности к надежности
Термины и их понимание играют очень важную роль для взаимопонимания между коллегами, исполнителями и заказчиками. в данном контексте слово "стабильность", часто применяемое в отношении сервисов, меня не очень устраивает, так как подразумевает некоторую "неизменность". но мы не должны стоять на месте, сервисы должны развиваться, поэтому япредлагаю заменить термин "стабильность" для корректного целеполагания на "надежность и устойчивость", ведь именно этого от нас ждут пользователи. n
Ваше мнение и вопросы по статье направляйте на ss@groteck.ru
Как представить итоги работы по информационной безопасности руководству? чтобы решить этот вопрос, необходимо в первую очередь довести до руководства простой факт того, что неуязвимых систем не существует. невозможно защититься от всего, и основная цель отдела информационной безопасности вашей компании – это снижение найденных рисков возникновения инцидентов до минимального уровня. для этого необходимо в первую очередь идентифицировать риски, проведя аудит информационной безопасности. Он может быть проведен как самостоятельно сотрудниками отдела информационной безопасности, так и внешней компанией, предоставляющей подобные услуги. По итогам аудитов необходимо составить план работ (дорожную карту) по повышению уровня защищенности вашей компании либо поддержанию ее на должном уровне. данный план в обязательном порядке должен быть согласован с руководством компании, после чего по выполненным работам и статистическим данным об инцидентах в течение года будет составляться отчет о работе отдела. хочется отметить, что закрытие плана работ по информационной безопасности, разбор штатных инцидентов и аварийных ситуаций могут быть недостаточными для некоторых руководителей. Технические ошибки в ходе процесса разработки, массовые DDoS-атаки беспрецедентного характера, которые никаким образом нельзя протестировать, а также принятые ранее риски могут вновь спровоцировать инциденты иБ, которые могут быть приравнены к халатности со стороны отдела информационной безопасности. в данном случае рекомендуется позаботится о следующем: l документально распределить ответственность за различные технические средства компании (чтобы сотрудники иБ не отвечали за технические ошибки систем, так как это ответственность системных администраторов компании); l составлять протокол или акт по принятым рискам иБ в компании, чтобы в случае наступления инцидента, который можно было предотвратить, ответственность брали на себя сотрудники того департамента, которые выступали за принятие данного риска; l грамотно составить и согласовать план реагирования на инциденты и придерживаться его в случае возникновения. здесь важно понимать, что угрозы были локализованы, изолированы и устранены в установленный срок. в противном случае руководство будет сложно убедить в эффективности мероприятий по устранению рисков со стороны отдела информационной безопасности. надеюсь, что описанные выше меры помогут сложить правильное мнение руководства о работе вашего отдела информационной безопасности и укрепить уверенность в правильности вашего подхода к работе.
Анатолий Скородумов
Тема защиты от атак на отказ в обслуживании (DoS – Denial of Service) не нова. впервые с более-менее серьезными DOS-атаками ястолкнулся в своей практике в 2009–2010 гг. во время волны атак на системы дистанционного банковского обслуживания (дБО) юридических лиц. у злоумышленников некоторое время была тактика, что после проведения несанкционированного списания средств со счетов какойто организации они пыталось DoSить сервис дБО. возможно, они опасались, что клиент быстро отреагирует на несанкционированное списание, и таким образом пытались помешать ему получить информацию о состоянии расчетного счета. но очень скоро они поняли, что достаточно вывести из строя компьютер бухгалтера организации, с которого они крали логин/пароль и ключи электронной цифровой подписи, и отказались от DoS-атак. что касается самих DoS-атак, то они были достаточно просты, не отличались большой мощностью иредко достигали цели – банковские системы дБО продолжали работать. Много воды утекло с тех пор. Технологии шагнули далеко вперед, в том числе технологии проведения DDoS-атак(Distributed Denial of Service) и защиты от них.
Актуальность защиты от DDoS-атак
Мы с вами живем в эпоху цифровой трансформации. Практически любая уважающая себя компания имеет или использует какие-то сервисы в интернете. С учетом пандемии многие используют удаленный формат работы, как минимум есть возможность удаленной работы с электронной почтой. все эти сервисы могут стать мишенью для DoS-атаки. Так что актуальность DoS- и DDoS-атакрастет с каждым годом. долгое время многие компании считали, что DDoS-атаки им не грозят, что они никому не интересны, никто их DDoSить не будет. но цели злоумышленников могут быть совершенно различны. вас могут атаковать с целью вымогания денег за прекращение DDoS-атаки и восстановление работоспособности вашего сервиса, вас могут "заказать" конкуренты, вас могут DDoSить по политическим мотивам! События марта-апреля 2022 г. показали, что никто не застрахован от DDOS-атак. атакам подверглось огромное количество компаний вРоссии из разных областей деятельности. Основной удар пришелся на государственные структуры, финансовый сектор и СМи, но иостальным отраслям тоже досталось. в текущей ситуации кибератаке может подвергнуться любая российская организация. в арсенале хакеров значительное число различных кибератак, но весной 2022 г. основную часть составляли именно DDoS-атаки. Связано это сучастием в них значительного числа политически мотивированных хактивистов, основная цель которых – навредить. а относительно простые и наиболее деструктивные атаки – это атаки на отказ в обслуживании.
Защита от DDoS-атак. Опыт и практика
Стандартный заголовок новостей по информационной безопасности последних нескольких месяцев начинается со слов "Отмечен резкий рост DDoS-атак на…". Дальше следуют страна, название компании, отрасли. Так, в последнее время часто атаковались СМИ, сайты госструктур, промышленные объекты, больницы, банки, ИТ-компании, компании, связанные с ОПК. Если вы не нашли в этом кратком списке ваш бизнес, вам повезло, но никто уже не может быть уверен, что его деятельность не интересна злоумышленникам
Если вы решили защищаться от DDoS-атак, принципиально вы можете выбрать для себя одну из трех стратегий: 1. Пытаться организовать защиту самостоятельно у себя на периметре. недостатки такого решения очевидны: вам могут забить все входящие интернет-каналы, и тогда никакое установленное у вас оборудование вас не спасет. Само оборудование для защиты от DDoS-атак достаточно дорогостоящее, а специалисты для его обслуживания тоже на дороге не валяются. Поэтому более целесообразным выглядит вариант передачи этой функции на аутсорсинг. издесь есть следующие варианты. 2. заключить договор с вашим интернет-провайдером. Казалось бы, это самый простой и правильный вариант, обычно этот сервис идет как опция к основному договору на канал передачи данных. но тут важно убедиться, что это не просто галочка в договоре, а реально работающая система защиты. Большинство провайдеров защищают от атак сетевого уровня, а с прикладным ситуация обстоит не так хорошо. Стоит внимательно ознакомиться с условиями данного сервиса, так как провайдер услуг, как правило, не берет на себя практически никакой ответственности, если предоставляемый сервис окажется неэффективным. Если вы используете какие-то известные облачные сервисы или хостинги, то такую услугу вам может предоставлять владелец облачного сервиса или хостинга. здесь ситуация во многом аналогична только что рассмотренному случаю. 3. 3аключить договор со специализированными сервисами очистки трафика. Первый вариант подключения – это когда весь трафик всегда идет через облако провайдера такого сервиса; второй– когда трафик заворачивается на сервис очистки только в момент самой DDoS-атаки. второй вариант, как правило, существенно дешевле. При взаимодействии со специализированными сервисами очистки трафика могут быть технологические и технические сложности заведения трафика в облако провайдера и определенные ограничения, например отсутствие реальных IP-подключаемых клиентов (которые необходимы для работы систем фрод-анализа). я не сторонник реализации систем защиты от DDoS собственными силами (on-premise), но все же перечислю те классы устройств, которые вы можете использовать для решения данной задачи. l Межсетевой экран (FWNG) + система предотвращения атак (IPS). на межсетевом экране вы блокируете весь ненужный трафик, ас помощью IPS выявляете и блокируете паразитный трафик, который идет по разрешенным протоколам. IPS обычно имеют в своем составе преднастроенные политики и правила защиты от DoSатак. но возможности IPS по защите от DDoSатак достаточно ограниченны. По умолчанию это правила по обрезанию трафика при достижении пороговых значений, при этом режется любой, в том числе и легальный, трафик. Как таковая чистка трафика не производится. Можно разработать более интеллектуальные правила, но это требует высокой квалификации и значительных временных затрат, в том числе на постоянную актуализацию таких правил. l Специализированный межсетевой экран для веб-приложений (WAF). данное средство позволяет реализовать правила защиты от DDoSатак прикладного уровня. в целом рабочий инструмент, но тоже требует постоянного внимания и подстройки. При внедрении такого
WAF с точки зрения его производительности необходимо также ориентироваться не на стандартные параметры веб-трафика к вашему сервису, а на параметры в несколько раз большие. в противном случае сам WAF может стать точкой отказа при DDoS-атаке. l Специализированные программно-аппаратные комплексы для защиты от DDoS-атак. Это наиболее эффективное, но и наиболее дорогостоящее оборудование. на самом деле эффективность отражения DDoS-атаки зависит не столько от ваших действий по ее отражению в ходе самой атаки, сколько от правильной подготовки системы защиты и ваших бизнес-сервисов, которые вы защищаете.
Как мы выяснили в предыдущей части, целесообразнее использовать внешний сервис защиты от DDoS, а не реализовывать систему защиты самостоятельно. Прежде всего надо убедиться, что провайдер услуги обеспечивает защиту от DDoS-атак как сетевого, так и прикладного уровня. защиту от DDoS сетевого уровня обеспечивают практически все крупные телеком- и интернетпровайдеры, а вот с защитой от DDoS прикладного уровня ситуация не всегда так же хороша. в свое время мы столкнулись с ситуацией, когда только один из двух интернет-провайдеров обеспечивал защиту от DDoS прикладного уровня. нам пришлось вырабатывать довольно хитрые схемы переключений, чтобы при DDoS-атаках прикладного уровня весь трафик шел только через этого провайдера. настройки МСЭ должны быть выверены, никаких лишних открытых портов и протоколов. Еще лучше, если вы заранее продумаете, от каких сервисов вы готовы отказаться во время DDoSатаки. необходимо определить геолокацию основного пула пользователей ваших сервисов. Тогда при DDoS-атаке вы сможете заблокировать все, кроме конкретных стран и регионов (например, оставить только российский сегмент). важно убедиться, что системы, на которых построены ваши интернет-сервисы, имеют запас не просто под пиковые нагрузки, а под небольшую DDoS-атаку. в момент начала DDoS-атаки, даже если у вас есть сервис защиты от провайдера, на систему будет повышенная нагрузка, так как система очистки трафика включается не мгновенно. и важно, чтобы ваш сервис не "лег" в этот момент. хорошей практикой является размещение разных сервисов или даже элементов одного сервиса на разных серверах. в этих случаях вам проще будет сохранить работоспособность наиболее важных для вас сервисов. Если у вас есть возможность оперативного увеличения ресурсов системы – это будет дополнительным плюсом при DDoS-атаках. хорошо, если у вас не один интернет-канал, анесколько и от разных провайдеров. Это делает систему защиты более гибкой, как минимум снижает вашу зависимость от одного провайдера. Особое внимание хочу уделить вопросу профилирования трафика для организации более эффективного отражения DDoS-атак. Профили должны разрабатываться для каждого из ваших сервисов, причем с учетом специфики его работы – у вас могут быть недельные, месячные или квартальные пики, какие-то другие особенности. чем лучше выстроен профиль нормального трафика для конкретного сервиса, тем проще выявлять и блокировать различные аномалии. любая система очистки трафика режет какойто процент легальных сессий. Профилирование трафика позволяет существенно снизить этот процент. независимо от того, какой способ реализации системы защиты от DDoS вы выбрали, как и любую систему защиты, ее нужно проверять, тестировать. Опыт весны 2022 г. показал, что этому не уделяется должного внимания. Когда мы начинали тестировать нашу систему защиты от DDoS более пяти лет назад, далеко не все иБ-интеграторы предоставляли такую услугу. Сейчас ситуация существенно улучшилась, но тем не менее зачастую тестирование носит достаточно формальный и упрощенный характер: l проверяется исключительно срабатывание автоматизированных механизмов защиты; l атака идет с небольшого количества IP; l используется очень ограниченный набор
DDoS-атак; l тестирование проводится в течение короткого времени, как правило не более получаса на один сервис. Как правило, проверка осуществляется не на боевых системах, а на тестовых, конфигурация которых не всегда соответствует боевым. При атаках прикладного уровня не проводится анализ атакуемого веб-приложения, просто открывается главная страница сайта (сервиса). ни атакующая сторона не проводит никакого анализа, как реагирует система защиты на те или иные методы атак, не пытается в зависимости от этого менять векторы атаки; ни защищающаяся, ни на уровне провайдера, ни на стороне самого клиента тоже не проводит никакого анализа. Отбила система провайдера тестовые DDoS-атаки вавтоматическом режиме – хорошо, нет –пишем провайдеру ругательное письмо. все это приводит к тому, что данные тесты очень далеки от реальных условий, когда на вас проводится настоящая DDoS-атака. Тестирование от DDoS должно быть аналогом пентеста. исполнитель должен не просто выполнять последовательность атак, а пытаться вывести из строя ваш сервис. Если вы проводите киберучения, то в план таких киберучений стоит включать и учения по защите от DDoS-атак.
Цели тестирования системы защиты от DDoS-атак
Основной целью тестирования является оценка эффективности всех компонентов защиты от DDoS-атак в условиях, приближенных к реальным. Тестирование помогает в отработке действий персонала по отражению атак, взаимодействия между службами внутри организации и со специалистами, оказывающими внешний сервис. довольно часто можно наблюдать, что специалисты атакуемой организации просто не знают, что им делать, когда в какой-то момент система защиты перестает справляться с атакой. Очень важно, чтобы тестирование проводилось либо на боевой системе, либо на тестовой, максимально приближенной к боевой. узким местом может оказаться не обязательно конечный атакуемый сервер. в одном из случаев у нас узким местом оказался, например, балансировщик нагрузки. выявление и устранение проблемных мест в иТ-инфраструктуре при DDoS-атаках – это одна из целей тестирования. в ходе тестов вы можете определить предельные нагрузки для ваших сервисов. Понятно, что есть нагрузочные тестирования, но, как правило, они не учитывают специфику проведения DDoS-атак прикладного уровня. интернет-сервисы постоянно развиваются, появляется новый функционал, поэтому важно периодически проводить такую переоценку. в ходе тестов вы можете скорректировать тактики масштабирования иТ-активов для повышения устойчивости атакуемых сервисов, принять иные меры по совершенствованию процедур реагирования на DDoS-атаки.
успех тестирования во многом зависит от правильной подготовки и проведения тестирования. Сейчас появились сервисы для самостоятельного проведения теста системы защиты от DDoS, но ябы рекомендовал привлекать к этому специализированные компании, имеющие опыт проведения подобных работ. Мы, как правило, пользовались услугами именно таких компаний. важно, так сказать, "на берегу" согласовать сисполнителем все основные моменты проведения тестирования. все-таки это довольно деструктивное воздействие на иТ-инфраструктуру, а ваша задача не в том, чтобы вывести из строя тот или иной интернет-сервис, а в том, убедиться в эффективной работе системы защиты. Поэтому важно составить список всех атакуемых узлов и определить типы атак в зависимости от их назначения и используемых протоколов, определить предельные нагрузки – максимальную мощность DDoS-атаки. важно согласовать проведение работ внутри организации, чтобы, если что-то пойдет не так, у вас были подтверждения того, что вы не занимались самодеятельностью, а все работы были согласованы и все участники были предупреждены о возможных последствиях. Поэтому важно, чтобы в тестировании принимали участие не только специалисты иБ, но и администраторы защищаемых сервисов, сетевые администраторы – все те, кто будет участвовать вотражении реальной атаки. в ходе атаки целесообразно фиксировать не только доступность атакуемых систем, но и все основные их параметры, а также параметры сетевого оборудования и устройств, через которые проходит трафик. все это необходимо будет проанализировать по итогам тестирования. Полезно сравнить полученные результаты с предыдущими тестами, оценить динамику.
Заключение
DDoS-атаки – достаточно специфический вид кибератак. зачастую есть большое желание отдать функцию защиты на аутсорсинг и забыть об этой проблеме. но так не работает ни одна система безопасности. необходимо регулярно тестировать вашу систему защиты, и только тогда реальная DDoS-атака не застанет вас врасплох. n
Ваше мнение и вопросы по статье направляйте на ss@groteck.ru
Никита Тарасов
Управление личными финансами как регулярный процесс контроля денежных потоков вызывает сложности не только у людей в России, но и во всем мире. Это комплексный, рутинный процесс, который требует от пользователя большой вовлеченности и терпения. В качестве инструментов люди чаще всего используют блокнот иручку или просто считают свои деньги в уме. Некоторые предпочитают более продвинутые варианты – сервисы и приложения для контроля личных финансов. Такие инструменты, конечно, упрощают жизнь, однако пользователи сталкиваются срядом сложностей, которые можно описать тремя словами: долго, сложно и скучно
Эксперты из CNBC1 утверждают, что существующие на рынке приложения для управления личными финансами – это, безусловно, хороший старт для любого пользователя, однако контроль финансов требует комплексного и холистического подхода, а для этого необходим полноценный финансовый советник. услуги таких специалистов недоступны для большинства людей, однако развитие современных технологий виртуальных ассистентов позволяет сделать подобный сервис доступным каждому. не сегодняшний день Сбер предоставляет управление деньгами с помощью нового канала– голоса. на базе виртуальных ассистентов "Салют" создано семейство навыков "финансовый советник", позволяющих упрощать ежедневные задачи контроля личных финансов. вприложении "Сбербанк Онлайн" к ассистенту можно обращаться как к живому человеку, впроизвольной форме, как голосом, так ичерез сообщения в чате. уже сейчас финансовый советник умеет отвечать на главные вопросы в части финансов. Так, чтобы уточнить свои расходы за какойлибо период времени, можно просто спросить: "Салют, сколько я потратил в этом месяце?" ассистент покажет общую сумму трат, расходы в каждой отдельной категории за это время, аесли их нет, то также сообщит об этом. вдобавок он разнообразит ответ интересным фактом о расходах, например покажет любимое место покупок или самые большие операции за этот период. Пользователь может сравнить различные траты, попросив, например, показать "мои расходы в кафе и супермаркетах на этой неделе". Кстати, самыми популярными категориями расходов по количеству вопросов к ассистенту оказались коммунальные услуги, транспорт иодежда. Помимо этого, финансовый советник может показать доходы пользователя, историю операций, предстоящие платежи, подписки, общую сумму средств на счетах и многое другое. Преимущества
использование голосовых ассистентов для управления финансами предоставляет широкий ряд преимуществ. Так, для бизнеса это уменьшение затрат на кол-центр, увеличение CSI и NPS, выявление потребностей пользователей через анализ запросов и различные кросс-продажи товаров и услуг. Пользователям голосовой канал также дает неоспоримые преимущества над традиционными сервисами.
Самый естественный канал
Пожалуй, одно из главных преимуществ виртуальных ассистентов – это способ взаимодействия с ними. Тысячелетиями люди выражали свои мысли голосом и рукописью. Теперь, с развитием технологий NLP и машинного обучения, такой способ стал возможен при общении человека и компьютера. Голос – самый естественный канал общения. виртуальный ассистент дает клиентам возможность полноценно пользоваться различными сервисами вне зависимости от возраста, финансовых возможностей, навыков работы с компьютером или телефоном. в дополнение виртуальный ассистент обладает близким стилем общения для пользователя. например, семейство "Салют" включает трех голосовых помощников "Сбер", "афина" и "джой", каждый из которых имеет собственный Tone of Voice. Пользователь может выбрать наиболее подходящего для себя помощника, таким образом у клиента появляется определенный уровень эмпатии к сервису. Эмпатия крайне важна в работе с навыками "финансового советника", так как сервисы синформацией о деньгах всегда являются наиболее чувствительными и требуют высокого уровня качества данных и бесшовного клиентского пути. не менее важной является способность финансового советника корректно распознавать запросы и намерения пользователей, то есть быть адаптивным в понимании клиента. для этого используются современные модели машинного обучения, а также значительные массивы собранных и очищенных финансовых метаданных. Один человек спросит: "Покажи мои расходы на супермаркеты за месяц", адругой – "Сколько я проел на базаре?" финансовый советник корректно распознает категории и периоды и покажет нужные суммы.
Самый короткий клиентский путь
Около 70% пользователей отмечают, что скорость загрузки сайта или сервиса влияют на их желание совершить покупку. а первые пять секунд загрузки веб-страницы имеют наибольший эффект для конверсии пользователей, уменьшая ее в среднем на 4,42% с каждой секундой2. Таким образом, скорость – это один из главных факторов хорошего клиентского пути, а голос – самый короткий клиентский путь. финансовый советник следует принципу "Осложном спрашивать просто". Так, клиент
может сказать ассистенту: "Покажи мои платежи в супермаркетах, поликлинике и на одежду за последние три месяца", и ответ последует через несколько секунд. Тот же пользовательский сценарий с помощью традиционных приложений совершить будет в десятки раз дольше или вообще невозможно.
Неисчерпаемый набор функций
виртуальный ассистент может быть доступен только по голосовой активации и вообще не иметь визуального интерфейса либо быть встроенным в приложение, и тогда у клиента есть, как правило, кнопка активации ассистента и диалоговый интерфейс. в обоих случаях клиент может узнавать любую интересующую его информацию, в любом виде и форме. Клиентский путь не ограничен экранной формой и количеством элементов интерфейса в виде кнопок и полей ввода. Это открывает большие возможности для предоставления разностороннего и глубокого сервиса контроля финансов. "хватает ли денег на счете, чтобы оплатить кредит завтра?", "Какие подписки у меня подключены по карте?", "Пришла ли мне зарплата в этом месяце?" – финансовый советник даст ответы на разные вопросы о разных продуктах и услугах в едином голосовом канале.
Омниканальность
Еще одно преимущество ассистентов – это омниканальность и возможность всегда быть близко к клиенту. Программный код виртуального ассистента может встраиваться в различные поверхности – приложения, телевизоры, часы, приставки и т.д. Общую информацию опродуктах банка клиент может узнать упомощника на любой поверхности, а конфиденциальные финансовые данные – только вавторизованной зоне, то есть в приложении "Сбербанк Онлайн".
Персонализация
Как и реальный финансовый советник, виртуальный помощник должен знать все о деньгах клиента, чтобы завоевать его доверие. для этого особое внимание уделяется персонализации в клиентском опыте. Если пользователь, например, попросит показать свои траты за месяц, то, помимо общих сумм и деталей по категориям, финансовый советник расскажет интересный факт о финансах или даст персональную рекомендацию. Это может быть показ любимого магазина, частой категории трат или совет сформировать определенную финансовую подушку на основе ежемесячных расходов клиента. Такая функция помогает пользователю видеть, что помощник имеет полную картину финансов клиента.
Это увлекательно
в голосовой сервис важно добавлять небольшие развлекательные механики. Это позволяет привлечь внимание пользователя и помогает популяризировать сервис за счет эффекта сарафанного радио. финансовый советник может давать ответы, используя отсылки к современной культуре. например, если спросить: "Где деньги, лебовски?", то ассистент ответит забавной цитатой из фильма и покажет общую сумму средств клиента.
Вызовы, которые нужно решать
Развитие подобного подхода к управлению финансами имеет ряд вызовов, с которыми приходится сталкиваться и которые необходимо преодолевать, чтобы создать уникальный и качественный клиентский опыт. 1. все еще непривычно. несмотря на активное развитие голосовых ассистентов, большинство клиентов все еще предпочитает традиционные тач-интерфейсы. Как правило, это связано спривычкой, даже если решение ежедневных задач в области контроля финансов удобнее ибыстрее в голосе. данный вызов требует от создателей голосовых навыков точного понимания потребностей и "болей" клиентов, использования различных исследований, построения "карты путешествия клиента", методов AB-тестирования и других инструментов, чтобы завоевать внимание пользователей. 2. функции и возможности неочевидны. Обратной стороной возможности создания безграничного функционала за фасадом ассистента является необходимость донести до конечного пользователя наличие этого функционала. Голосовой канал требует инвестиций в маркетинг, а в случае финансового советника –дополнительного размещения точек входа вфинансовые навыки из приложения "Сбербанк Онлайн": кнопки быстрого запуска, pushуведомления и контекстные баннеры. Это основной способ клиента узнать о новых функциях финансового советника и начать пользоваться ими. 3. Шероховатости клиентского опыта. Какой бы продвинутой и адаптивной ни была модель машинного обучения, многообразие и комплексность естественного языка иногда берет свое и в распознавании запросов клиента могут встречаться шероховатости. во-первых, запрос может некорректно распознаваться на уровне изначального намерения пользователя: "ограничения по карте" может трактоваться сразу и как лимит на снятие наличных или покупки, и как сервис контроля уровня трат, и даже как блокировка карты. во-вторых, в рамках корректно определенного финансового запроса модель может не распознать детали подзапроса. несколько примеров: "мои операции за месяц" определились как расходы в категории "медицина" (операция как хирургическое вмешательство); "мои поступления за год" определились как расходы в категории "образование" (поступление как подача документов в вуз). 4. Безопасность и конфиденциальность. "финансовый советник" – это голосовые навыки о деньгах клиента, поэтому к ним применяются строгие правила в части информационной безопасности, обеспечения конфиденциальности и сохранности данных. Контроль финансов клиента возможен только в авторизованной зоне, то есть вприложении "Сбербанк Онлайн". Это позволяет предотвратить неправомерный доступ кчувствительным данным со стороны третьих лиц и обезопасить такой клиентский путь. При общении пользователя с виртуальным ассистентом важно предусмотреть возможность ограничения показа и озвучивания конфиденциальных данных, таких как баланс карт и счетов, расходы, истории платежей и т.д. 5. Слишком сложные ответы. некоторые финансовые вопросы могут оказаться комплексными, требующими большого количества экранного места или длительной озвучки, например, если клиенту предстоит пять выплат по обязательным платежам и по некоторым из них есть дополнительные статусы, требующие внимания. При проектировании таких сервисов важно стараться отображать только основную информацию, а дополнительные детали предоставлять в виде подсказок, возможности доспросить или нажать на интересующий блок. акцентировать внимание пользователя на важных деталях также помогает озвучка голосом, например, если на предстоящий платеж недостаточно средств или сформировалась просрочка.
Резюмируя все сильные стороны, а также вызовы голоса как канала для управления финансами, можно выделить шесть основных критериев наиболее эффективного финансового советника. Он должен быть: l персонифицированным: знать о финансах клиента все; l понимающим: корректно распознавать запрос клиента и эффективно решать его задачи; l помнящим: сохранять в памяти историю общения с клиентом, а также поручения изадачи; l проактивным: заранее уведомлять пользователя о важных финансовых событиях; l предлагающим: показывать клиенту возможные действия для улучшения финансового здоровья, а также полезные в данный момент продукты и услуги; l привлекающим: помогать возвращаться исоздавать привычку управлять финансами на регулярной основе. Следуя этим принципам, такой важный сервис, как управление личными финансами, можно вывести на кардинально новый технологичный уровень, стать лидером по качеству клиентского опыта и увеличить благосостояние и лояльность клиентов. "финансовый советник" является одним из самых популярных и востребованных навыков виртуального ассистента в приложении "Сбербанк Онлайн", что подтверждает важность голоса как современного и технологичного канала и подчеркивает его ценность для клиентов. n
Ваше мнение и вопросы по статье направляйте на ss@groteck.ru
Леонид Курашов
Интеграционные сценарии чат-бота "ВТБ Онлайн"
Приложение "ВТБ Онлайн" доступно для более чем 13 млн клиентов на iOS, Android ив веб-версии. Для общения с банком в онлайн-канале пользователи используют чат, в который ежемесячно поступают более 2 млн сообщений. Чат-бот может ответить по более чем 1 500 тематик. А если не может дать ответ, он подключает к диалогу оператора
Автоматизация виртуального помощника превышает 80%. Это значит, что в 3/4 сессий он полностью самостоятельно справляется с вопросами клиентов, не подключая оператора. чтобы предоставлять клиентам более точные ответы на вопросы, в течение 2022 г. мы активно развивали интеграционные сценарии чат-бота – это надстройка с удобными виджетами, которые помогают совершать операции (блокировать карты, делать переводы и т.д.), запрашивать информацию (ближайшие банкоматы, курс, реквизиты и т.д.) и оформлять продукты, не выходя из чата. Они позволяют без обращения к оператору решать клиентские задачи, которые требуют персонализированного подхода. Сегодня в сценарий виртуального помощника мы интегрировали 80 таких операций (сделать перевод, проверить платежи по кредитам, узнать курс валюты, получить реквизиты карты, оплатить сотовую связь, открыть накопительный счет и многие другие). ев. Это тематики, в которых он обращается кдругим системам банка для ответа на три основных типа запросов: 1. Персонализированный ответ на вопрос клиента – где получить карту, за что списали деньги, узнать бонусный баланс, реквизиты карты, курс валюты, минимальный платеж по кредиту. в подобных запросах мы определяем тематику, после чего обращаемся к внутренним сервисам банка для выдачи конкретного персонального ответа. 2. Полноценный сервис, который клиент может получить в диалоге – сообщить омошеннике, изменить Пин-код, оплатить мобильный, сделать перевод через систему быстрых платежей, заказать справку или наличные, получить выписку. 3. Оформление продуктов в диалоге с чатботом. Клиент может открыть дебетовую или кредитную карту, накопительный счет, оформить кредитные каникулы и другие продукты банка, просто переписываясь сботом. для улучшения качества диалога в этом году мы дополнили текстовые команды виджетами ввода суммы, номера телефона, адресной книги, выбора банка и выбора счета. инновационные виджеты упрощают ввод данных и экономят время, а интеграции позволяют совершать daily-операции, не выходя из разговора с чат-ботом.
Интеграционные сценарии
Как интеграционные сценарии помогают клиентам
Когда появился бот, клиенты общались с ним втекстовом формате. интеграции управлялись тоже текстовыми командами. на текущий момент виртуальный ассистент объединяет более 65 интеграционных сценариВлияние на результаты
внедрение виджетов в сценарии заметно повлияло на оценку клиентами качества общения с ботом и привело к снижению доли негатива. Пользователи активно хвалили виртуального ассистента в комментариях: "очень удобная функция", "удобно и прикольно", "очень понятно, легко и быстро, спасибо", "очень удобно и быстро!", "быстрее, чем в меню приложения искать все пункты". Какую долю интеграционные сценарии занимают в общем объеме трафика 24% – доля сессий, в которых мы идем во внешние системы и предлагаем клиенту ответ. наиболее массовые из этих интеграций: сообщить о мошеннике, открыть накопительный счет "Сейф", сделать заказ кредитной или дебетовой карты, узнать статус готовности карты, уточнить причину списания денег. Как интеграции позволяют разгрузить контакт-центр 85% – доля сессий с интеграционным сценарием, которые заканчиваются без перевода на оператора. из 100 сессий в 85 чат-бот полностью закрывает вопрос клиента. Это выше целевого значения и выше, чем в статическом сценарии виртуального помощника. Таким образом, мы снижаем нагрузку на контактный центр. Как интеграция влияет на метрики ибизнес Клиентам нравится получать ответ без переходов по ссылкам или инструкциям-навигациям по разделам приложения. доля негатива по интеграционным сценариям составляет около 2%. из всех оценок интеграции занимают 78%. Экономя время оператора в чате, мы повышаем качество обслуживания. а интеграционные сценарии помогают клиентам открывать новые продукты. Они также делают обслуживание более безопасным – за 2022 г. чат-бот собрал более 100 тыс. номеров мошенников, данные по которым были переданы Центробанку и операторам связи для дальнейшего расследования и блокировки.
Автоматизация лучше, качество выше
за 2022 г. в чат-боте "вТБ Онлайн" наша команда внедрила более 20 новых интеграционных сценариев, которые позволили значительно повысить автоматизацию канала. все это позволило сэкономить время операторов и улучшить качество клиентского обслуживания. виджеты и удобные элементы интерфейса дают возможность пользователям упростить ввод текста, а нам – увеличить конверсию при получении персонализированного ответа или полного решения вопроса клиентов. n
Ваше мнение и вопросы по статье направляйте на ss@groteck.ru
