風(fēng)控前置 – 助力銀行業(yè)動態(tài)防護業(yè)務(wù)風(fēng)險

責(zé)任編輯:zhaoxiaoqin

2018-04-24 14:11:05

“傳統(tǒng)金融反欺詐系統(tǒng)更多關(guān)注在客戶賬號、欺詐交易信息以及業(yè)務(wù)邏輯異常,然而現(xiàn)在的業(yè)務(wù)欺詐,攻擊者都采用真實的身份和信息,通過自動化工具實現(xiàn)批量業(yè)務(wù)操作,傳統(tǒng)風(fēng)控是無法透視出這種自動化擬人操作的。前瞻性的風(fēng)控系統(tǒng)更需要實現(xiàn)風(fēng)控前置和精準(zhǔn)采集、即刻識別是工具還是真實人的操作行為。”

“傳統(tǒng)金融反欺詐系統(tǒng)更多關(guān)注在客戶賬號、欺詐交易信息以及業(yè)務(wù)邏輯異常,然而現(xiàn)在的業(yè)務(wù)欺詐,攻擊者都采用真實的身份和信息,通過自動化工具實現(xiàn)批量業(yè)務(wù)操作,傳統(tǒng)風(fēng)控是無法透視出這種自動化擬人操作的。前瞻性的風(fēng)控系統(tǒng)更需要實現(xiàn)風(fēng)控前置和精準(zhǔn)采集、即刻識別是工具還是真實人的操作行為。”

4月19日,在以“擁抱金融科技,重構(gòu)中小銀行發(fā)展模式和生態(tài)”為主題的2018銀行業(yè)金融科技新知論壇上,瑞數(shù)信息技術(shù)總監(jiān)吳劍剛應(yīng)邀發(fā)表主題演講,并做出如下分享。

今天,銀行業(yè)務(wù)所面對的外部環(huán)境愈發(fā)復(fù)雜,安全威脅不斷加劇,特別是利用工具展開的自動化攻擊已經(jīng)愈演愈烈。Gartner的2018年在線欺詐報告中已經(jīng)把反欺詐的核心轉(zhuǎn)向?qū)ψ詣踊舻姆雷o。同時指出,“最具前瞻性的反欺詐領(lǐng)導(dǎo)者應(yīng)將防止自動化攻擊納入其端對端客戶賬戶和交易的保護中”!

銀行業(yè)務(wù)在向互聯(lián)網(wǎng)遷移的過程中,面臨大量的自動化攻擊。吳劍剛提到:“撞庫、身份盜用、線上交易欺詐、營銷資源被搶占、敏感信息被爬取、批量網(wǎng)申、開戶以及零日漏洞等新興攻擊最顯著的特點就是大量使用工具,其特征是大量利用虛假身份或者盜用的身份,通過工具和程序進行自動化的欺騙性操作,而且這些操作是利用的正常業(yè)務(wù)邏輯進行,因此令傳統(tǒng)風(fēng)控手段變得難以區(qū)分其真實性,從而無法實現(xiàn)有效防護。”

瑞數(shù)動態(tài)安全防護技術(shù)可以實時識別自動化工具攻擊并給予實時攔截。幫助金融機構(gòu)提前做好防護,應(yīng)對業(yè)務(wù)欺詐威脅,充分實現(xiàn)“風(fēng)控前置”。

1. 動態(tài)封裝技術(shù)將網(wǎng)頁底層代碼不斷變換封裝,令攻擊者無法找到攻擊入口。

2. 動態(tài)驗證技術(shù)高效識別用戶端環(huán)境和客戶端行為并生成指紋標(biāo)識,從而甄別出“人”還是“自動化”操作。

3. 動態(tài)混淆技術(shù)對客戶端輸入、提交的敏感數(shù)據(jù)內(nèi)容進行混淆變化,從而在服務(wù)器與客戶端之間實現(xiàn)持續(xù)的雙向動態(tài)加密,既隱藏了頁面漏洞、也增加了服務(wù)器行為的不可預(yù)測性。

4. 動態(tài)令牌技術(shù)通過對當(dāng)前訪問頁面內(nèi)的合法請求授予一次性令牌,判別是正常還是異常的業(yè)務(wù)邏輯訪問,從而確保執(zhí)行正確的業(yè)務(wù)邏輯。

5. 動態(tài)威脅感知平臺可對客戶端進行精準(zhǔn)采集和行為分析,通過機器學(xué)習(xí)和人機識別技術(shù)實現(xiàn)交易安全感知、業(yè)務(wù)欺詐感知、端點指紋機環(huán)境感知以及人機行為感知。

傳統(tǒng)防御手段大多是基于特征庫、規(guī)則進行攻擊檢測和防御,基于挖漏洞堵漏洞方式解決安全問題,因此傳統(tǒng)防御更多是被攻擊者牽著鼻子走。瑞數(shù)的動態(tài)防御理念則是主動地牽制、制衡和迷惑攻擊者,通過把被保護對象自身進行一系列動態(tài)的變化,讓攻擊者無法預(yù)測,讓攻擊徹底放棄攻擊。

吳劍剛總結(jié)道:“瑞數(shù)動態(tài)安全技術(shù)在反欺詐中最大的價值就是充分實現(xiàn)了風(fēng)控前置,一方面,瑞數(shù)的動態(tài)安全技術(shù)無需依賴傳統(tǒng)風(fēng)控的規(guī)則與特征,做到實時人機識別,對存在漏洞和無漏洞的業(yè)務(wù)異常行為進行實時識別欺詐和攔截。另一方面,通過精準(zhǔn)采集實現(xiàn)強抗逆向能力,保證數(shù)據(jù)采集的準(zhǔn)確性,對安全威脅數(shù)據(jù)與人機識別數(shù)據(jù)做到重要補充,幫助現(xiàn)有風(fēng)控系統(tǒng)實現(xiàn)最佳決策判斷。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號