> сканирование компьютера клиента на предмет троянских программ

Фигасе "минимальные требования"

всегда думал что антифрод - это работа на стороне банка. Может проще антивирус обязать включать клиентов?

Пофлудю..... Имхо очень полезный инструмент - SurfPatrol, только конечно не совсем так, как это работает у них щас. Т.е. нада чтобы при каждом входе в систему комп клиента экспрессом сканился на определённые вещи и быренько раз, результат на сервак в банк передал. Если там есть подозрения - у антифрода включается злой режим и он проверяет документы от этого клиента с особым пристрастием.... в общем вот такая комплексная система.
Я такое пока видел только в системах удалённого доступа к рабочему столу - в дбо не видел нигде, а очень хотелось бы...


Так что пока видимо антифрод грамотно настроенный и обученный и у клиента хоть трава не расти - это образно конечно, но при грамотном антифроде вопросы доверенности среды у клиента уходят на второй план, а если у вас ещё и нотификация клиентов есть вменяемо работющая, т.е. не просто для галочки, а так чтобы клиенты читали (тут нада ещё клиента дрессировать) - и платёжки вы сразу не отправляете - тут вообще всё будет классно.

ттт ccc

имхо, без этой опции это будет очередная хренопись, на которую способны также и сотрудники ИТ банка
Как правило клиенты банка не особенно часто обновляют антивирусное ПО, токены тоже вынимают почти всегда в пятницу вечером.
Поэтому это является минимальным требованием
Вон у бифита вроде будет только ждать релиза долго.

Вы путаете антифрод с управлением рисками.

Система антифрода выявляет явные аномалии (вот этот конкретный платеж слишком необычен для вот этого конкретного клиента). По каждой такой аномалии вы должны как-то отреагировать (приостановить платеж, запросить дополнительное подтверждение и т.п.). Поэтому основное, что вас должно интересовать в антифроде - оптимальное соотношение вероятностей ошибок первого и второго рода на платежах конкретно ваших клиентов. Априорных оценок для них не существует, так как потоки платежей у клиентов разных банков (и даже разных филиалов одного банка) будут иметь разные вероятностные характеристики. Нужно брать каждую из систем и делать пилотный проект на реальной выборке.

Информация о наличии на клиентской машине уязвимостей, троянов, выполнении требований безопасности и т.п. имеет к антифроду очень отдаленное отношение. Тот факт, что на компе плательщика есть троян еще не значит, что полученное платежное поручение - фрод. Поэтому такие функции относятся к управлению рисками, связанными с данным клиентом. Например, вы могли бы установить такому клиенту повышенный тариф или даже приостановить его обслуживание до устранения недостатков. Сослагательное наклонение вызвано тем, что на сегодняшний день это трудно реализуемо - и бизнес не готов к этому, и договоры ДБО нужно предварительно перекроить. Поэтому такие функции не только не являются "минимально необходимыми", но и вообще трудноприменимы.

Кое-что из требуемого функционала есть у Бифита, обратитесь к ним.

Компания Андэк (бывшие сотрудники Информзащиты) предлагает вроде бы неплохую антифродовую систему, разработана ораклом.

Но тем не менее это реализуемо.
Насколько я понял трояны демобилизируют антивирусное ПО на компьютере клиента. Поэтому необходимо мониторить его сессию при помощи стороннего ПО.
Антифрод в моем понимании - еще один уровень безопасности, наряду с антивирусом на АРМ клиента, выполнением клиентом требований безопасности и т.п. Не более того.

Бифит сейчас готовится выпустить свою антифрод систему. Но это будет не скоро, хотя у меня предположение что ее функционал не будет в какой-то мере сильно отличаться от других.

Я не так давно начал разбираться в прелестях антифрод систем, поэтому хотел услышать мнения о конкретных продуктах, т.к. со стороны невозможно хотя-бы приблизительно точно оценить, вероятности возникновения ошибок 1го и 2го рода. Но присутствие возможности оценки риска на АРМ пользователя считаю необходимым. Понятно что там не 100% попаданий, но все же.

В моем понимании, наличие антивируса у клиента, даже регулярно обновляемого, не дает малейшей гарантии от прохождения фрода с его стороны, а при условии что атакует профи, вообще никак не защищает. В день разрабатывается очень большое количество троянского ПО, которое в силу своей новизны не видят антивирусы - не секрет. Общее у них - признаки работы, т.е. следы которые они оставляют в системе. Наличие инструмента поиска этих следов, ИМХО, мастхэв.

Ну, вы отмониторили сессию. Антифродовая система сказала вам, что троян там таки да. Дальше что? Не пропустите платеж? На каком основании? Свяжетесь с клиентом? А ресурсов колл-центра хватит?

Я тоже за все хорошее против всего плохого. Вопрос упирается только в то, есть ли у вас возможность этим инструментом воспользоваться "Нет ручек - нет мультиков".

Недавно Касперский приходил, предлагал поучаствовать в тесте новой приблуды - довереная среда для ДБО. Т.е. они пытаются гарантировать чистоту браузера в момент подключения к ДБО и работы. Есть обратная связь. В зависимости от ответа с клиентской машины, ДБО может сменить ограничения по лимитам...
Но концепция была непонятна, техничиская реализация - непроработана.
Как всегда без ответа остались вопросы - что с криптухой и в какую сторону наклон антивируса - анализ или скорость?
Хотя понимание что спасать нужно именно клиента, и именно до того как он начнет активно пользовать ДБО - в наличии.

Как-то вы сами себе напротиворечили: трояны демобилизируют антивирусное ПО, но следы остаются в системе, которые должна увидеть клиентская компонента антифрод-системы. С чего бы эффективности мелкой антифрод-софтинки быть выше гигантов типа Касперского, Eset или Symantec?

Если клиент не "жирный", и таких как он меньше порога значимости, а тем более если он физик - то в свете 161-ФЗ это либо повод с ним распрощаться (в части ДБО), либо установить лимит мало тыс.руб/день, либо вменить ему доп.услуги по безопасности - например SMS-подтверждение или OTP.

Доверенная ОС с доверенной загрузкой или доверенная виртуалка?

Вообще идея добрая, но я не понимаю зачем такие сложности, когда можно внедрить (вопрос в том числе к Бифиту) очевидную вещь - внешнее устройство с доверенным экраном и криптовайдером. На мой взгляд для 90-99% клиентов это будет наиболее удобный, надёжный и безопасный способ.

Опять же возвращаемся к вопросу "готов ли бизнес". Пока готовности устанавливать вариативные лимиты в зависимости от защищенности рабочего места ДБО не наблюдается. Будет спрос со стороны бизнеса - будут предложения.

Подумал и отвечаю сам себе - эффективность может быть выше в части анализа следов в самой ДБО, тогда да. Трясите разработчика.

Не знаю в какой отрасли вы работаете (написано что не банкир), но у нас вот такая оценка рисков уже реализуется.

А можно в личку чуть подробнее? Мы собираемся поддержать эту тему на очередном форуме в Магнитогорске, благо заказчики очень хотят.
Отрасль - в профиле

Доверенная виртуалка.

Ручками через удалённый раб.стол залогинятся и всё проведут.

>>Ну, вы отмониторили сессию. Антифродовая система сказала вам, что троян там таки да. Дальше что? Не пропустите платеж? На каком основании? Свяжетесь с клиентом? А ресурсов
колл-центра хватит?

Хватит, если хватать не будет то хватит смс-подтверждения (в зависимости от жирности клиента)

>>Как-то вы сами себе напротиворечили: трояны демобилизируют антивирусное ПО, но следы остаются в системе, которые должна увидеть клиентская компонента антифрод-системы. С чего бы эффективности мелкой антифрод-софтинки быть выше гигантов типа Касперского, Eset или Symantec?

Извиняюсь, не правильно выразился. Вместо слова "система" следовало указать слово "процесс".
Из просмотренных мной "мелких софтин" такой функцией обладают/будет обладать Bifit'овский антифрод (который еще не вышел) и САФС от Answerpro.
Также сейчас пытаюсь получить информацию от bss и arcsight.
Кто вкурсе бссовский антифрод поддерживает ибанк2? тоже самое про арксайт... (арксайт вообще мне показалось довольно крупной птицей, функционал которого до сих пор для меня загадка, если кто вкурсе расскажите )

Кстати нашел довольно грамотную, как мне показалось, статью по теме, http://www.nobunkum.ru/ru/banker-attacks (не реклама).

upd. забыл написать про Fraudwall, по описанию функционала он, как мне показалось несколько проигрывает своим конкурентам, ввиду наличия только фильтра.