5 июня, 2018, BIS Journal №2(29)/2018

Риск-ориентированная аутентификация


Бродский Александр

управляющий директор Центра внутрикорпоративного взаимодействия (Сбербанка)

Путь Сбербанка

Задача аутентификации пользователей информационных систем и клиентов при доступе к банковским сервисам – одна из самых традиционных и по-прежнему востребованных в области обеспечения информационной безопасности.

КЛЮЧЕВОЕ НАПРАВЛЕНИЕ

Согласно ежегодному исследованию компании Verizon «Data Breach Investigations Report», в 2015 году скомпрометированные учётные записи стали причиной 50% всех взломов информационных систем и утечек данных. Это число выросло до 66% в 2016 году и до 81% – в 2017 году. Показателен пример со взломом в прошлом году компании Equifax, в результате которого киберпреступники получили доступ к данным 143 млн человек. Последствием был уход из компании ряда топ-менеджеров, подача исков к компании и падение котировок акций на 35%, что привело к снижению капитализации на $4 млрд.

Таким образом, развитие технологий и сервисов аутентификации, адекватных непрерывному росту киберугроз и при этом удобных для клиентов, – одно из ключевых направлений деятельности любой современной финансовой организации.

Традиционные способы решения задачи аутентификации начинаются от методов парольной аутентификации в различных модификациях (статические текстовые или графические пароли, одноразовые пароли через СМС-сообщения, программные и аппаратные генераторы) до многофакторной аутентификации, включающей комбинацию факторов аутентификации категорий «То, что ты знаешь» (Something You Know), «То, что ты имеешь» (Something You Have), «То, чем ты являешься» (Something You Are).

КАК НАЙТИ БАЛАНС?

Классическая парольная аутентификация уже давно не считается надёжной и повсеместно вытесняется многофакторной аутентификацией. Однако эта парадигма защиты основана на статических правилах и приводит к жёстким ограничениям вне зависимости от личности клиента и реальных рисков. Например, каждый раз при входе в интернет-банк клиенту необходимо вводить логин/пароль и одноразовый пароль, полученный в СМС-сообщении или от аппаратного генератора. Это требование не зависит от устройства и места, с которого осуществляется вход. Кроме того, при подтверждении перевода клиент должен всегда вводить одноразовый пароль, даже если это регулярный перевод своему родственнику или партнёру.

Каждая организация сталкивается с одной и той же дилеммой: как найти баланс между удобством для клиента и надёжностью? В этой статье мы хотели бы поделиться опытом Сбербанка в решении этого вопроса.

СОВРЕМЕННЫЕ ТЕНДЕНЦИИ

Риск-ориентированная модель аутентификации (RBA – risk-based authentication) решает проблему противоречия между безопасностью и удобством. Необходимость аутентификации, набор и тип факторов, требуемых для аутентификации данного клиента, определяются на основе оценки риска события и клиента «здесь и сейчас». Таким образом, процесс аутентификации адаптируется под клиента, его окружение и устройство. При высоком уровне доверия к этим факторам процедура аутентификации вообще незаметна (по сути, это просто идентификация) или минимальна для клиента. В случае выявлении риска клиент должен пройти аутентификацию с применением одного или нескольких факторов, а при высокой вероятности фрода доступ к сервисам будет полностью заблокирован.

Такой адаптивный подход позволяет снизить действующие ограничения на выполнение высокорисковой операции при помощи метода повышения уровня доверия (Step-up authentication). Например, если вход в систему интернет-банка осуществляется с известного устройства, из типичного для клиента места, а система узнаёт клиента по клавиатурному почерку, то есть по тому, как он набирает символы, то для входа клиенту достаточно просто ввести свой логин.

Если платёж выполняется из личного кабинета, то дополнительное подтверждение при низкорисковой операции, например, если это налоговый платёж или регулярный платёж родственнику, не требуется. Дополнительное подтверждение с помощью одноразового пароля или биометрии может потребоваться, если клиент переводит деньги новому получателю.

Этот подход обеспечивает необходимый уровень информационной безопасности и удобен для клиентов, поэтому эксперты ожидают, что такие технологии появятся в составе комплексных решений кибербезопасности уже в 2018 году.

БОЛЬШЕ ТЕХНОЛОГИЙ

Для полноценного применения риск-ориентированного подхода требуется набор факторов аутентификаций. Традиционные факторы аутентификации не отличаются большим разнообразием – это пароли и контрольные вопросы, различные PKI-токены и генераторы одноразовых (OTP – One Time Password) паролей. При этом факторы аутентификации, основанные на знании, на текущий день признаны неэффективными и непривлекательными для клиента, а всевозможные токены имеют слишком большие накладные расходы, чтобы применять их широкомасштабно.

Развитие и распространение технологий распознавания человека по персональным физическим или поведенческим признакам существенно расширяют возможности при проектировании современной риск-ориентированной системы аутентификации.

Биометрические факторы аутентификации в отличие от традиционных, основанных на знании и владении, нельзя разгласить, потерять или передать другому лицу. Однако биометрические технологии – это не «серебряная пуля» в вопросе надёжности аутентификации. И дело даже не в ошибках первого (принять чужого за своего) и второго (отказать своему) рода при распознавании. Вопрос скорее в рисках, связанных с доверием к каналу обслуживания, в котором осуществляется снятие биометрических данных в момент биометрической верификации или регистрации.

Такие риски возникают в первую очередь для удалённых каналов обслуживания, когда считывателем биометрических характеристик выступает неконтролируемое банком мобильное устройство клиента, и процесс снятия биометрических характеристик также не контролируется банком.  В этих условиях могут быть реализованы различные атаки по подмене биометрических характеристик, что требует применения специальных методов выявления таких атак (так называемый PAD – Presentation Attack Detection) и защиты от них.

ПУТЬ СБЕРБАНКА

Риск-ориентированная аутентификация в концепции Сбербанка предполагает, что у любого фактора аутентификации есть уровень доверия, а выбор фактора аутентификации зависит от уровня риска события или операции.

При формировании уровня доверия к фактору аутентификации учитываются различные аспекты, например: канал регистрации, способ аутентификации, который был пройден при регистрации, тип фактора. В частности, Американский институт стандартов и технологий (NIST) собирает и систематизирует опыт такой оценки в документе SOFA-B (Strength of Function for Authenticators - Biometrics). В нашей модели уровень доверия фактора аутентификации – динамическая величина, которая зависит от статистики успешных/неуспешных входов и транзакционной активности клиента с использованием данного фактора аутентификации.

Для вычисления уровней риска событий и уровней доверия факторов аутентификации Сбербанк использует внедрённую в банке систему фрод-мониторинга на базе продукта RSA Adaptive Authentication & Transaction Monitoring. Это кросс-канальная система, которая подключена ко всем каналам банковского обслуживания. Фактически, это базовый уровень многофакторной, риск-ориентированной системы аутентификации.

Пример того, как данная связка может использоваться в процессе дополнительной step-up аутентификации, приведён на рисунке 1.

Рис.1. Step-up аутентификация (ЕСА – Единый сервис аутентификации)

Вместе с тем система фрод-мониторинга анализирует в основном транзакционную активность клиента, поскольку её главной целью является выявление финансового фрода. Поэтому необходимо дальнейшее развитие модели риск-ориентированной аутентификации, учитывающей и другие параметры работы клиента в системах банка.

ДАЛЬНЕЙШИЕ ПЛАНЫ РАЗВИТИЯ RBA В СБЕРБАНКЕ

Мы планируем реализовывать многоуровневую модель риск-ориентированной аутентификации, оценивающей событие входа клиента в систему банка по пяти доменам(рис.2).

Рис.2. Многоуровневая модель аутентификации

Каждый уровень этой модели должен повысить надёжность процесса аутентификации. Мы сгруппировали их следующим образом:

Уровень 1 – анализ окружения и устройства доступа (Endpoint):

геолокация устройства и проверка его цифрового отпечатка (Geolocation & Device Fingerprinting);
выявление факта использования устройства ботом (Bot Detection);
оценка безопасности устройства (Mobile Security Assessment);
построение профиля использования телефона (Phone-Printing).

Уровень 2 – поведение и биометрия (Behavioral & Biometrics):

оценка сессии работы с системой (Session Behavior);
проверка физиологических и биологических характеристик субъекта (биометрии) (Face, Voice, Fingerprint Biometrics);
проверка личностных поведенческих характеристик субъекта (Behavioral Biometrics).

Уровень 3 – анализ данных о пользователе (User Data):

внешних (не хранящихся в банке) персональных данных, обработка которых регулируется законодательством (External Personal Identified Information - PII);
внешних персональных данных, не относящихся к категории регулируемых законодательно (External Non-PII personal);
данных социальных сетей (External Social Network);
внутренних баз данных (Internal Records).

Уровень 4 – связи и аналитика (Linkages & Analysis):

анализ поведения и выявление в нем аномалий (Behavioral Analysis & Anomaly);
выявление групповых связей (Detection Individual and Peer Group);
применение аналитических методов и машинного обучения (Advanced Analytics and Machine Learning);
анализ взаимосвязей (Graphs and Link Analysis).

Важная особенность поведенческой биометрии заключается в том, что проверка происходит не однократно на входе, а постоянно в течение сессии. При этом доверие к обычной биометрии находится на высоком уровне только в момент проверки. С течением времени этот уровень падает (за компьютером может находиться уже не тот субъект, который прошёл аутентификацию при входе). При проведении поведенческой биометрии всё наоборот – уровень растёт по мере наблюдения за субъектом на всем протяжении сессии.

Мы ожидаем, что при реализации данного многоуровневого подхода большая доля операций аутентификации будет осуществляться без вовлечения клиента. Анализируя уровни надёжности аутентификации и риска события, мы получаем возможность реализации различных сценариев. Например, вход в систему для клиента может быть простым и прозрачным, однако при совершении рисковой операции могут потребоваться дополнительные действия для прохождения Step-up аутентификации дополнительным фактором.

Таким образом, это позволит достичь того самого баланса между удобством для клиента и надёжностью с точки зрения безопасности, о котором мы говорили в начале статьи.