網銀交易實時監控案例分享

——美國富國銀行

Oracle

AdaptiveAccessManagement解決方案OracleFusionSecurity2

希望改善原有在線安全監控平臺的設計，給用戶提供更安全的服務；為銀行提供實時的交易監控和風險分析

需要達到聯邦金融機構檢查理事會(FFIEC)的指示要求

部署了全面的網銀交易實時風險分析；

系統可以監測出用戶是否從其常用地點進行網銀交易，監測是否有人從異常設備和地點進行非法登錄，交易；實現了99%的在線交易安全保證：讓網銀用戶最大程度免于受到釣魚網站、鍵盤精靈、二代釣魚等的賬戶攻擊，保護客戶資金安全，大大提高客戶的滿意度；投資回報Oracle成功案例–美國富國銀行

實時在線風險分析

業務挑戰項目規模：2,500萬網銀用戶;運行于64CPU硬件平臺。每小時28萬筆交易富國銀行案例分享項目背景美國富國銀行簡介

富國銀行是美國唯一一家獲得AAA評級的銀行，建于1852年，名稱一直未變；按商業銀行資本市值，全球排名第四。富國銀行是一家提供全能服務的銀行，業務范圍包括社區銀行、投資和保險、抵押貸款、專門借款、公司貸款、個人貸款和房地產貸款等。富國銀行存款的市場份額在美國的17個州都名列前茅，是美國第一的抵押貸款發放者，第一的小企業貸款發放者，擁有全美第一的網上銀行服務體系。是美國唯一一家被穆迪評級機構評為AAA級別的銀行。可以不夸張地說，富國銀行是美國最好的銀行從1852年起，富國銀行已經成為美國西部信貸服務的標志性企業之一。面臨的挑戰合規性要求

美國聯邦金融機構檢驗委員會(FFIEC)要求所有在美國營業的銀行必須部署多因素認證以及反釣魚措施。這一規定迫使富國銀行和其它美國銀行改進它們在線渠道的安全解決方案。而富國銀行也定期的對自己的安全性進行嚴格的內部審計。

風險/遭遇的攻擊富國銀行的在線金融渠道經常受到以大型金融機構為目標的攻擊手段，包括釣魚，域欺騙，惡意軟件（鍵盤記錄器，maninthebrowser等），中間人攻擊，字典攻擊，密碼竊取及其它各種人為手段的攻擊/欺騙。傳統監控手段的局限性

在實施OAAM之前，富國銀行曾經使用初級的批處理式分析工具以及手動工序來鑒別潛在的欺騙。而在實施OAAM之前，沒有任何實時的欺詐探測和封鎖機制。由于實施了OAAM，富國銀行大幅度的減少了遭遇欺詐的案例，同時也通過削減手動工序節省了大量的時間和人力成本。富國銀行案例分享方案描述方案選擇

最終入圍的是RSA和Oracle。甄選程序經過了大約九個月。OAAM以其部署和集成的靈活性，高度可配置的安全策略，通俗易懂的風險評估規則及友好的基于風險的認證機制最終勝出。由于Oracle并不是一個小型提供商，我們可以為客戶提供一整套由同一個公司開發和測試過的安全解決方案。這一優勢為客戶提供了更好的支持，更強的穩定性，更統一的技術和更優秀的互操作性,而這些優勢是通過簡單的拼湊多家廠商的產品所難以比擬的。即使客戶目前只打算采購解決方案中某個單一的組件，對于一個大型企業來說，考慮到節省下的時間和金錢，一個易于擴展的解決方案也是非常重要的。此外OAAM是一個同時受到分析師和我們自己的客戶好評的產品。方案簡介用戶在哪(地理位置)用戶在做什么

(行為模式)用戶擁有什么(設備指紋)用戶知道什么(認證面板，密碼，預留問題質詢)用戶機構管理員客戶化應用網銀內部業務應用UserLocationDevice使用的功能模塊OracleAdaptiveRiskManagerOAAMOfflineAnalysisOAAMReportingOracleAdaptiveStrongAuthenticator提供用戶自定義的動態虛擬鍵盤、預留問題質詢等強認證手段基于策略的風險管理模型，對用戶行為進行全方位的分析和審計離線風險分析功能，獨立于實時在線監控平臺，用于對歷史數據進行批量分析處理及新規則調試輔助強大的報表功能，對用戶行為數據及風險情況進行匯總輸出，并可對數據進行深入下鉆查詢邏輯架構高可用部署示意富國銀行采用Native集成方式，通過API與OAAM進行交互由于需要達到實時監控和干預高風險交易，富國銀行采用Native集成方式，通過以下集成點將數據傳送至OAAM監控平臺，在數據獲取方面未使用探針方式：登錄頁面——通過在網銀系統登錄頁面嵌入OAAMFlash對象，獲取用戶非隱私的設備信息，用于判斷該設備是否為常用設備或是否多人共用此設備等風險情況；用戶信息維護頁面——通過API將用戶對個人信息的維護及修改情況傳送至OAAM；交易頁面——通過API將用戶的交易數據傳送至OAAM；GIS數據——通過OAAM的導入功能將第三方地理信息csv數據文件導入監控平臺，用于判斷用戶的登錄位置；第三方數據庫——通過OAAM可實時引用聯邦金融機構檢查理事會(FFIEC)等部門發布的黑名單數據庫，亦可連接網銀開戶用戶數據庫獲取開戶信息。富國銀行案例分享界面截屏OAAMatWellsFargo

RealWorldUse–EmailfromWellsFargo-Step1OAAMatWellsFargo

RealWorldUse–MyRegistration-Step1chris.fox**********OAAMatWellsFargoExample

RealWorldUse–MyRegistration-Step2Real-TimeIdentityTheft+FraudPreventionUsersMerchantsAdminsWhatAUserKnows

(Pin,Password,ChallengeQuestions)CustomApplicationsPortalsBusinessApplicationsUserLocationDeviceOAAMatWellsFargoExample

RealWorldUse–MyRegistration-Step3Real-TimeIdentityTheft+FraudPreventionWhatAUserHas

(DeviceFingerprinting)WhatAUserKnows

(Pin,Password,ChallengeQuestions)UsersMerchantsAdminsCustomApplicationsPortalsBusinessApplicationsUserLocationDeviceDeviceFingerprinting–UndertheCovers

UsedforRiskScoring,ForensicsandReportingReal-TimeIdentityTheft+FraudPreventionWhataUserDoes

(BehaviorPattern+Profiling)WhatAUserHas

(DeviceFingerprinting)WhatAUserKnows

(Pin,Password,ChallengeQuestions)UsersMerchantsAdminsCustomApplicationsPortalsBusinessApplicationsUserLocationDeviceAuto-LearnsPatternsandBehaviorLoginTimesUserGroupsDevicesCitiesStatesCountriesPatternsConfigurableActions+/-Usergroup+/-IPgroup+/-Citygroup+/-Stategroup+/-Countrygroup+/-DevicegroupDevicesCitiesStatesCountriesUserProfileIs/notmember%membership:UservshimselfUservsothersRulesDynamicallyEvaluate&ProfileActivityReal-TimeIdentityTheft+FraudPreventionWhereaUserIs

(Geo-Location)WhataUserDoes

(BehaviorPattern+Profiling)WhatAUserHas

(DeviceFingerprinting)WhatAUserKnows

(Pin,Password,ChallengeQuestions)UsersMerchantsAdminsCustomApplicationsPortalsBusinessApplicationsUserLocationDeviceReal-TimeIdentityTheft+FraudPrevention

ComputedRiskScoreUsersMerchantsAdminsCustomApplicationsPortalsBusinessApplications

Allow

BlockChallenge

AlertOAAMatWellsFargoExample

RealWorldUse–MyWellsHomePage$XX,XXX.XXSessionDetail+RiskScoring–UndertheCovers

UserFriendlyUIwithPredictableOutcomes27“ClearBox”RulesandScoring

#1Question…Howdiditgetthatfinalscore?28“ClearBox”RulesandScoring

#1Question…Howdiditgetthatfinalscore?29“ClearBox”RulesandScoring

#1Question…Howdiditgetthatfinalscore?In-SessionRiskEvaluation-Transfers

Knowledge-BasedChallenge

UponTransferwithDifferentDeviceand/orCountry32“In-Session”Real-TimeSecurity

AnyApplication…AnyVertical…AnyTransaction!SessionPreAuthenticationRuntimePostAuthenticationRuntimeEnterUserIDEnterPasswordChangePersonalInfoRuntimeTransferFundsRuntimeCheckBalanceCheckMessagesAdaptiveReportingEngine

OOTB,AdjustableReportswithFreeOracleBIPublisherScheduleandBurstReportsPublishReportsforAuditEdit/DesignReportsusingOfficetoolsandWebPre-BuiltIdentityReports

OracleBIPublisherPullDatafromSource1XMLEDIEFTPDFRTFHTMLExcelOutputtoDesiredFormats3SendtoDestinations4E-mailPrinterFaxStorageBusinessUserCreates/EditsLayoutUsingCommonOfficeandAdobeTools2OfficeWebAdobeOracleAdaptiveAccessOracleAccessMgmtOracleIdentityMgmtUserLocationDevice富國銀行案例分享實施方法OAAM實施方法論實時監控、數據收集報警、報告不改變用戶體驗積累用戶行為數據采用基本規則確定業務規則少量干涉風險交易形成用戶行為模型個性化風險監控對所有高風險交易進行處理擴大渠道范圍系統擴容規則改進為其它系統提供服務業務重點技術重點實時風險監控平臺實施步驟方法論第一階段第二階段第三階段第四階段五六6個月3個月6個月X個月平臺搭建風險平臺API集成集成其它渠道性能調優基本規則配置用戶行為模型啟動規則模型調整報告生成強認證模塊啟動集成其它應用數據源接入階段成果認證

多因素認證(OTP,CA/PKI)預防Fraudsters

基本安全風險模型

行為安全風險模型

基本儀表板&報告

有關交易報告結合運維&客戶服務

自動化結合富國銀行實施路線與現有平臺及業務流程關系OAAM與一個全新定制開發的互聯網金融應用程序及其基礎設施進行了本地集成，因此并不存在與現有系統沖突的問題。同樣，業務和管理流程也是為這個新的平臺重新開發的。總而言之，OAAM的用戶將它與他們所使用的金融應用程序進行了本地集成。這一手段提供了最佳的性能和靈活性。由于我們為本地集成所提供的API是相對輕量級的并且非常易于實現，所以它對性能的影響被控制在了最小的范圍。為了適應自動化的欺詐偵測和在某些配置下極少量的手工調查步驟，我們必須對業務流程和管理機制進行擴展。通常情況下，比起離線或者手動工序下的風險分析，OAAM用戶可以明顯的減少在管理風險方面的人力需求，并且獲得極大的效率提升。OAAM需要占用專有的資源(容器和數據庫)，因此它不會對其它平臺造成影響。富國銀行案例分享后期維護審查和維護周期類似富國銀行這樣的OAAM客戶通常會定期審查OAAM的產出，以確定相關策略仍然在按預期的效果運作。這樣的審查通常以定期報告的形式進行，審查結果會包含被拒絕的事務總數，預留問題質詢總數，以及各種類型警報的總數等等。一旦業務團隊和安全團隊在相關的閾值上達成一致，安全策略本身就很少需要修改了。此外，由于OAAM會在對不斷變化的用戶行為進行分析的基礎上進行自我調整，它能夠在沒有人工干預的情況下對什么是正常行為，什么是可疑行為進行精確的鑒別。如果安全團隊想要通過額外的規則和分析方法來改善風險分析的效果，那么他們可以通過圖形化用戶界面方便的進行改動，并且在一個離線的測試環境中基于真實生產數據安全的對這些改動進行測試。同樣的，我們也能找到一些第三方工具，用來生成“如果...，會怎么樣”的測試場景來對各種假設進行測試。

除了軟件補丁和版本升級，另一個主要的維護工作就是一些通過現成的腳本對數據庫進行清理和數據保護的最佳實踐。像富國銀行這樣的大型客戶會在生產環境中保留六個月的數據，以進行基于歷史數據的風險評估。采用OAAM離線模式（Offline）進行規則驗證DBLoaderOAAM監控平臺OAAM離線模式設計目的OAAM提供離線風險分析工具，可針對已有的數據進行離線運算分析。OAAM離線模式可滿足以下場景：作為分析和測試工具——創建和驗證新的規則，在將新規則導入生產系統之前使用生產系統的數據作為測試數據，進行規則驗證；作為獨立的安全監管系統——離線分析、檢測高風險行為并進行預警；作為補充分析工具——基于真實用戶數據進行規則調優，不影響用戶的實時登錄和交易。OAAM離線模式數據來源用戶的登錄和交易數據會被載入OAAMOffline數據庫，數據可從以下來源進行獲取：直接從OAAMOnline數據庫中獲取；從臨時數據庫中獲取；從網銀數據庫或遠程第三方數據庫中獲取；從文件中獲取，如日志文件。使用OAAM報表查看規則觸發情況通過OAAMOffline模式，啟用新規則針對已有的真實用戶數據進行離線風險分析，并可通過開箱即用的報表功能對分析結果進行總覽查詢，查看新規則被觸發的總次數，并可深入下鉆查詢，查看每次被觸發的具體情況。若觸發次數過多，如占到25%以上，則可能規則閥值過低，可根據實際情況進行調整。團隊建設及業務流程梳理富國銀行設立了一個7~8人的團隊，負責OAAM監控平臺的運維及業務處理。團隊按職責劃分角色的標準如下：高級管理團隊-監控執行官-風險主管-安全總架構師核心團隊-規則工程師-規則設計師-風險分析師-業務分析師-測試人員-培訓師系統擴展團隊-數據庫管理員/系統管理員-運維支持人員-HelpDesk和/或客戶關懷-業務代表

OAAM的客戶通常會選擇使用他們自己的安全團隊來監控和使用OAAM。安全團隊可以清楚地看到OAAM在評估哪些活動，以及準確的觀測它們的性能，評估報告和最終產出如何。OAAM包含了強大易用的法證鏈接分析，報告及記錄的功能，以方便事故調查員的工作。團隊建設及業務流程梳理

團隊按上述角色進行職責劃分，在項目的不同時期，各角色的比重會按情形調整，一人可兼任多個角色，部分角色亦可在一定時期采用兼職人員。其中：業務分析師作為業務部門和監控部門的橋梁，負責收集整理業務需求，撰寫需求說明文檔，供規則設計師參考。規則設計師負責風險監管規則的設計和業務流程設計，通過團隊內的接口角色與其它部門（短信平臺、呼叫中心等）進行溝通。HelpDesk/客戶關懷人員負責監管用戶服務請求，作為解決用戶使用網銀問題的補充點，提供更高一級的支持和建議，確保每一請求的完結，并針對典型的觸犯規則的用戶進行回訪，考察用戶體驗并記錄反饋，上報核心團隊進行分析，以此進行規則調優或制定新規則或保持現狀。風險分析師依靠報表工具對周期內的用戶行為風險情況進行數據挖掘分析，將分析結果上報高級管理團隊，高級管理團隊以此為依據之一考慮風險監控在戰略上的調整。培訓師負責培訓業務人員及呼叫中心相關職責及技能。富國銀行案例分享投資回報投資回報分析通過實施OAAM風險監控平臺，可極大為銀行用戶節約人工成本并創造附加價值，以富國銀行為例，其ROI分析可關注以下幾個方面：用戶安全保障加強后，投訴電話減少通過自動審計節約人工成本用戶滿意度提升帶來的新用戶數量增長及老用戶流失率下降在防范欺詐風險方面減少了大量時間投入對用戶行為的深入理解為網銀改進、CRM及其它產品開發提供了有力信息支持減少用戶因在線欺詐引起的經濟損失極大提高品牌影響力……

通過代入具體數據（如用戶數和單位人工成本等）進行計算，OAAM可在一年內實現100%的投資回報，用戶稱贊“OAAMpayforitself”。

進一步了解OAAM詳細ROI分析報告可參考：/us/products/middleware/identity-management/idc-adaptive-access-173354.pdf其他案例分享OAAM客戶FinancialServicesPublicSectorEducationeCommerceHealthcareTelecomHiTech50需要處理高速增長的跨渠道的安全漏洞：包括網銀、手機銀行，ATM，POS等；并需要經常調整各渠道的風險規則需要構建統一風險監控平臺來保護和監測所有電子渠道；

需要滿足數據安全和隱私控制的合規要求；

新的網銀監控平臺基于原有的渠道支付規則，將銀行安全策略融入其中，實現了多渠道的銀行業務風險監控管理；節省了80%的安全防范成本，大大提高了銀行聲望；投資回報業務挑戰規模：管理分布于7個國家的40萬網銀用戶;

客戶反饋：節省80%由于網銀安全風險帶來的各種成本和損失；Oracle成功案例–EFGEurobank

保護多渠道銀行業務51

除了對網銀交易的風險監控和分析以外，還需要在線實時地風險控制防御平臺；

需要對多渠道銀行交易系統風險進行監控，包括銀行交易，信貸系統，支付網關等系統。業務部門要求風險監控平臺不對現有用戶正常操作產生干擾或影響用戶體驗。把銀行業務監控平臺擴展到多個業務部門，多個國家，使得獲得潛在的巨量客戶群（10億級用戶）成為可能。采用開放技術架構，部署了多級的主動型，實施風險防范，監測控制系統。同時提供了多因素強認證機制。方案在不影響現有銀行業務使用和性能的前提下，幫在線用戶避免風險欺詐，增加客戶對電子銀行業務交易的信息和使用率。業務挑戰規模：作為印度第二大銀行，管理2千萬網銀用戶;

客戶反饋：快速系統集成能力，滿足了電子渠道業務飛速發展對交易安全的要求。投資回報Oracle成功案例–印度ICICIBank

多渠道銀行業務監控平臺ICICIFrandManagementSystem

7-Feb-2009GOACxOForumChannelsFraudPreventionE-CommerceTransaction(E-COM)Real-timeintegrationwithpaymentgatewayforriskscoringPointofSales(POS)Nearreal-timeintegrationwithswitchInternetBanking(I-Banking)Real-timeintegrationforauthenticationandriskscoringInternallyOriginatedTransaction(Internal)OfflineinterfacewithcoresystemsforfraudpatterndetectionLoansandCreditCardSystem(Credit)Onlineinterfaceforpatterndetection&riskscoringCaseStudy–ICICIBank

Real-timeMulti-ChannelFraudPreventionPlatformOAAMImplementationMethodologyInitiationAssessmentCollectionEnforcementEnhancementPhase1.1NochangetotheuserProfilingReviewCommunicationPhase1.2OptionalRegistration“Launch”CommunicationPhase1.3RequiredRegistrationSecurity&ControlsPhase2+InSession(TransactionbasedPolicy)InBand