Oracle网银交易监控平台典型案例v

网银交易实时监控案例分享

——美国富国银行

Oracle

AdaptiveAccessManagement解决方案OracleFusionSecurity2

希望改善原有在线安全监控平台的设计，给用户提供更安全的服务；为银行提供实时的交易监控和风险分析

需要达到联邦金融机构检查理事会(FFIEC)的指示要求

部署了全面的网银交易实时风险分析；

系统可以监测出用户是否从其常用地点进行网银交易，监测是否有人从异常设备和地点进行非法登录，交易；实现了99%的在线交易安全保证：让网银用户最大程度免于受到钓鱼网站、键盘精灵、二代钓鱼等的账户攻击，保护客户资金安全，大大提高客户的满意度；投资回报Oracle成功案例–美国富国银行

实时在线风险分析

业务挑战项目规模：2,500万网银用户;运行于64CPU硬件平台。每小时28万笔交易富国银行案例分享项目背景美国富国银行简介

富国银行是美国唯一一家获得AAA评级的银行，建于1852年，名称一直未变；按商业银行资本市值，全球排名第四。富国银行是一家提供全能服务的银行，业务范围包括社区银行、投资和保险、抵押贷款、专门借款、公司贷款、个人贷款和房地产贷款等。富国银行存款的市场份额在美国的17个州都名列前茅，是美国第一的抵押贷款发放者，第一的小企业贷款发放者，拥有全美第一的网上银行服务体系。是美国唯一一家被穆迪评级机构评为AAA级别的银行。可以不夸张地说，富国银行是美国最好的银行从1852年起，富国银行已经成为美国西部信贷服务的标志性企业之一。面临的挑战合规性要求

美国联邦金融机构检验委员会(FFIEC)要求所有在美国营业的银行必须部署多因素认证以及反钓鱼措施。这一规定迫使富国银行和其它美国银行改进它们在线渠道的安全解决方案。而富国银行也定期的对自己的安全性进行严格的内部审计。

风险/遭遇的攻击富国银行的在线金融渠道经常受到以大型金融机构为目标的攻击手段，包括钓鱼，域欺骗，恶意软件（键盘记录器，maninthebrowser等），中间人攻击，字典攻击，密码窃取及其它各种人为手段的攻击/欺骗。传统监控手段的局限性

在实施OAAM之前，富国银行曾经使用初级的批处理式分析工具以及手动工序来鉴别潜在的欺骗。而在实施OAAM之前，没有任何实时的欺诈探测和封锁机制。由于实施了OAAM，富国银行大幅度的减少了遭遇欺诈的案例，同时也通过削减手动工序节省了大量的时间和人力成本。富国银行案例分享方案描述方案选择

最终入围的是RSA和Oracle。甄选程序经过了大约九个月。OAAM以其部署和集成的灵活性，高度可配置的安全策略，通俗易懂的风险评估规则及友好的基于风险的认证机制最终胜出。由于Oracle并不是一个小型提供商，我们可以为客户提供一整套由同一个公司开发和测试过的安全解决方案。这一优势为客户提供了更好的支持，更强的稳定性，更统一的技术和更优秀的互操作性,而这些优势是通过简单的拼凑多家厂商的产品所难以比拟的。即使客户目前只打算采购解决方案中某个单一的组件，对于一个大型企业来说，考虑到节省下的时间和金钱，一个易于扩展的解决方案也是非常重要的。此外OAAM是一个同时受到分析师和我们自己的客户好评的产品。方案简介用户在哪(地理位置)用户在做什么

(行为模式)用户拥有什么(设备指纹)用户知道什么(认证面板，密码，预留问题质询)用户机构管理员客户化应用网银内部业务应用UserLocationDevice使用的功能模块OracleAdaptiveRiskManagerOAAMOfflineAnalysisOAAMReportingOracleAdaptiveStrongAuthenticator提供用户自定义的动态虚拟键盘、预留问题质询等强认证手段基于策略的风险管理模型，对用户行为进行全方位的分析和审计离线风险分析功能，独立于实时在线监控平台，用于对历史数据进行批量分析处理及新规则调试辅助强大的报表功能，对用户行为数据及风险情况进行汇总输出，并可对数据进行深入下钻查询逻辑架构高可用部部署示意意富国银行行采用Native集成方式式，通过过API与OAAM进行交互互由于需要要达到实实时监控控和干预预高风险险交易，，富国银银行采用用Native集成方式式，通过过以下集集成点将将数据传传送至OAAM监控平台台，在数数据获取取方面未未使用探探针方式式：登录页面面——通过在网网银系统统登录页页面嵌入入OAAMFlash对象，获获取用户户非隐私私的设备备信息，，用于判判断该设设备是否否为常用用设备或或是否多多人共用用此设备备等风险险情况；；用户信息息维护页页面——通过API将用户对对个人信信息的维维护及修修改情况况传送至至OAAM；交易页面面——通过API将用户的的交易数数据传送送至OAAM；GIS数据——通过OAAM的导入功功能将第第三方地地理信息息csv数据文件件导入监监控平台台，用于于判断用用户的登登录位置置；第三方数数据库——通过OAAM可实时引引用联邦金融融机构检检查理事事会(FFIEC)等部门发发布的黑黑名单数数据库，，亦可连连接网银银开户用用户数据据库获取取开户信信息。富国银行行案例分分享界面截屏屏OAAMatWellsFargoRealWorldUse––EmailfromWellsFargo-Step1OAAMatWellsFargoRealWorldUse––MyRegistration-Step1chris.fox**********OAAMatWellsFargoExampleRealWorldUse––MyRegistration-Step2Real-TimeIdentityTheft+FraudPreventionUsersMerchantsAdminsWhatAUserKnows(Pin,Password,ChallengeQuestions)CustomApplicationsPortalsBusinessApplicationsUserLocationDeviceOAAMatWellsFargoExampleRealWorldUse––MyRegistration-Step3Real-TimeIdentityTheft+FraudPreventionWhatAUserHas(DeviceFingerprinting)WhatAUserKnows(Pin,Password,ChallengeQuestions)UsersMerchantsAdminsCustomApplicationsPortalsBusinessApplicationsUserLocationDeviceDeviceFingerprinting––UndertheCoversUsedforRiskScoring,ForensicsandReportingReal-TimeIdentityTheft+FraudPreventionWhataUserDoes(BehaviorPattern+Profiling)WhatAUserHas(DeviceFingerprinting)WhatAUserKnows(Pin,Password,ChallengeQuestions)UsersMerchantsAdminsCustomApplicationsPortalsBusinessApplicationsUserLocationDeviceAuto-LearnsPatternsandBehaviorLoginTimesUserGroupsDevicesCitiesStatesCountriesPatternsConfigurableActions+/-Usergroup+/-IPgroup+/-Citygroup+/-Stategroup+/-Countrygroup+/-DevicegroupDevicesCitiesStatesCountriesUserProfileIs/notmember%membership:UservshimselfUservsothersRulesDynamicallyEvaluate&ProfileActivityReal-TimeIdentityTheft+FraudPreventionWhereaUserIs(Geo-Location)WhataUserDoes(BehaviorPattern+Profiling)WhatAUserHas(DeviceFingerprinting)WhatAUserKnows(Pin,Password,ChallengeQuestions)UsersMerchantsAdminsCustomApplicationsPortalsBusinessApplicationsUserLocationDeviceReal-TimeIdentityTheft+FraudPrevention

ComputedRiskScoreUsersMerchantsAdminsCustomApplicationsPortalsBusinessApplications

Allow

BlockChallenge

AlertOAAMatWellsFargoExampleRealWorldUse––MyWellsHomePage$XX,XXX.XXSessionDetail+RiskScoring–UndertheCoversUserFriendlyUIwithPredictableOutcomes27“ClearBox”RulesandScoring#1Question…Howdiditgetthatfinalscore?28“ClearBox”RulesandScoring#1Question…Howdiditgetthatfinalscore?29“ClearBox”RulesandScoring#1Question…Howdiditgetthatfinalscore?In-SessionRiskEvaluation-TransfersKnowledge-BasedChallengeUponTransferwithDifferentDeviceand/orCountry32“In-Session”Real-TimeSecurityAnyApplication…AnyVertical……AnyTransaction!SessionPreAuthenticationRuntimePostAuthenticationRuntimeEnterUserIDEnterPasswordChangePersonalInfoRuntimeTransferFundsRuntimeCheckBalanceCheckMessagesAdaptiveReportingEngineOOTB,AdjustableReportswithFreeOracleBIPublisherScheduleandBurstReportsPublishReportsforAuditEdit/DesignReportsusingOfficetoolsandWebPre-BuiltIdentityReportsOracleBIPublisherPullDatafromSource1XMLEDIEFTPDFRTFHTMLExcelOutputtoDesiredFormats3SendtoDestinations4E-mailPrinterFaxStorageBusinessUserCreates/EditsLayoutUsingCommonOfficeandAdobeTools2OfficeWebAdobeOracleAdaptiveAccessOracleAccessMgmtOracleIdentityMgmtUserLocationDevice富国银行案案例分享实施方法OAAM实施方法论论实时监控、、数据收集集报警、报告告不改变用户户体验积累用户行行为数据采用基本规规则确定业务规规则少量干涉风风险交易形成用户行行为模型个性化风险险监控对所有高风风险交易进进行处理扩大渠道范范围系统扩容规则改进为其它系统统提供服务务业务重点技术重点实时风险监监控平台实实施步骤方方法论第一阶段第二阶段第三阶段第四阶段五六6个月3个月6个月X个月平台搭建风风险平台API集成集集成成其它渠道道性性能调优基本规则配配置用用户行为为模型启动动规规则模型型调整报告生成强强认证模块块启动集集成成其它应用用数据源接入入阶段成果认证多因素认证证(OTP,CA/PKI)预防Fraudsters基本安全风风险模型行为安全风险模模型

基本本仪表板&报告有关交易报报告结合运维&客户服务自动化结合合富国银行实实施路线与现有平台台及业务流流程关系OAAM与一个全新新定制开发发的互联网网金融应用用程序及其其基础设施施进行了本本地集成，，因此并不不存在与现现有系统冲冲突的问题题。同样，，业务和管管理流程也也是为这个个新的平台台重新开发发的。总而而言之，OAAM的用户将它它与他们所所使用的金金融应用程程序进行了了本地集成成。这一一手段提供供了最佳的的性能和灵灵活性。由由于我们为为本地集成成所提供的的API是相对轻量量级的并且且非常易于于实现，所所以它对性性能的影响响被控制在在了最小的的范围。为为了适应自自动化的欺欺诈侦测和和在某些配配置下极少少量的手工工调查步骤骤，我们必必须对业务务流程和管管理机制进进行扩展。。通常情况况下，比起起离线或者者手动工序序下的风险险分析，OAAM用户可以明明显的减少少在管理风风险方面的的人力需求求，并且获获得极大的的效率提升升。OAAM需要占用专专有的资源源(容器和数据据库)，因此它不不会对其它它平台造成成影响。富国银行案案例分享后期维护审查和维护护周期类似富国银银行这样的的OAAM客户通常会会定期审查查OAAM的产出，以以确定相关关策略仍然然在按预期期的效果运运作。这样样的审查通通常以定期期报告的形形式进行，，审查结果果会包含被被拒绝的事事务总数，，预留问题题质询总数数，以及各各种类型警警报的总数数等等。一一旦业务团团队和安全全团队在相相关的阈值值上达成一一致，安全全策略本身身就很少需需要修改了了。此外，，由于OAAM会在对不断断变化的用用户行为进进行分析的的基础上进进行自我调调整，它能能够在没有有人工干预预的情况下下对什么是是正常行为为，什么是是可疑行为为进行精确确的鉴别。。如果安全全团队想要要通过额外外的规则和和分析方法法来改善风风险分析的的效果，那那么他们可可以通过图图形化用户户界面方便便的进行改改动，并且且在一个离离线的测试试环境中基基于真实生生产数据安安全的对这这些改动进进行测试。。同样的，，我们也能能找到一些些第三方工工具，用来来生成“如如果...，会怎么样样”的测试试场景来对对各种假设设进行测试试。除了软件补补丁和版本本升级，另另一个主要要的维护工工作就是一一些通过现现成的脚本本对数据库库进行清理理和数据保保护的最佳佳实践。像像富国银行行这样的大大型客户会会在生产环环境中保留留六个月的的数据，以以进行基于于历史数据据的风险评评估。采用OAAM离线模式（（Offline）进行规则则验证DBLoaderOAAM监控平台OAAM离线模式设设计目的OAAM提供离线风风险分析工工具，可针针对已有的的数据进行行离线运算算分析。OAAM离线模式可可满足以下下场景：作为分析和和测试工具具——创建和验证证新的规则则，在将新新规则导入入生产系统统之前使用用生产系统统的数据作作为测试数数据，进行行规则验证证；作为独立的的安全监管管系统——离线分析、、检测高风风险行为并并进行预警警；作为补充分分析工具——基于真实用用户数据进进行规则调调优，不影影响用户的的实时登录录和交易。。OAAM离线模式数数据来源用户的登录录和交易数数据会被载载入OAAMOffline数据库，数数据可从以以下来源进进行获取：：直接从OAAMOnline数据库中获获取；从临时数据据库中获取取；从网银数据据库或远程程第三方数数据库中获获取；从文件中获获取，如日日志文件。。使用OAAM报表查看规规则触发情情况通过OAAMOffline模式，启用用新规则针针对已有的的真实用户户数据进行行离线风险险分析，并并可通过开开箱即用的的报表功能能对分析结结果进行总总览查询，，查看新规规则被触发发的总次数数，并可深深入下钻查查询，查看看每次被触触发的具体体情况。若若触发次数数过多，如如占到25%以上，则可可能规则阀阀值过低，，可根据实实际情况进进行调整。。团队建设及及业务流程程梳理富国银行设设立了一个个7~8人的团队，，负责OAAM监控平台的的运维及业业务处理。。团队按职职责划分角角色的标准准如下：高级管理团团队-监控执行官官-风险主管-安全总架构构师核心团队-规则工程师师-规则设计师师-风险分析师师-业务分析师师-测试人员-培训师系统扩展团团队-数据库管理理员/系统管理员员-运维支持人人员-HelpDesk和/或客户关怀怀-业务代表OAAM的客户通常常会选择使使用他们自自己的安全全团队来监监控和使用用OAAM。安全团队队可以清楚楚地看到OAAM在评估哪些些活动，以以及准确的的观测它们们的性能，，评估报告告和最终产产出如何。。OAAM包含了强大大易用的法法证链接分分析，报告告及记录的的功能，以以方便事故故调查员的的工作。团队建设及及业务流程程梳理团队按上述述角色进行行职责划分分，在项目目的不同时时期，各角角色的比重重会按情形形调整，一一人可兼任任多个角色色，部分角角色亦可在在一定时期期采用兼职职人员。其其中：业务分析师师作为业务务部门和监监控部门的的桥梁，负负责收集整整理业务需需求，撰写写需求说明明文档，供供规则设计计师参考。。规则设计师师负责风险险监管规则则的设计和和业务流程程设计，通通过团队内内的接口角角色与其它它部门（短短信平台、、呼叫中心心等）进行行沟通。HelpDesk/客户关怀人员员负责监管用用户服务请求求，作为解决决用户使用网网银问题的补补充点，提供供更高一级的的支持和建议议，确保每一一请求的完结结，并针对典典型的触犯规规则的用户进进行回访，考考察用户体验验并记录反馈馈，上报核心心团队进行分分析，以此进进行规则调优优或制定新规规则或保持现现状。风险分析师依依靠报表工具具对周期内的的用户行为风风险情况进行行数据挖掘分分析，将分析析结果上报高高级管理团队队，高级管理理团队以此为为依据之一考考虑风险监控控在战略上的的调整。培训师负责培培训业务人员员及呼叫中心心相关职责及及技能。富国银行案例例分享投资回报投资回报分析析其他案例分享享OAAM客户FinancialServicesPublicSectorEducationeCommerceHealthcareTelecomHiTech50需要处理高速速增长的跨渠渠道的安全漏漏洞：包括网银、手手机银行，ATM，POS等；并需要经经常调整各渠渠道的风险规规则需要构建统一一风险监控平平台来保护和和监测所有电电子渠道；需要满足数据据安全和隐私私控制的合规规要求；新的网银监控控平台基于原原有的渠道支支付规则，将将银行安全策策略融入其中中，实现了多多渠道的银行行业务风险监监控管理；节省了80%的安全防范成成本，大大提提高了银行声声望；投资回报业务挑战规模：管理分布于7个国家的40万网银用户;客户反馈：节节省80%由于网银安全全风险带来的的各种成本和和损失；Oracle成功案例–EFGEurobank保护多渠道银银行业务51除了对网银交交易的风险监监控和分析以以外，还需要要在线实时地地风险控制防防御平台；需要对多渠道道银行交易系系统风险进行行监控，包括括银行交易，，信贷系统，，支付网关等等系统。业务部门要求求风险监控平平台不对现有有用户正常操操作产生干扰扰或影响用户户体验。把银行业务监监控平台扩展展到多个业务务部门，多个个国家，使得得获得潜在的的巨量客户群群（10亿级用户）成成为可能。采用开放技术术架构，部署署了多级的主主动型，实施施风险防范，，监测控制系系统。同时提提供了多因素素强认证机制制。方案在不影响响现有银行业业务使用和性性能的前提下下，帮在线用用户避免风险险欺诈，增加加客户对电子子银行业务交交易的信息和和使用率。业务挑战规模：作为印度第二二大银行，管管理2千万网银用户户;客户反馈：快快速系统集成成能力，满足足了电子渠道道业务飞速发发展对交易安安全的要求。。投资回报Oracle成功案例–印度ICICIBank多渠道银行业业务监控平台台ICICIFrandManagementSystem7-Feb-2009GOACxOForumChannelsFraudPreventionE-CommerceTransaction(E-COM)Real-timeintegrationwithpaymentgatewayforriskscoringPointofSales(POS)Nearreal-timeintegrationwithswitchInternetBanking(I-Banking)Real-timeintegrationforauthenticationandriskscoringInternallyOriginatedTransaction(Internal)OfflineinterfacewithcoresystemsforfraudpatterndetectionLoansandCreditCardSystem(Credit)Onlineinterfaceforpatterndetection&riskscoringCaseStudy––ICICIBankReal-timeMulti-ChannelFraudPreventionPlatformOAAMImplementationMethodologyInitiationAssessmentCollectionEnforcementEnhancementPhase1.1NochangetotheuserProfilingReviewCommunicationPhase1.2OptionalRegistration“Launch”CommunicationPhase1.3RequiredRegistrationSecurity&ControlsP