1 / 22

Protección frente al fraude analizando los business-events en la red APSolute Inflight

Protección frente al fraude analizando los business-events en la red APSolute Inflight. Banking Forum‘07. Jesus Diaz – jesusd@radware.com. Agenda. Sobre Radware ¿Qué es APSolute Inflight ? Ejemplo de funcionamiento Resumen Dudas. Sobre Radware. Sobre Radware.

eadoin
Download Presentation

Protección frente al fraude analizando los business-events en la red APSolute Inflight

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Protección frente al fraude analizando los business-eventsen la redAPSolute Inflight Banking Forum‘07 Jesus Diaz – jesusd@radware.com

  2. Agenda • Sobre Radware • ¿Qué es APSolute Inflight? • Ejemplo de funcionamiento • Resumen • Dudas

  3. Sobre Radware

  4. Sobre Radware Proveedor líder en el mercado de las soluciones business-smart para una entrega rápida, segura y confiable de las aplicaciones críticas Fundada en 1997, Pública desde Sept. ‘99 (NASDAQ: RDWR) Ventas en más de 40 países, con más de 130 resellers y distribuidores Aproximadamente 500 empleados $158M en caja, Sin deuda

  5. APSolute Application-Smart Networking en Acción Soluciones de Acceso (conectividad) Availability Asegura la entrega de aplicaciones Continuidad del negocio Mejora de la productividad Soluciones de Aplicación (Infraestructura de Aplicación) Acelera la entrega de aplicaciones en cualquier parte Asegura la entrega del aplicaciones en tiempo real Alinea la gestión de ancho de banda con prioridades negocio Garantiza un rendimiento óptimo de las aplicaciones Permite obtener el máximo valor de las infraestructuras IT Performance Protege aplicaciones críticas de amenazas a nivel aplicación Mitiga ataques DoS para evitar interrupciones de negocio Asegura derechos de propiedad intelectual y otros recursos Asegura la entrega de aplicaciones incluso bajo ataque Security Soluciones de Seguridad

  6. Radware adquiere Covelight Systems 30 de Abril de 2007 Radware lanza la estrategia para la siguiente generación de "Business-Smart Network“, incorporando inteligencia en la gestión de los eventos del negocio: APSoluteInflight Objetivo: Simplificar las tareas de implantación de los sistemas de análisis de las transacciones on-line

  7. ¿Qué es Inflight?

  8. Definición de Inflight™ Inflight™ es la única solución de red, de monitorización profunda de los eventos, que entrega información procesable y eventos en tiempo real sobre el negocio, a cualquier sistema de análisis posterior sin requerir ninguna integración con la aplicación.

  9. Enterprise Fraud Mgmt Compliance / Log Management Web Analytics / Real-time Marketing Business Intelligence Definición de Inflight™ • Basado en red, de análisis profundo es clave ya que significa: • Implantado en la red, monitoriza TODOS los eventos • Transparente para la aplicación y los usuarios (out-of-path) • No se requiere integración o desarrollo de código, para ahorrar tiempo y dinero • Eventos de negocio en tiempo real que proporcionan información detallada sobre la sesión, la identidad del usuario y los procesos de negocio realizados • La entrega de la información incluye: sistemas antigraude, marketing, análisis y estadísticas, gestión de riesgos, Business Intelligence, … • Ejecutable puesto que permite intervención inmediata, haciendo la red y el negocio más flexibles a los cambios que se producen

  10. Flujo de Proceso • Capture • Basado en la red, toda la información de la sesión • Descifrado SSL • Transform • Transforma directamente los paquetes IP en eventos de negocio • Extrae únicamente la información relevante • Feed • Salida en tiempo real de los eventos de negocio • Se soportan múltiples instancias en paralelo • Sistema abierto Tráfico Web Pila TCP Pasiva Descifrado SSL (Opcional) HTTP Parser Flitro Global Business Events (Opcional) Bombeo de salida Filtro de salida Enterprise Bus or Analytical Engines Datos de salida 3 atributos clave: Capture-Transform-Feed

  11. Inflight — Un origen, múltiples propósitos • Inflight permite a las soluciones de los partners trabajar en tiempo real • Los usuarios consiguen más valor de las aplicaciones de negocio existentes • No se requiere ninguna modificación a la aplicación

  12. Ejemplo de funcionamiento

  13. Ejemplo de uso • Ejemplo de cómo Inflight captura información sobre el usuario y la actividad que realiza • Banca Online – Se graban múltiples transacciones admin ********

  14. Banca Online - Transacciones Creación de una nueva cuenta bancaria

  15. Ejemplo de uso • Ejemplo de cómo Inflight captura información sobre el usuario y la actividad que realiza • Error en el login jd ******* Error en el par usuario/contraseña Pulse en el siguiente enlace para regresar Autenticación

  16. Logs estándar del servidor Web Sin detalles de la sesión del cliente #Software: Microsoft Internet Information Services 5.1 #Version: 1.0 #Date: 2007-08-17 14:45:54 #Fields: time c-ip cs-username s-port cs-method cs-uri-stem sc-status cs(Cookie) cs(Referer) 15:03:28 192.168.55.13 - 80 GET /HacmeBank_v2_Website/aspx/login.aspx 200 CookieLoginAttempts=5;+ASP.NET_SessionId=1zu5ehvn2huz0g452hzjgi55;+Admin=true - 15:03:28 192.168.55.13 - 80 GET /HacmeBank_v2_Website/css/FoundStoneBank.css 304 CookieLoginAttempts=5;+ASP.NET_SessionId=1zu5ehvn2huz0g452hzjgi55;+Admin=true http://vmware-xp/HacmeBank_v2_Website/aspx/login.aspx 15:03:28 192.168.55.13 - 80 GET /HacmeBank_v2_Website/aspx/images/hacme_header.jpg 304 CookieLoginAttempts=5;+ASP.NET_SessionId=1zu5ehvn2huz0g452hzjgi55;+Admin=true http://vmware-xp/HacmeBank_v2_Website/aspx/login.aspx 15:03:28 192.168.55.13 - 80 GET /HacmeBank_v2_Website/aspx/images/blueheaderblank.jpg 304 CookieLoginAttempts=5;+ASP.NET_SessionId=1zu5ehvn2huz0g452hzjgi55;+Admin=true http://vmware-xp/HacmeBank_v2_Website/aspx/login.aspx 15:03:28 192.168.55.13 - 80 GET /HacmeBank_v2_Website/aspx/images/login/top.gif 304 CookieLoginAttempts=5;+ASP.NET_SessionId=1zu5ehvn2huz0g452hzjgi55;+Admin=true http://vmware-xp/HacmeBank_v2_Website/aspx/login.aspx 15:03:28 192.168.55.13 - 80 GET /HacmeBank_v2_Website/aspx/images/top_blue_menu.jpg 304 CookieLoginAttempts=5;+ASP.NET_SessionId=1zu5ehvn2huz0g452hzjgi55;+Admin=true http://vmware-xp/HacmeBank_v2_Website/aspx/login.aspx 15:03:28 192.168.55.13 - 80 GET /HacmeBank_v2_Website/aspx/images/login/bottom.gif 304 CookieLoginAttempts=5;+ASP.NET_SessionId=1zu5ehvn2huz0g452hzjgi55;+Admin=true http://vmware-xp/HacmeBank_v2_Website/aspx/login.aspx 15:03:28 192.168.55.13 - 80 GET /HacmeBank_v2_Website/aspx/images/clear.gif 304 CookieLoginAttempts=5;+ASP.NET_SessionId=1zu5ehvn2huz0g452hzjgi55;+Admin=true http://vmware-xp/HacmeBank_v2_Website/aspx/login.aspx 15:03:28 192.168.55.13 - 80 GET /HacmeBank_v2_Website/aspx/images/onlinebanking.jpg 304 CookieLoginAttempts=5;+ASP.NET_SessionId=1zu5ehvn2huz0g452hzjgi55;+Admin=true http://vmware-xp/HacmeBank_v2_Website/aspx/login.aspx 15:03:28 192.168.55.13 - 80 GET /HacmeBank_v2_Website/aspx/images/login/topbg.gif 304 CookieLoginAttempts=5;+ASP.NET_SessionId=1zu5ehvn2huz0g452hzjgi55;+Admin=true http://vmware-xp/HacmeBank_v2_Website/aspx/login.aspx 15:03:28 192.168.55.13 - 80 GET /HacmeBank_v2_Website/css/images/shadow_txtbox.gif 404 CookieLoginAttempts=5;+ASP.NET_SessionId=1zu5ehvn2huz0g452hzjgi55;+Admin=true http://vmware-xp/HacmeBank_v2_Website/aspx/login.aspx 15:03:36 127.0.0.1 - 80 POST /HacmeBank_v2_WS/WebServices/UserManagement.asmx 200 - - 15:03:36 127.0.0.1 - 80 POST /HacmeBank_v2_WS/WebServices/UserManagement.asmx 200 - - 15:03:36 192.168.55.13 - 80 POST /HacmeBank_v2_Website/aspx/login.aspx 302 CookieLoginAttempts=5;+ASP.NET_SessionId=1zu5ehvn2huz0g452hzjgi55;+Admin=true http://vmware-xp/HacmeBank_v2_Website/aspx/login.aspx 15:03:36 192.168.55.13 - 80 GET /HacmeBank_v2_Website/aspx/main.aspx 200 CookieLoginAttempts=5;+ASP.NET_SessionId=1zu5ehvn2huz0g452hzjgi55;+Admin=false http://vmware-xp/HacmeBank_v2_Website/aspx/login.aspx 15:03:38 192.168.55.13 - 80 GET /HacmeBank_v2_Website/css/images/shadow_txtbox.gif 404 CookieLoginAttempts=5;+ASP.NET_SessionId=1zu5ehvn2huz0g452hzjgi55;+Admin=false http://vmware-xp/HacmeBank_v2_Website/aspx/login.aspx 15:03:46 127.0.0.1 - 80 POST /HacmeBank_v2_WS/WebServices/UserManagement.asmx 200 - - 15:03:46 127.0.0.1 - 80 POST /HacmeBank_v2_WS/WebServices/UserManagement.asmx 200 - - 15:03:46 192.168.55.13 - 80 POST /HacmeBank_v2_Website/aspx/login.aspx 302 CookieLoginAttempts=5;+ASP.NET_SessionId=1zu5ehvn2huz0g452hzjgi55;+Admin=false http://vmware-xp/HacmeBank_v2_Website/aspx/login.aspx 15:03:46 192.168.50.20 - 80 GET /HacmeBank_v2_Website/ascx/admin/Manage_Users.ascx 403 - - 15:03:46 192.168.50.20 - 80 GET /HacmeBank_v2_Website/ascx/admin/Sql_Query.ascx 403 - - 15:03:46 192.168.50.20 - 80 GET /HacmeBank_v2_Website/ascx/admin/Web_Services.ascx 403 - - 15:03:46 192.168.55.13 - 80 GET /HacmeBank_v2_Website/aspx/main.aspx 200 CookieLoginAttempts=5;+ASP.NET_SessionId=1zu5ehvn2huz0g452hzjgi55;+Admin=false http://vmware-xp/HacmeBank_v2_Website/aspx/login.aspx

  17. Captura en bruto de la transacción con Inflight Detalles de la sesión y de la Transacción TxnID: 1187347054002-0 ClientIP: 192.168.55.13 Cary NC ServerIP: 192.168.50.20 Request-Length: 964 Response-Length: 550 POST /HacmeBank_v2_Website/aspx/Login.aspx?function=Loan HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/xaml+xml, application/vnd.ms-xpsdocument, application/x-ms-xbap, application/x-ms-application, */* Referer: http://vmware-xp/HacmeBank_v2_Website/aspx/main.aspx?function=Loan Accept-Language: en-us Content-Type: application/x-www-form-urlencoded UA-CPU: x86 Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30) Host: vmware-xp Content-Length: 106 Connection: Keep-Alive Cache-Control: no-cache Cookie: CookieLoginAttempts=5; ASP.NET_SessionId=1zu5ehvn2huz0g452hzjgi55; Admin=false __VIEWSTATE=dDwtNDI1MDU4NDs7PhDp8BCfyKzY7zxBb8ze0EmM63ux&txtUserName=jm&txtPassword=XXXXX&btnSubmit=SubmitHTTP/1.1 302 Found Server: Microsoft-IIS/5.1 Date: Fri, 17 Aug 2007 14:48:57 GMT X-Powered-By: ASP.NET X-AspNet-Version: 1.1.4322 Pragma: no-cache Location: /HacmeBank_v2_Website/aspx/main.aspx?function=Welcome Set-Cookie: Admin=false; path=/ Cache-Control: no-cache, no-store Pragma: no-cache Expires: -1 Content-Type: text/html; charset=utf-8 Content-Length: 170 <html><head><title>Object moved</title></head><body> <h2>Object moved to <a href='/HacmeBank_v2_Website/aspx/main.aspx?function=Welcome'>here</a>.</h2> </body></html> User Name y Password Cifrado de la información sensible con Inflight

  18. Reducción de la cantidad de información: Business Events de Inflight • event=Login, login_status=Success, time=2007-11-12 04:47:04 EST, client-ip=192.168.55.13, country=United States, region=North Carolina, city=Cary, session-id=b5jkg545pw5ks345hhnsob45, user=jm, user-agent=Mozilla/4.0 • event=Transfer_funds, time=2007-11-12 04:47:12 EST, client-ip=192.168.55.13, session-id=b5jkg545pw5ks345hhnsob45, user=jm, full_name=John Mathew, src_acct#=76900000, dest-acc#=98760000, amount=10000, comment=- • event=Loan_request, time=2007-11-12 04:47:26 EST, client-ip=192.168.55.13, session-id=b5jkg545pw5ks345hhnsob45, user=jm, full_name=John Mathew, acct#=5204320422040003, amount=100000, interest=4.00%, comment=Home Mortgage • event=New_User, time=2007-11-12 04:47:54 EST, client-ip=192.168.55.13, session-id=b5jkg545pw5ks345hhnsob45, user=jm, new_username=Jesus Diaz, new_user=jd • event=New_account, time=2007-11-12 04:48:06 EST, client-ip=192.168.55.13, session-id=b5jkg545345hhnsob45, user=jm, new_user=Jesus Diaz, acc#=641001123, acc_branch=Spain, acc_type=Gold • event=Account_lookup, time=2007-11-12 04:50:01 EST, client-ip=192.168.55.13, session-id=b5jkg545pw5ks345hhnsob45, user=jm, full_name=John Mathew • event=Change_pwd, time=2007-11-12 04:50:11 EST, client-ip=192.168.55.13, session-id=b5jkg545pw5ks345hhnsob45, user=jm • event=Logout, time=2007-11-12 04:50:17 EST, client-ip=192.168.55.13, session-id=b5jkg545pw5ks345hhnsob45, user=jm • event=Login, login_status=Failed, time=2007-11-12 05:47:04 EST, client-ip=192.168.55.13, user=jd

  19. ¿Cómo genero la información con Inflight? 1. ¿Qué quiero capturar? 2. Quizás resulta un poco complejo → Módulo de auto-aprendizaje para facilitar la creación de estos eventos 3. ¿Qué información quiero enviar? 4. ¿Cómo la envío y en qué formato?

  20. Resumen

  21. Resumen • Entrega inteligencia al canal habilitando la toma de decisiones en tiempo real • Solución flexible y escalable para múltiples propósitos asociados al negocio • Capacidad de captura pasivo, basado en red • Sin impacto en la red o en el rendimiento de la aplicación. Transparente para el usuario →NO INTRUSIVO • Rápida implantación, fuera de banda, para conseguir un ROI rápido

  22. Banking Forum‘07

More Related