presentación de powerpoint - sas.com · la incidencia de fraude continua aumentando marcadamente....

EVOLUCIÓN DE TIPOLOGÍAS DE FRAUDE EN LA ERA DE BIG DATA

Se ha identificado durante el último año a nivel global un ambiente tenso con

altos y crecientes riesgos y repercusiones, volviendo mucho más complejos los

diferentes tipos de exposiciones, perpetradores e inclusive el significado mismo

de “ataque”; permitiendo la adopción de nuevas estrategias de mitigación y

prevención de nuevas tipologías de defraudación.

AGENDA

• XXXXX

• XXXXX

• XXXXX

• XXXXX

Classified - Confidential

FRAUDE

La incidencia de fraude continua aumentando marcadamente. En general, el

82% de los ejecutivos encuestados reporto al menos un caso de fraude en el

último año, frente al 75% en 2015. Esto continúa la tendencia revelada en

informes anteriores en donde se reportaban niveles de incidencia de fraude de

61% en 2012 y 70% en 2013.

Porcentaje de encuestados quienes experimentaron defraudación en los últimos 12

meses

FRAUDE

Más de dos tercios (68%) de los

encuestados reportaron alguna ocurrencia

de al menos un incidente durante el último

año.

SEGURIDAD

CIBER SEGURIDADEl 85% de los ejecutivos encuestados dijo que

su empresa experimentó un ataque cibernético

o robo de información, pérdida o ataque en los

últimos 12 meses.

REPERCUSIONES.La encuesta indica que la experiencia de un fraude, ciber ataque o incidentes de

seguridad tienen repercusiones generalizadas para empleados y clientes de la

empresa, así como los ingresos y su reputación.

RIESGOS REGIONALESEn cual región/país han disuadido a su organización de operar debido a temas

asociados con fraude o seguridad

PERPETRADORES

Se ha podido evidenciar que las amenazas vienen desde

dentro de la compañía en su mayoría.

Cerca de 8 de 10 encuestados (79%) se refirieron a

alguna de las siguientes características:

Empleados de alta o media gerencia de nuestra

propia empresa

Ex empleados

Empleados temporales o freelance

Empleados Junior

PERPETRADORES DE FRAUDE

PERPETRADORES DE INCIDENTES

DE SEGURIDADEn total, el 56% de los ejecutivos encuestados dijeron que los internos eran los

principales responsables de los incidentes de seguridad, citando a ex empleados

(23%), empleados permanentes (17%) y empleados temporales / freelance (16%).

Curiosamente, de los perpetradores externos, más de uno de cada diez

(12%) encuestados declaró que los competidores eran el grupo clave y el 10% señaló

a perpetradores aleatorios.

PERPETRADORES DE INCIDENTES DE CIBER SEGURIDADEn general, el 44% de los encuestados informó que los internos eran los principales

responsables de un incidente cibernético, citando a ex empleados (20%), freelance /

temporales (14%) y empleados permanentes (10%).

PERPETRADORES DE FRAUDESi su organización sufrió algún incidente de fraude en los últimos 12 meses, cuál

grupo fue el perpetrador clave?

PERPETRADORES DE CIBER ATAQUES O ROBO

DE INFORMACIÓN, PÉRDIDA Y ATAQUE

Mencionó que la compañía sufrió un ciber ataque, o pérdida de información, robo o ataque en los últimos 12 meses,

quien fue el perpetrador clave?

PERPETRADORES DE INCIDENTES DE

SEGURIDAD

Mencionó que la compañía sufrió

un incidente de seguridad en los

últimos 12 meses, quien fue el

perpetrador clave?

CONCLUSIÓN

Los riesgos abundan, la complejidad se multiplica, los perpetradores colaboran, y

las técnicas de evasión se vuelven más sofisticadas. Mientras tanto, las empresas

se someten a un escrutinio más intenso que nunca y se pone a prueba el manejo

del riesgo y la respuesta a diversos tipos de incidentes. Estimulados por la

necesidad de ponerse al día y salir adelante de estas situaciones, las empresas han

dado pasos importantes hacia la construcción de metodologías de adaptación.

CONCLUSIÓN

De hecho, el camino hacia la adaptación requiere recursos, análisis,

creatividad, comprensión del comportamiento humano y vigilancia para mejorar continuamente la capacidad de cada empresa para prevenir,

preparar, responder, investigar y remediar el fraude y el riesgo. En un entorno

siempre cambiante, es comprensible que vemos una creciente dependencia de

expertos externos para ambos logran una comprensión más profunda de los

hechos subyacentes y ayudan con soluciones.

“Operación ilimitada”

• Dos procesadores de pago identificados

• RAKBANK (Emiratos Árabes Unidos)

• Bank of Muscat (Oman)

• 10 horas

• 24 paises

• 36,000 transacciones

• $40 million USD

C op yr i g h t © 2012 , SAS Ins t i t u te Inc . A l l r i g h ts r eser v ed .

Más del 95% de los sistemas de

seguridadempresariales no estan preparadospara enfrentar losdesafios actuales,

y los analisis se basan

principalmenteen amenazas que

los funcionariosde hecho ya

conocen.

“

SIETE DIMENSIONES QUE SOPORTAN LA SEGURIDAD EMPRESARIAL


UN EJEMPLO


Un ejemplo

167.161.27.191

215.14.143.11

87.74.113.7

131.91.7.178

109.116.9.22

101.17.11.123

81.7.115.28

191.17.5.128

105.91.2.21

72.81.14.91

112.6.164.191

232.16.14.91

112.61.217.91

231.9.73.12

197.12.43.115

97.81.9.19

107.114.7.122

201.41.3.78

112.4.13.171

107.181.4.9

37.112.61.114

132.6.117.191


Analytic Challenge: Fidelity vs. Computational Complexity

Events per month: 1 Billion

Group By

SRC IP, DST IP 20 Million

Netflow Events

Unique Rows

SRC IP, DST IP, DoY 7.3 Billion

Calculations per Row

35

35

SRC IP, DST IP, DoY, HoD 175.3 Billion 35

SRC IP, DST IP, DoY,15min 700.8 Billion 35

this is a small example

DoY = Day of Year (365 possibilities) HoD = Hour of Day (24 possibilities) 15min = 15 min interval (4 in an hour)


LASR: Distributed In-Memory Analytic Server

48 Nodes 1152 CPUS 4TB RAM

Hadoop/HDFS

Distributed In-Memory computation running on Hadoop Nodes

SAS / ACCESS interface to Hadoop using Apache HIVE

Data sets loaded in bulk or on-demand


(N) NodeHadoop/HDFS

(N) NodeLASR Cluster

LOAD NETFLOW and CORRELATE CONTEXT

External Threat Stream

IPS/IDS

Identity Management

Geospatial

Alexa Top 10K Domains

Raw Netflow Events

LEFT OUTER JOIN on SRC and DST IP Address

Source IP Address

S D

S D

S D

S D

S D

S D

S

Destination IP AddressD


(N) NodeHadoop/HDFS


Group IP interactions by SRC, DST, and Day of Year

GROUP DATA BY SRC, DST, and DAY of YEAR

Source IP Address

S D

S D

S D

S D

S D

S D

S


SRC IP DST IP DoY In Bytes In Packets Out Bytes Out PacketsIn Bytes/Packet Out Bytes/PacketDay Time…

COMPOUND KEY MEASURES

107.114.7.122 37.112.61.114 28 … 1 12074 212 56.9 5848 165 35.4

107.114.7.122 37.112.61.114 28 … 10 308 12 25.7 20012 460 43.5

107.114.7.122 37.112.61.114 29 … 15 178 4 44.5 9044 120 75.4

132.6.117.19137.112.61.114 29 … 11 4096 16 256 1024 16 64


(N) NodeHadoop/HDFS


CALCULATE STATISTICS for EACH SRC IP, DST IP, DoY

CALCULATE STATISTICS FOR EACH MEASURE, FOR EACH SRC IP, DST IP, and DoY

SRC IP DST IP DoY In Bytes In Packets Out Bytes Out PacketsIn Bytes/Packet Out Bytes/PacketDay Time…

COMPOUND KEY MEASURES

107.114.7.122 37.112.61.114 28 … 1 12074 212 56.9 5848 165 35.4

107.114.7.122 37.112.61.114 28 … 10 308 12 25.7 20012 460 43.5

107.114.7.122 37.112.61.114 15 … 15 178 4 44.5 9044 120 75.4

132.6.117.19137.112.61.114 29 … 11 4096 16 256 1024 16 64

SRC IP DST IP DoY

107.114.7.122 37.112.61.114 28 … 2 308 12074 12228

In Bytes

MIN MAX STDMEANN

COMPOUND KEY

8319.8 … 2 35.4 43.5 39.5

Out Bytes/Packet

MIN MAX STDMEANN

5.7

132.6.117.19137.112.61.114 29 … 37 64 8192 3055.2 673.5 … 37 64 256 112.7 8.3


(N) NodeHadoop/HDFS


Perform K-Means Clustering ACROSS ALL DIMENSIONS

PERFORM K-MEANS CLUSTER ACROSS ALL DIMENSIONS OF SRC IP, DST IP, and DoY

SRC IP DST IP DoY In Bytes In Packets Out Bytes Out PacketsIn

Bytes/PacketOut

Bytes/PacketDay Time…

COMPOUND KEY DIMENSIONS

107.114.7.122 37.112.61.114 28 …

107.114.7.122 37.112.61.114 15 …

107.114.7.122 37.112.61.114 29 …

132.6.117.19137.112.61.114 29 …


(N) NodeHadoop/HDFS


IDENTIFY OUTLIER CLusters

PERFORM HEURISTIC TEST TO IDENTIFY OUTLIER CLUSTERS

SRC IP DST IP DoYNumber of

ObservationsRoot Mean

Square of STDWithin ClusterSum of Square

Nearest Cluster

COMPOUND KEY CLUSTER STATISTICS

CLUSTER ID …Distance between Cluster Centroids

107.114.7.122 37.112.61.114 28 1 1.7723E8 3.574E22 25 3.4715E92

107.114.7.122 37.112.61.114 15 2 13552484 1.589E20 43 1.515E833471

107.114.7.122 37.112.61.114 29 100123 7.593E15 18 7492443 6

132.6.117.19137.112.61.114 29 1.999E16 6.796E34 45 2.378E174 19468

OUTLIER


(N) NodeHadoop/HDFS


USE OUTLIER CLUSTERS TO SELECT NETFLOW FOR ANALYSIS

PERFORM INNER LEFT JOIN ON ENRICHED NETFLOW EVENTS

OUTLIER

Source IP Address

S D

S D

S D

S D

S D

S D

S



(N) NodeHadoop/HDFS


LOAD OUTLIER INTO VISUAL ANALYTICS

DYNAMICALLY REGISTER AND LOAD OUTLIER RECORDS IN VISUAL ANALYTICS

Source IP AddressS


S D

S D

S D


PERFORMANCE Cluster Workflow Benchmarks


CLUSTER WORKFLOW PERFORMANCE: Medium Data Set

3 Total Outlier Clusters out of 50

34,812,244 Total Unique SRC IP, DST IP, DAY triplets in Population

Total Unique Outlier Netflow events associated with the 3 clusters143,143,542

Total Unique SRC IP, DST IP, DAY triplets in Outliers51,311

Total Unique SRC IP, DST IP pairs in Outliers23,947

Total Unique SRC IP, DST IP pairs in Outliers with IDS Correlation1,263

798,636,577 Total Netflow events spanning 30 days

22,682 Total Unique SRC IP, DST IP pairs in Outliers without IDS Correlation

28 min End to End Processing Time


PERFORMANCE What are we finding?


HOW DO WE OPERATIONALIZE?


Sensor Sources

Real-Time Contextual Correlation and Data Reduction

Continuous Analysis and Monitoring

FirewallEvents

IPS/IDSEvents

Web AppEvents

VPNEvents

NetflowEvents

Core SXEvents

LASR

NetworkActivity

HostActivity

ApplicationActivity

VPNActivity

MobileActivity

Web SiteActivity

SAS Event Stream Processing (ESP)Event and Context Correlation

MDMGeospatial Data

External Threat FeedsDepartmental Information

Building InformationStatistical Models

Data Risk ScoreIdentity Management

PaymentsData

Customer ExperienceData

IT ManagementData

Wire FraudDetection

CapacityPlanning

Sensor Activity

Domain Transactions

Predictive

DecisionFeedback

Loop

All Sensor Data

Long Term Persistence - HDFS

Pay Per ClickFraud Detection

Improper Payments Detection

Credit Card Fraud Detection

Distributed Analytic Platform

Mejores prácticas

• Big Data Analytics para combinar fraude y amenazas cibernéticas.

• Monitoreo entre canales para observar el comportamiento del cliente

• Análisis de vínculos para evidenciar relaciones ocultas.

• Enfoque en diversas capas de seguridad:

• Autenticación de múltiples factores/ Autenticación Out-of-band

• Analítica comportamental

• Educación del cliente

• Modelos de consorcio para compartir información entre instituciones

financieras.

presentación de powerpoint - sas.com · la incidencia de fraude continua aumentando marcadamente....

Documents