Система FraudWall является решением, все компоненты которой устанавливаются только в банке. На стороне клиента каких-либо агентов либо специфического программного обеспечения не ставится.
FraudWall также не является облачным решением - вся обработка и хранение данных осуществляется только внутри банка.
С одной стороны, это хорошо - получить несанкционированный доступ к антифрод-системе практически невозможно. Но с другой стороны, такой подход не позволяет учитывать информацию о состоянии компьютера клиента - есть ли на нем вредоносное программное обеспечение, удаленное подключение и т.д.
Для устранения этого недостатка, FraudWall позволяет интегрироваться с облачными решениями сторонних производителей. Данные решения на стороне клиента банка запускают специализированное программное обеспечение, осуществляющее поиск банковских троянов, подозрительной активности на компьютере и т.д.
Результат проверки компьютера клиента банка поступает на сервера облачного провайдера. В свою очередь, FraudWall запрашивает у облачного провайдера результат проверки, а затем учитывает его при анализе платежных поручений, создаваемых в системе ДБО. Такая технология носит название сервис FraudTrack.
Внимание
Поддержка сервиса FraudTrack является опциональной и лицензируется отдельно
FraudWall поддерживает следующих облачных провайдеров:
Общая схема работы сервиса FraudTrack показана на рисунке:
Сервер управления при необходимости соединяется с серверами облачного провайдера и получает от них информацию, связанную с состоянием компьютера клиента банка. В дальнейшем, данная информация учитывается при анализе платежных поручений в системе ДБО - если в процессе создания платежки были зафиксирована подозрительная активность на компьютере клиента, такой платеж будет считаться более подозрительным.
Конфигурирование сервиса FraudTrack осуществляется через интерфейс Система\Сайты в группе параметров FraudTrack:
Непосредственное взаимодействие с серверами облачного провайдера осуществляет сервер управления - он является инициатором установки TCP-соединения.
На межсетевом экране необходимо дополнительно открыть доступ с сервера управления на сервера облачного провайдера по соответствующим портам.
-
Перед началом конфигурирования FraudTrack необходимо подготовить файл в формате PKCS#7, содержащий секретный ключ, сертификат, а также полную цепочку сертификатов удостоверяющих центров. Секретный ключ и сертификат формируются согласно документации к IBM Trusteer Pinpoint Malware Detection, а затем совместно с набором сертификатов удостоверяющих центров экспортируется в файл формата PKCS#7 (при экспорте в качестве пароля необходимо использовать только цифры и латинские буквы).
Внимание
Обратите внимание - сертификат для общения с серверами облачного провайдера - это не сертификат, указываемый при конфигурировании Web-сайта ДБО.
-
В параметре "URL доступа к API облачного провайдера" необходимо указать URL, сформированный с учетом Application code (см. документацию по IBM Trusteer Pinpoint Malware Detection) по следующему примеру:
https://1.2.3.4/88888/api/sessionгде 88888 - это присвоенный Application code
-
Для удобства конфигурирования правил, FraudWall соотносит уровни риска IBM Trusteer Pinpoint Malware Detection по следующему алгоритму:
Таблица 4. Соответствие уровней риска
Уровень IBM Trusteer Pinpoint Malware Detection Уровень FraudWall 0 - 200 незначительный 201 - 400 небольшой 401 - 600 средний 601 - 800 большой 801 - 1000 очень большой
В качестве файла с SSL-сертификатом можно указывать файл, содержащий цепочку сертификатов удостоверяющих центров (в PEM-формате)
-
Для удобства конфигурирования правил, FraudWall соотносит уровни риска Group-IB Bot-Trek Secure Bank по следующему алгоритму:
Таблица 5. Соответствие уровней риска
Уровень Group-IB Bot-Trek Secure Bank Уровень FraudWall 1 (low) небольшой 2 (medium) средний 3 (high) очень большой
Для взаимодействия с сервером Kaspersky Fraud Prevention Cloud необходимо сформировать PKCS#12 файл (файл формата pfx) содержащий клиентский сертификат, закрытый ключ, а так же цепочку сертификатов сервера KFP Cloud.
Файлы с сертификатами и закрытый ключ предоставляются представителями Kaspersky Lab. Цепочку сертификатов сервера KFP Cloud так же можно экспортировать из браузера в формате PEM (Base64), зайдя на Web страницу сервера KFP Cloud и открыв на просмотр ssl-сертификат сервера.
Сборка осуществляется с помощью утилиты openssl. Для этого Вы можете скопировать все полученные файлы на сервер FraudWall в каталог /tmp и выполнить следующую команду: openssl pkcs12 -export -out kfp.pfx -inkey "закрытый_ключ" -in "клиентский_сертификат" -certfile "цепочка_сертификатов_KFPCloud"
Команда попросит ввести пароль, на котором будет зашифрован полученный файл kfp.pfx. Файл kfp.pfx необходимо забрать с сервера FraudWall и указать в настройках FraudTrack, в Web интерфейсе системы Система->Сайты->FraudTrack в пункте "Файл с сертификатом". В пункте "Пароль доступа к секретному ключу файла" укажите пароль введенный при выполнении команды openssl.