Title: Protecci
1Protección frente al fraude analizando los
business-events en la redAPSolute Inflight
Banking Forum07
Jesus Diaz jesusd_at_radware.com
2Agenda
- Sobre Radware
- Qué es APSolute Inflight?
- Ejemplo de funcionamiento
- Resumen
- Dudas
3Sobre Radware
4Sobre Radware
- Proveedor líder en el mercado de las soluciones
business-smart para una entrega rápida, segura y
confiable de las aplicaciones críticas - Fundada en 1997, Pública desde Sept. 99 (NASDAQ
RDWR) - Ventas en más de 40 países, con más de 130
resellers y distribuidores - Aproximadamente 500 empleados
- 158M en caja, Sin deuda
5APSolute Application-Smart Networking en Acción
Soluciones de Acceso (conectividad)
Availability
Asegura la entrega de aplicaciones Continuidad
del negocio Mejora de la productividad
Soluciones de Aplicación (Infraestructura de
Aplicación)
Acelera la entrega de aplicaciones en cualquier
parte Asegura la entrega del aplicaciones en
tiempo real Alinea la gestión de ancho de banda
con prioridades negocio Garantiza un rendimiento
óptimo de las aplicaciones Permite obtener el
máximo valor de las infraestructuras IT
Performance
Protege aplicaciones críticas de amenazas a nivel
aplicación Mitiga ataques DoS para evitar
interrupciones de negocio Asegura derechos de
propiedad intelectual y otros recursos Asegura la
entrega de aplicaciones incluso bajo ataque
Security
Soluciones de Seguridad
6Radware adquiere Covelight Systems
- 30 de Abril de 2007
- Radware lanza la estrategia para la siguiente
generación de "Business-Smart Network,
incorporando inteligencia en la gestión de los
eventos del negocio - APSolute Inflight
- Objetivo Simplificar las tareas de implantación
de los sistemas de análisis de las transacciones
on-line
7Qué es Inflight?
8Definición de Inflight
Inflight es la única solución de red, de
monitorización profunda de los eventos, que
entrega información procesable y eventos en
tiempo real sobre el negocio, a cualquier sistema
de análisis posterior sin requerir ninguna
integración con la aplicación.
9Definición de Inflight
- Basado en red, de análisis profundo es clave ya
que significa - Implantado en la red, monitoriza TODOS los
eventos - Transparente para la aplicación y los usuarios
(out-of-path) - No se requiere integración o desarrollo de
código, para ahorrar tiempo y dinero - Eventos de negocio en tiempo real que
proporcionan información detallada sobre la
sesión, la identidad del usuario y los procesos
de negocio realizados - La entrega de la información incluye sistemas
antigraude, marketing, análisis y estadísticas,
gestión de riesgos, Business Intelligence, - Ejecutable puesto que permite intervención
inmediata, haciendo la red y el negocio más
flexibles a los cambios que se producen
103 atributos clave Capture-Transform-Feed
11Inflight Un origen, múltiples propósitos
- Inflight permite a las soluciones de los partners
trabajar en tiempo real - Los usuarios consiguen más valor de las
aplicaciones de negocio existentes - No se requiere ninguna modificación a la
aplicación
12Ejemplo de funcionamiento
13Ejemplo de uso
- Ejemplo de cómo Inflight captura información
sobre el usuario y la actividad que realiza - Banca Online Se graban múltiples transacciones
admin
14 Banca Online - Transacciones
Creación de una nueva cuenta bancaria
15Ejemplo de uso
- Ejemplo de cómo Inflight captura información
sobre el usuario y la actividad que realiza - Error en el login
jd
Error en el par usuario/contraseña Pulse en el
siguiente enlace para regresar Autenticación
16Logs estándar del servidor Web
Sin detalles de la sesión del cliente
- Software Microsoft Internet Information
Services 5.1 - Version 1.0
- Date 2007-08-17 144554
- Fields time c-ip cs-username s-port cs-method
cs-uri-stem sc-status cs(Cookie) cs(Referer) - 150328 192.168.55.13 - 80 GET
/HacmeBank_v2_Website/aspx/login.aspx 200
CookieLoginAttempts5ASP.NET_SessionId1zu5ehvn2
huz0g452hzjgi55Admintrue - - 150328 192.168.55.13 - 80 GET
/HacmeBank_v2_Website/css/FoundStoneBank.css 304
CookieLoginAttempts5ASP.NET_SessionId1zu5ehvn2
huz0g452hzjgi55Admintrue http//vmware-xp/Hacme
Bank_v2_Website/aspx/login.aspx - 150328 192.168.55.13 - 80 GET
/HacmeBank_v2_Website/aspx/images/hacme_header.jpg
304 CookieLoginAttempts5ASP.NET_SessionId1zu5
ehvn2huz0g452hzjgi55Admintrue
http//vmware-xp/HacmeBank_v2_Website/aspx/login.a
spx - 150328 192.168.55.13 - 80 GET
/HacmeBank_v2_Website/aspx/images/blueheaderblank.
jpg 304 CookieLoginAttempts5ASP.NET_SessionId1
zu5ehvn2huz0g452hzjgi55Admintrue
http//vmware-xp/HacmeBank_v2_Website/aspx/login.a
spx - 150328 192.168.55.13 - 80 GET
/HacmeBank_v2_Website/aspx/images/login/top.gif
304 CookieLoginAttempts5ASP.NET_SessionId1zu5e
hvn2huz0g452hzjgi55Admintrue
http//vmware-xp/HacmeBank_v2_Website/aspx/login.a
spx - 150328 192.168.55.13 - 80 GET
/HacmeBank_v2_Website/aspx/images/top_blue_menu.jp
g 304 CookieLoginAttempts5ASP.NET_SessionId1zu
5ehvn2huz0g452hzjgi55Admintrue
http//vmware-xp/HacmeBank_v2_Website/aspx/login.a
spx - 150328 192.168.55.13 - 80 GET
/HacmeBank_v2_Website/aspx/images/login/bottom.gif
304 CookieLoginAttempts5ASP.NET_SessionId1zu5
ehvn2huz0g452hzjgi55Admintrue
http//vmware-xp/HacmeBank_v2_Website/aspx/login.a
spx - 150328 192.168.55.13 - 80 GET
/HacmeBank_v2_Website/aspx/images/clear.gif 304
CookieLoginAttempts5ASP.NET_SessionId1zu5ehvn2
huz0g452hzjgi55Admintrue http//vmware-xp/Hacme
Bank_v2_Website/aspx/login.aspx - 150328 192.168.55.13 - 80 GET
/HacmeBank_v2_Website/aspx/images/onlinebanking.jp
g 304 CookieLoginAttempts5ASP.NET_SessionId1zu
5ehvn2huz0g452hzjgi55Admintrue
http//vmware-xp/HacmeBank_v2_Website/aspx/login.a
spx - 150328 192.168.55.13 - 80 GET
/HacmeBank_v2_Website/aspx/images/login/topbg.gif
304 CookieLoginAttempts5ASP.NET_SessionId1zu5e
hvn2huz0g452hzjgi55Admintrue
http//vmware-xp/HacmeBank_v2_Website/aspx/login.a
spx - 150328 192.168.55.13 - 80 GET
/HacmeBank_v2_Website/css/images/shadow_txtbox.gif
404 CookieLoginAttempts5ASP.NET_SessionId1zu5
ehvn2huz0g452hzjgi55Admintrue
http//vmware-xp/HacmeBank_v2_Website/aspx/login.a
spx - 150336 127.0.0.1 - 80 POST /HacmeBank_v2_WS/WebS
ervices/UserManagement.asmx 200 - - - 150336 127.0.0.1 - 80 POST /HacmeBank_v2_WS/WebS
ervices/UserManagement.asmx 200 - -
17Captura en bruto de la transacción con Inflight
Detalles de la sesión y de la Transacción
- TxnID 1187347054002-0
- ClientIP 192.168.55.13 Cary NC
- ServerIP 192.168.50.20
- Request-Length 964
- Response-Length 550
- POST /HacmeBank_v2_Website/aspx/Login.aspx?functio
nLoan HTTP/1.1 - Accept image/gif, image/x-xbitmap, image/jpeg,
image/pjpeg, application/x-shockwave-flash,
application/vnd.ms-excel, application/vnd.ms-power
point, application/msword, application/xamlxml,
application/vnd.ms-xpsdocument,
application/x-ms-xbap, application/x-ms-applicatio
n, / - Referer http//vmware-xp/HacmeBank_v2_Website/asp
x/main.aspx?functionLoan - Accept-Language en-us
- Content-Type application/x-www-form-urlencoded
- UA-CPU x86
- Accept-Encoding gzip, deflate
- User-Agent Mozilla/4.0 (compatible MSIE 7.0
Windows NT 5.1 .NET CLR 1.1.4322 InfoPath.1
.NET CLR 2.0.50727 .NET CLR 3.0.04506.30) - Host vmware-xp
- Content-Length 106
- Connection Keep-Alive
- Cache-Control no-cache
- Cookie CookieLoginAttempts5 ASP.NET_SessionId1
zu5ehvn2huz0g452hzjgi55 Adminfalse
User Name y Password
Cifrado de la información sensible con Inflight
18 Reducción de la cantidad de información
Business Events de Inflight
- eventLogin, login_statusSuccess,
time2007-11-12 044704 EST, client-ip192.168.55
.13, countryUnited States, regionNorth
Carolina, cityCary, session-idb5jkg545pw5ks345hh
nsob45, userjm, user-agentMozilla/4.0 - eventTransfer_funds, time2007-11-12 044712
EST, client-ip192.168.55.13, session-idb5jkg545p
w5ks345hhnsob45, userjm, full_nameJohn Mathew,
src_acct76900000, dest-acc98760000,
amount10000, comment- - eventLoan_request, time2007-11-12 044726 EST,
client-ip192.168.55.13, session-idb5jkg545pw5ks3
45hhnsob45, userjm, full_nameJohn Mathew,
acct5204320422040003, amount100000,
interest4.00, commentHome Mortgage - eventNew_User, time2007-11-12 044754 EST,
client-ip192.168.55.13, session-idb5jkg545pw5ks3
45hhnsob45, userjm, new_usernameJesus Diaz,
new_userjd - eventNew_account, time2007-11-12 044806 EST,
client-ip192.168.55.13, session-idb5jkg545345hhn
sob45, userjm, new_userJesus Diaz,
acc641001123, acc_branchSpain, acc_typeGold - eventAccount_lookup, time2007-11-12 045001
EST, client-ip192.168.55.13, session-idb5jkg545p
w5ks345hhnsob45, userjm, full_nameJohn Mathew - eventChange_pwd, time2007-11-12 045011 EST,
client-ip192.168.55.13, session-idb5jkg545pw5ks3
45hhnsob45, userjm - eventLogout, time2007-11-12 045017 EST,
client-ip192.168.55.13, session-idb5jkg545pw5ks3
45hhnsob45, userjm - eventLogin, login_statusFailed, time2007-11-12
054704 EST, client-ip192.168.55.13, userjd
19 Cómo genero la información con Inflight?
2. Quizás resulta un poco complejo ? Módulo de
auto-aprendizaje para facilitar la creación de
estos eventos
3. Qué información quiero enviar?
4. Cómo la envío y en qué formato?
20Resumen
21Resumen
- Entrega inteligencia al canal habilitando la toma
de decisiones en tiempo real - Solución flexible y escalable para múltiples
propósitos asociados al negocio - Capacidad de captura pasivo, basado en red
- Sin impacto en la red o en el rendimiento de la
aplicación. Transparente para el usuario ?NO
INTRUSIVO - Rápida implantación, fuera de banda, para
conseguir un ROI rápido
22Banking Forum07