Качественное Firewall-решение — неотъемлемая составляющая системы безопасности сети оператора, которая необходима для эффективного управления трафиком. Но что отличает хорошее решение от неэффективного? На недавнем мероприятии в Кадисе, Global Strategy Review, ROCCO поделились некоторыми выводами из свежего исследования монетизации A2P трафика. В частности, было отмечено, что многие мобильные операторы беспокоятся о том, насколько хорошо их Firewall распознаёт SIM-боксы (SIM box, a.k.a. SIM farm), маски сообщений, а также о том, насколько хорошо знает рынок провайдер, который предоставляет это решение.
Это вполне естественно. SIM-боксы могут лишить оператора существенной части прибыли, а обнаружить их не так и просто. Решение для защиты сети также должно правильно сортировать трафик: если оно ошибочно маркирует A2P сообщения как P2P, оператор становится жертвой злосчастных серых маршрутов. Разумеется, оператор хочет быть уверенным, что люди, которые разработали и поддерживают эту систему защиты, — эксперты в своей отрасли.
Распознавание SIM-боксов
Хотя эта угроза безопасности отнюдь не нова, она по-прежнему в числе главных проблем, которые беспокоят мобильных операторов. SIM-боксы возникли как способ маршрутизировать международные звонки между сетями в обход официальных международных включений. Вместо этого, недобросовестные партнёры маршрутизируют звонки с помощью VoIP, перенаправляя их на SIM-боксы, начинённые SIM-картами от неподконтрольной сети локального оператора, которые затем обеспечивает включение, по локальным ценам.
По такому же принципу работает и мошенническая схема для SMS, очень распространённая в развивающихся странах, как, например, многих странах Африки, и странах с очень высокими расценками на межсетевое взаимодействие при заметно более дешёвой терминации локального трафика. Вместо того, чтобы оплачивать терминацию международного трафика через официальные каналы и, соответственно, выплачивать наценку за межсетевое взаимодействие, мошенники перенаправляют трафик по IP-каналам на SIM-бокс. И SIM-бокс, опять-таки, терминирует этот международный трафик по цене локального трафика, а разницу прикарманивают мошенники.
Это особенно вредоносный процесс, т. к. бесплатный SMS бандл часто идёт в комплекте с предоплаченными SIM-картами (основным оружием мошенника). Предоплаченные карты, как правило, не требуют информацию об абоненте, что затрудняет выслеживание мошенников.
Более того, SIM-боксы — гибкое решение. Если карта идентифицирована как фрод, её очень просто отключить и заменить новой. Некоторые мошенники даже используют методику под названием «Симуляция Поведения Человека» (“Human Behaviour Simulation”), чтобы сбить с толку тех, кто пытается их выследить:
- Например, они могут переставить карты из одного бокса в другой или изменять местоположение оборудования, чтобы создать впечатление, будто пользователь перемещается в пространстве.
- Они могут использовать SIM-карты посменно, чтобы карты не использовались круглосуточно, что выглядело бы подозрительно.
- Некоторые SIM-боксы транслируют MO/MT голосовые звонки и SMS между собственными SIM-картами, или даже используют интернет, чтобы симулировать реального пользователя.
Поэтому сложность состоит в том, что система для защиты сети должна уметь распознавать эти подвижные (буквально!) «мишени». GMS рекомендует настраивать систему таким образом, чтобы она контролировала все возможные SMS MT маршруты и постоянно анализировала проходящий трафик. Чтобы заметить подозрительный трафик, не обойтись без регулярного тестирования и углублённого анализа всего трафика на сети. GMS изучает сеть оператора и смежную экосистему мобильной связи, а затем сравнивает ожидаемые (естественные результаты) с действительностью. После этого на сети проводится стресс-тестирование, отслеживающее, где и каким образом происходит доставка сгенерированных сообщений. На основе результатов анализа GMS адаптирует техническое решение или же предоставляет рекомендации, которые помогают операторам взять под контроль маршруты, используемые для несанкционированной терминации.
Распознавание маски сообщений
Пожалуй, самая актуальная проблема, которую обсуждают мобильные операторы в контексте контроля над прибылью, — это серые маршруты. И ключевая составляющая этой проблемы — это разница между международным A2P трафиком и локальными (национальными) сообщениями A2P/P2P, а точнее — разница в стоимости. Естественно, операторы хотят, чтобы их система для защиты сети могла безошибочно отличать один тип трафика от другого.
Но проблема в том, что для тех, кто знает как, нехитрые манипуляции с альфа-именем отправителя и текстом сообщений позволяют довольно-таки легко маскировать A2P под P2P, а значит просто разделить трафик на два маршрута недостаточно, чтобы решить проблему. Для правильной идентифицикации A2P трафика, возможно, понадобится сверять метаданные сообщений или же анализировать источник трафика. И хотя анализ сети постфактум может быть полезен, аналитика в режиме реального времени всё же предпочтительнее. Искать стоит такое Firewall решение, которое способно отмечать подозрительный трафик по мере поступления, таким образом сокращая до абсолютного минимума количество несанкционированных сообщений, которым удавалось бы просочиться. Тут-то и пригодится распознавание маски сообщений.
“Я склонен полагать, что мы досконально изучили нашу сферу деятельности, а значит, можем применять эти знания на благо наших партнёров — мобильных операторов”, — Сергей Сущенко, Руководитель отдела эксплуатации фаерволл-платформ и тестирования сетей GMS.
Есть несколько составляющих, без которых не обойтись при выявлении серых маршрутов: знание того, как работают существующие угрозы безопасности, глубокое понимание экосистемы обмена сообщениями в целом, а также строгая политика постоянного анализа и адаптации. GMS является экспертом во всех трёх. Развёрнутый анализ экосистемы, в которой оперирует сеть, выявляет слабые звенья, а постоянный мониторинг работы сети позволит опознать и искоренить утечки прибыли, в то же время предотвращая образование новых. Более того, эксперты GMS и наши технические партнёры неустанно работают над усовершенствованием механизмов распознавания и защиты: от простых, но действенных решений, вроде качественной системы генерации отчётов, до распознавания масок сообщений в режиме реального времени с помощью технологий на основе Искусственного Интеллекта. Обучив компьютер отличать реальный A2P трафик от такого, который ведёт себя необычно и подозрительно, можно идентифицировать возможные серые маршруты, маркировать их и устранять по мере возникновения. Так работает эффективное распознавание, подкреплённое постоянным тестированием и анализом остающегося трафика.
Знания
Сами по себе технические решения малоэффективны, если не уметь их настраивать и применять. Операторы рассчитывают на определённый уровень опыта и знания отрасли, соразмерный угрозам их безопасности. Это подразумевает не только опыт имплементации Firewall решений, но и общую подкованность в защите данных, необходимую для того, чтобы это решение подобрать и настроить. Как уже упоминалось, для этого нужно хорошо понимать природу этого бизнеса и нюансы взаимодействия оператора со всеми причастными сторонами.
Сергей Сущенко, Руководитель отдела эксплуатации Firewall платформ и тестирования сетей, считает, что главное — это иметь “детальную картину происходящего на сети, с чётким определением всех возможных источников трафика и связанных с ними потенциальных серых маршрутов”. Таким образом, GMS и оператор могут разработать чёткий план действий. Это, объясняет Сергей, работает в синергии с общим пониманием рынка и инфраструктуры. Во-первых, таким образом мы обеспечиваем прозрачность в происхождении трафика: “иногда, даже хотя трафик и анализируется, неочевидно, откуда он попал на сеть… [нужно] вырабатывать чёткий план, как защититься ото всех возможных угроз безопасности”. Во-вторых, такой подход позволяет оператору открыть для себя «дополнительные инструменты, способствующие прозрачности терминации трафика и усилению контроля над сетью”.
GMS предлагает комплексное решение под ключ, которое мы разрабатываем с учётом как глобальной картины и понимания рынка, с которым работает оператор, так и анализа трафика и взаимодействий с остальными партнёрами оператора. Монетизационное решение от GMS — это часть комплексного подхода, который задействует новейшие технологии и экспертную аналитику специалистов GMS.