Часть 1. Проблемы безопасности внутренней сети операторов и способы их решения
Когда разрабатывался внутренний стек протоколов коммуникации между операторами связи, предполагалось, что все операторы являются доверенными источниками сообщений, и проникновения извне невозможны из-за дороговизны оборудования. Сейчас, когда на смену традиционной приходит IP-телефония, а оборудование становится все более доступным и дешевым, внутренняя сеть оператора подвергается риску атаки извне. На любой ПК можно установить несколько бесплатных программ, и, обладая знанием протоколов SS7 и базовыми навыками программирования, проникнуть в сеть.

Наиболее широко распространенная манипуляция с SS7-протоколами — рассылка нелегальных сообщений. Проблема SMS-спама и фрода актуальна как для абонентов, так и, собственно, для операторов сотовой связи. Ущерб от фрода и других видов мошенничества очевиден. Операторы могут столкнуться со снижением лояльности клиентов, это наносит удар по репутации. Из-за большого количества нелегальных сообщений повышается уровень расходов на поддержание качества связи. Срываются бизнес-планы по доходам от легальных рекламных кампаний M-commerce. Из-за нарушения доверия абоненты отказываются от новых услуг операторов, что также приносит убытки.
Самым очевидным способом борьбы с SMS-мошенничеством, на первый взгляд, могло бы стать устранение уязвимостей в самом протоколе SS7. Но разработка нового стека протоколов со встроенными функциями безопасности потребует обновления оборудования и адаптации всей инфраструктуры мобильного оператора. Поэтому более целесообразно разрабатывать продукты, интегрируемые в имеющуюся сеть.
Одним из эффективных средств защиты, в котором реализованы способы обнаружения, предотвращения и блокировки атак на сигнальные сети, является платформа «Связьком.SMS Firewall». Компания «Связьком» обладает обширным опытом в решении вопросов безопасности сетей мобильных операторов. За 10 лет существования продукта выполнено более 15 инсталляций платформы в сети операторов России, СНГ, стран Азии, Европы и Ближнего Востока.
Платформа «Связьком.SMS Firewall» предназначена для решения следующих задач:
Защита от атак.
Обнаружение «серых» маршрутов и увеличение дохода от A2P-трафика.
Сбор статистики для разработки стратегии монетизации A2P-трафика.
Защита собственных абонентов в роуминге от нежелательного трафика.
Защита персональных данных абонентов.
«Связьком.SMS Firewall» базируется на технологии SMS Home routing. Платформа встраивается в сеть оператора как отдельный узел со своим собственным GT. Home routing настраивается на HLR так, чтобы на SMS-FW перенаправлялись все SRI-запросы. Это позволяет перехватывать и контролировать все входящие сообщения (P2P, A2P) из любых источников и принимать решение о доставке или блокировке. В случае ограничений коммутационного оборудования оператора, не позволяющих использовать Home routing, возможны другие варианты инсталляции с гибким подходом к решению задач.
Благодаря различным правилам анализа и фильтрации SS7-трафика платформа обеспечивает защиту от угроз безопасности извне. В документе GSM Association IR.70 «SMS SS7 Fraud» приведен обширный список манипуляций с SMS-трафиком, среди которых Spam, Spoofing, Smishing, Malware, Flooding, Grey Routing, Mobile Terminated Faking, Sim Farm и многие другие. Приведем некоторые из них и кратко опишем механизмы их выявления и блокировки платформой «Связьком.SMS Firewall».
Smishing (SMS Phishing). Эта форма незаконной деятельности совмещает SPAM, подмену номера отправителя SMS и социальный инжиниринг для получения доступа к онлайн-системам, аккаунтам, данным кредитных карт, паролям
Обнаружение SMS-фишинга включает фильтрацию контента для определения конкретных отправителей и возможность анализа текста SMS с использованием ключевых слов или фраз. Как правило, нежелательные сообщения содержат какую-либо рекламу или призыв к совершению действия, поэтому фильтр настраивается на «триггерные» слова. На сообщение, текст которого содержит определенный паттерн, будет возвращена заданная ошибка.
Flooding. Огромное количество сообщений отправляются на одно или несколько направлений, как правило, с помощью специального ПО — SMS-bomber. Может использоваться для психологической атаки или как средство отвлечения внимания жертвы при проведении других атак (например, взлома социальных сетей или кражи персональных данных, средств с карты). Кроме того, SMS-flooding повышает нагрузку на ресурсы оператора, вплоть до отказа сигнальной сети в крайних случаях.
Платформа «Связьком.SMS Firewall» предлагает следующий механизм для обнаружения и блокирования SMS-флуда. Раз в определенный интервал (например, раз в 10 секунд), из БД платформы берутся данные статистики, содержащие определенные критерии. В критериях могут учитываться следующие атрибуты сообщения: номер A, номер B, текст сообщения, source MSC GT, source SMSC GT. Для тех отправителей, статистический показатель которых превысил определенный порог, создаётся запрещающее правило.
Grey route. По данным сайта gms-worldwide.com в 2018 г. 47,7% всего A2P-трафика было отправлено по «серым» маршрутам. Индустрия обмена A2P сообщениями потеряла $ 5.76 млрд.
«Связьком.SMS Firewall» обнаруживает сообщения, поступающие из неавторизованных каналов, используя черные/белые списки GT/SendlerID. Анализ данных производится в режиме реального времени, позволяя оперативно распознавать «серые» маршруты и проверять актуальность всех соглашений о межсетевых соединениях. Платформа позволяет собирать статистические данные для разработки успешной стратегии монетизации A2P-трафика.
Возможность одновременного задействования различных механизмов выявления нежелательного трафика и гибкая логика обработки делает платформу «Связьком.SMS Firewall» мощным средством защиты внутренней сети оператора. Компания «Связьком» постоянно работает над совершенствованием своей продукции, включая результаты новейших научных исследований в состав своих решений. Модуль с интеллектуальным анализом трафика — уникальная разработка компании «Связьком», выводящая безопасность на новый уровень. Технология искусственного интеллекта позволяет проводить глубокий анализ всего SMS-трафика, выявляя подозрительные активности, «серые» маршруты, «SMS-фермы». Основной особенностью модуля AI является способность системы к «самообучению». При выполнении задач AI не опирается на изначально заданные логические схемы и алгоритмы, а сам выстраивает комплексные механизмы принятия решений («нейронные сети») на основе получаемых данных и выполненных ранее задач.
Подробнее о технологии AI — во второй части обзора.