欺诈罪： 少即是多

约翰·奈斯比特在其 1982 年出版的《大趋势》一书中写道： “我们淹没在信息之中，却又渴求知识。” 这是我最喜欢的引语之一，因为我发现它非常准确地捕捉了现代生活中许多事物的状态。 

特别是，它简洁地描述了许多企业欺诈和风险管理计划的现状。 不幸的是，许多此类程序都存在高水平的误报和其他“噪音”，从而降低了其有效性。

要了解为什么噪音在欺诈和风险管理中会成为一个大问题，我们必须首先了解它对企业造成的影响。 虽然这不是一份详尽的清单，但以下是一些关键内容：

• 浪费的周期： 当欺诈团队围绕集中工作队列构建工作流程时，需要对队列中的所有事件进行优先排序和审查。 噪音使这个队列中充满了需要审查但不会给欺诈和风险计划增加价值的项目。 换句话说，噪音浪费了团队宝贵的周期。

• 错过的真正阳性结果： “大海捞针”这个短语非常适合描述在典型企业所看到的大量数据和事件中寻找欺诈行为的感觉。 在这个类比中，针代表真阳性（欺诈事件），而干草堆代表非欺诈的假阳性。 假阳性越多，找到真阳性就越困难。

• 基础设施成本增加： 噪音还会带来基础设施成本。 每个日志、警报和事件，无论其是否为欺诈和风险计划增加价值，都必须保留。 因此，如果团队收集了大量的信息但这些信息几乎没有任何价值，那么他们只是在使用多余的基础设施。 这会产生一定的成本，使预算从原本可以大幅增加价值的领域中流失。

• 倾斜指标： 误报通常会扭曲指标。 某些指标，特别是那些关注花在真实欺诈事件上的时间百分比、真实阳性与假阳性的比率、事件量、处理的事件数量、每个事件的分析师时间等的指标，将受到噪声量的影响很大。 误报率越低，这些指标的结果就越准确、越有利。

了解误报和噪音对我们的欺诈计划产生负面影响的一些原因有助于我们制定解决问题的计划。 以下是我在职业生涯中发现的一些有用的建议：

• 从风险开始： 毫不奇怪，所有成功的道路都始于对风险的坚定理解和承诺。  评估企业面临的风险和威胁，了解它们对企业内部的影响，并了解与每种风险和威胁相关的潜在成本/损失。

• 设定目标和优先事项： 选择何时解决什么是欺诈和风险团队可以做出的最重要的战略决策之一。 对上一步中列举的风险和威胁进行优先排序，并设定短期和长期要解决的目标和优先事项。

• 评估影响： 识别关键资产、关键资源和重要数据存储等有助于团队了解事件的潜在影响。 了解最敏感和最重要的资产、资源和数据在哪里有助于团队集中精力解决遥测方面的差距。

• 识别数据和差距： 了解现有的遥测收集情况，并评估每个数据源是否有助于欺诈和风险计划。 如果没有，那么收集它只会增加基础设施成本而不会增加任何价值。 找出遥测中的漏洞，让团队无法发现潜在的欺诈行为，并制定计划来解决这些漏洞。

• 考虑技术和差距： 仔细研究现有的技术，检查其有用之处，例如以较低的误报率可靠地检测欺诈，收集有价值的遥测数据，和/或使流程和工作流程更加高效。 密切关注技术在哪些地方对反欺诈团队起到了打击而不是帮助作用，以及遥测和检测中存在哪些漏洞。

• 抛弃嘈杂的规则和签名： 产生大量噪音的规则、签名和其他检测技术不会给欺诈程序增加价值。 相反，他们让团队陷入误报之中，并积极努力防止及时准确地发现欺诈事件。 这听起来可能有些激进，但抛弃这些嘈杂的检测机制的好处远比坏处多。

• 实施严格检测： 真正秉承“少即是多”的理念包括理解敏锐地查询数据并产生高保真度和高可靠性警报和事件的必要性。 虽然实施更复杂的检测方法需要前期投入大量的时间，但它会带来巨大的回报。  警报和事件越好，工作队列的信号就越多，噪音就越少。

• 关注过程： 当流程中断或不存在时，即使是世界上最高质量的工作队列也无济于事。 世界一流的欺诈团队拥有成熟、高效、有效的流程来指导和管理他们的工作方式。

• 持续改进： 没有一个反欺诈团队是完美的，最好的反欺诈团队能够敏锐地意识到自己的弱点和改进的机会。 从上述每一点中吸取教训并利用它们不断改进欺诈计划对于欺诈团队的长期成功至关重要。

传统观点认为，更多的数据、更多的事件和更多的警报能够更好地检测欺诈，这种观点已经过时且错误。 通过战略性地关注风险和采取系统性的方法降低噪音，企业可以改善其欺诈检测状态和欺诈计划的成熟度。 提高信噪比并秉承“少即是多”的欺诈检测理念可以帮助企业检测到更多的欺诈行为，同时减少在误报上浪费的资源。

有兴趣了解更多吗？ 6 月 21 日至 22 日，来 Infosecurity Europe (展位 P20) 与 Josh 聊天。