Recap Series
- 第 02 场:使用 Terraform 实现 AWS 合规
- 第 03 场:从新手到构建者:一段精彩的云上之旅
- 第 04 场:团队优先的无服务器工程:Laravel 与 Bref
- 第 05 场:活动开场:AWS Community Day Hong Kong 2025
- 第 06 场:Agent-to-Agent:在 AWS 上构建可互操作的 AI
- 第 07 场:利用另一类遥测数据,借助 AI Agent 更快改进
- 第 08 场:告别氛围编程:使用 Kiro 进行规范驱动开发
- 第 09 场:使用 MCP 与 AI 智能体进行自动化测试
- 第 10 场:电信安全现代化:机器学习驱动的方法
- 第 11 场:重新思考生成式 AI 智能体:RAG 与 MCP
- 第 12 场:使用 TAK 与 AWS 开展灾难与应急响应
- 第 13 场:从测试视角重新思考无服务器应用程序工作流
- 第 14 场:实用 AWS FinOps,助力云上成功
近期趋势与挑战
在线交易增长
- 西非、中国和中国香港等地区越来越依赖手机进行交易
- 预计到 2027 年,全球每年在线交易量将达到一万亿笔
支付诈骗增加
- 截至 2023 年,诈骗造成的损失达 15 亿美元
- 47% 的诈骗涉及交易(在线、线下或语音交易)
行业应对措施
- 部署反欺诈系统
- 加强双重身份验证
- 开展行为分析检查
- 使用风险引擎跟踪行为模式
基于模式的防护存在局限
- 只能提供一定程度的保护
- 需要更全面的安全措施
令牌化与去令牌化
- 加密请求以保护交易安全
- 接收请求后解密,确保安全传输
- 这是许多金融公司当前采用的做法
欺诈检测与防范面临的挑战
安全情报缺口
- 电信行业难以及时应对新型欺诈攻击
- 安全系统中不断出现新的后门
平衡安全性与用户体验
- 既要保护系统安全,又要确保合法流量不被阻止
- 需要考虑如何在不影响客户体验的情况下维持安全
监控与检测的局限
- 传统的允许/拒绝规则不足以应对现代威胁
- 新型攻击经常绕过基于规则的系统
使用 AWS 工具增强识别能力
- 使用 AWS 工具识别并缓解新型威胁
传统安全方法与现代安全方法
传统方法
- 允许或拒绝规则
- 两步验证
- 使用固定 IP 地址的网络 VLAN
传统方法的局限
- 无法有效应对由先进 AI 和机器学习驱动的攻击
- 会在系统中产生更多漏洞
欺骗手段的演变
现代攻击技术
- 重点转向语音诈骗
- 利用社会工程学诱骗用户进行并非由其本人发起的交易
对 AI 和机器学习的需求
- 回应人们的担忧以及对高级解决方案的需求
- 提供应对当代欺诈手段的解决方案
现代通信方式中的历史遗留缺陷
SS7 协议
- 用于 2G、3G 和 4G 网络
- 设计初衷是防止通信被截获
- 7 号信令系统(Signaling System No. 7,SS7)是全球通用的一组电信协议,为全球大多数公共交换电话网络(PSTN)呼叫提供信令和控制。它通过独立的专用网络交换建立、管理和释放语音呼叫所需的控制信息,并支持 SMS 和来电显示等高级服务。
- SS7 在 20 世纪 70 至 80 年代被设计为封闭式系统
- 这种安全性缺失使其容易遭到利用。能够访问 SS7 网络的恶意行为者可以:
- 跟踪位置:通过查询位置数据库,精确确定用户在世界任何地方的位置。
- 截获通信:窃听通话并读取 SMS 消息,包括网上银行及其他服务的双重身份验证(2FA)代码等敏感信息。
- 实施欺诈:重定向呼叫、发动 SIM 卡交换攻击,或开展其他欺诈活动。
- 发动拒绝服务(DoS)攻击:使信令信道过载,造成网络中断。
- 4G 和 5G 网络主要使用更安全的 Diameter 协议传输信令,但 SS7 仍被广泛用于支持全球漫游、与传统 2G/3G 网络互联以及传送 SMS 消息。
持续存在的威胁
- 尽管 4G 和 5G 已广泛建设,2G 和 3G 网络仍在使用
- 黑客利用 SS7 协议缺陷截获通信
- 一些地区仍依赖较旧的网络技术,因此威胁持续存在
在电信安全中使用 AI 的优势
AI 作为赋能技术
- 训练机器检测欺骗性对话
- 识别对话中的诈骗性语言
- 区分正常交互与欺诈交互
持续学习
- AI 能够适应新型攻击并给出新的解决方案
- 确保防护能力与不断演变的威胁同步更新
经济影响
- 防止收入流失和公司破产
- 维护客户信任这一宝贵资产
- 确保系统安全,以维持客户信心和投资意愿
解决方案概述
与现有系统集成
- 同时覆盖基于云的系统和本地传统系统
- 尽量降低 5G 技术的延迟
- 确保与较旧网络技术兼容
解决方案流程
- [ 1 ] 发起呼叫
- 通过无线电波、卫星或 IP 地址发起呼叫
- [ 2 ] 路由
- 将呼叫路由到通信塔
- [ 3 ] 转换
- 呼叫先经媒体转换器转换,再传入安全环境
可疑语音检测
- 转录器在通话期间捕捉可疑话语
- 自定义关键字检查:
- 标记“告诉我您的 PIN”或“我们需要您的银行信息”等关键字
- 确保对话中的敏感信息得到安全处理
解决方案详细工作流
预加载关键字
- 系统预先加载表明可能存在欺诈的关键字(例如“告诉我您的 PIN”)
- 这些关键字是识别可疑对话的第一道关口
Amazon Comprehend
- 分析对话的语气、紧迫程度和情绪
- 识别诈骗性语言和异常对话模式
Amazon SageMaker
- 使用自定义模型进行部分实时训练
- 通话期间,系统会识别可疑模式,并向用户发送欺诈警报
- 如果检测到欺诈,用户可以选择结束通话
Amazon EventBridge 与 Lambda 函数
- Amazon EventBridge 负责传递自定义欺诈逻辑相关事件
- Lambda 函数处理不同检测场景(中性、非中性、欺诈)
- 根据检测结果触发用户通知
再训练存储桶
- 将最初未检查的对话保存到 S3 存储桶,用于再训练
- 支持无监督学习,让系统能够从过往对话中学习
系统可观测性与合规性
- 生成合规所需工件
- 使用 Amazon CloudWatch 监控日志
- 使用 Amazon GuardDuty 识别模型行为变化和安全注入
- 使用 AWS Glue 爬网程序对配置进行静态分析(自动扫描和发现 Amazon S3、DynamoDB 及关系数据库等各种数据源中的数据,并填充中央 AWS Glue Data Catalog)
- 使用 AWS Config 进行密钥管理
- 管理个人身份信息(PII)
数据敏感性与加密
- 确保数据无论位于电信运营商侧还是云端都保持安全
- 支持完全在云端实施,电信用户也可以选择自己偏好的方式
演示与实施细节
- 通过简单演示展示正在进行的对话,以及如何识别可疑模式
- 实时检测欺诈并向用户发出警报
录制的对话
- 演示包含多段语音录音
- 区分非钓鱼语音录音与语音钓鱼录音
使用 Terraform 部署
- 使用 Terraform 部署基础设施
- 提供用于部署 Lambda 函数的示例代码
Lambda 函数
- 由事件触发 SNS 主题
- 检测关键字:“重置您的 PIN”“确认您的账户”“后四位数字”“确认您的账号”
- 可疑阈值设置为 0.5;达到 0.85 则表示欺诈
缓解框架
融合 AI 的策略即代码
- 强调将策略定义为代码并融入 AI 的重要性
- AI 可协助理解和更新超出人类处理能力的复杂代码
结构化代码部署
- 采用适当的结构,将代码部署视为同行评审过程
- 附加安全风险处理措施和单元测试
- 使用 Amazon GuardDuty 持续监控模型行为,确保系统得到保护
自然语言处理(NLP)
- 加入 NLP,识别电信通信和无线电波中的模式与情绪
- 增强对欺诈、中性或安全通信的检测能力
全球欺诈防范
实时风险管理
- 专注于在全球范围内实时防范欺诈
- 通过持续监控和调整确保系统安全
结论
- 强调主动防范欺诈,而不是事后被动应对
