内部威胁带来几十亿美元损失的启示

　　1992年，一家英国银行向新加坡派遣了一名职员在当地开设分行并管理银行的交易活动。而这名职员不久就开始利用漏洞从事金融衍生品投机活动，其将赌注押在了日本市场能够保持繁荣上。不幸的是，1995年发生的日本阪神大地震使日经225股指进入震荡期。这名职员的投机行为导致银行损失了10亿美元。

　　故事中的职员就是尼克·里森，他的投机行为最终导致英国银行业老牌银行――巴林银行在1995年以象征性的1英镑被收购。问题出在什么地方呢?里森同时担任了银行业务经理、交易员和IT管理员多种职务，这使得其在一个老帐户里隐藏了这些损失，并在四年的时间内没有被发现。

　　时间一晃就是十年，转眼就到了2005年。在这一年，一家法国著名银行的职员由中层办公室调职为前厅交易员。在2007年，这名职员开始使用伪造的帐户秘密进行投机交易，并且这些交易严重超过了他的交易权限。在2008年，银行方面终于发现了这一问题，但是此时这名职员的交易已经造成了超过70亿美元的损失。

　　上述故事中的这名职员正是法国兴业银行臭名昭著的“流氓交易员”杰洛米•科维尔。在2008年福布斯全球500强企业中，法国兴业银行排名第43位。在这个故事中，问题又出在哪里呢?尽管科维尔通过诸如小金额高频率交易等手段避免触及极限警报，但是最根本的问题与巴林银行事件中的问题如了一辙。科维尔在调职后，依然在继续利用自己的先前身份访问帐户和控制部门，而根据规定在其调职后应该无法访问。

　　这两起事件都是典型的未能强化“职责分离”的案例，而这是非常普通的内部威胁。当出现了内部威胁或是其它的网络威胁，这些你可以听了许多遍，“如果它们分捡出来的话，线索就隐藏在日志里，!”

　　不过，通常线索并不充分。日志的合并只是第一步，这一步是用这些线索发现是否有违反职责分离规定的事件发生或是有其它类型的内部威胁。接着我们还有面临四个重要的技术挑战，而这些挑战必须要被解决：

　　*缺失的用户内容。路由器日志可能会显示从杰洛米•科维尔的台式机至服务器的信息，而作为交易员，科维尔根本无权访问。不过，这些日志仅包括IP地址，其它的源头可能也是这种情况，源IP地址将提示科维尔为所有者。

　　*联系用户身份。由于尼克·里森作为IT管理员可以直接访问后端服务器，而其作为交易员又可以申请帐户。这两个便利条件结合起来使得其可以创建一个假帐户以隐藏自己的交易。在这个案例中，访问日志仅提供了部分特定线索给每一个证书和优先申请。除非你能将独立证书中的日志与实际用户联系起来，否则许多内部威胁根本无法发现。

　　*角色和特权意识。日志可能会揭示出科维尔在调职到交易部门后，访问不合规定的老帐户的行为。不过，要想能够发现不符合职责分离的行为，你的日志分析方案需要结合科维尔目前的角色与相关特权分析其行为。日志分析方案必须要结合身份管理和目录系统。

　　*威胁设定。一些职员经常建议通过更好的训练和强化的程序来防止威胁，而不是建议单纯的依靠技术。然而，人员、程序和大多数日志分析方案在解决未知威胁方面仅取得了有限的成果。事实是，每一个已经知的内部威胁都会产生无限的变形。为了克服这一局限，日志分析需要摆脱过去基于签名的探测，改为基于模式分析。如果你将用户的行为作为模式形象化，而不在无穷尽的日志事件中探测，那么你将更为容易的探测到威胁变种和新威胁。

　　所以，当你评估那些声称通过揭示日志中的线索抑制内部威胁的解决方案时，请确认他们能够将这些线索追溯至用户、身份和角色。那些能够让你清楚用户行为模式和偏差的解决方案或许可以阻止下一个更大的内部威胁。