在1992年，一家英國銀行向新加坡派遣了一名職員在當地開設分行并管理銀行的交易活動。而這名職員不久就開始利用漏洞從事金融衍生品投機活動，其將賭注押在了日本市場能夠保持繁榮上。不幸的是，1995年發生的日本阪神大地震使日經225股指進入震蕩期。這名職員的投機行為導致銀行損失了10億美元。

　　故事中的職員就是尼克·里森，他的投機行為最終導致英國銀行業老牌銀行――巴林銀行在1995年以象征性的1英鎊被收購。問題出在什么地方呢?里森同時擔任了銀行業務經理、交易員和IT管理員多種職務，這使得其在一個老帳戶里隱藏了這些損失，并在四年的時間內沒有被發現。

　　時間一晃就是十年，轉眼就到了2005年。在這一年，一家法國著名銀行的職員由中層辦公室調職為前廳交易員。在2007年，這名職員開始使用偽造的帳戶秘密進行投機交易，并且這些交易嚴重超過了他的交易權限。在2008年，銀行方面終于發現了這一問題，但是此時這名職員的交易已經造成了超過70億美元的損失。

　　上述故事中的這名職員正是法國興業銀行臭名昭著的“流氓交易員”杰洛米?科維爾。在2008年福布斯全球500強企業中，法國興業銀行排名第43位。在這個故事中，問題又出在哪里呢?盡管科維爾通過諸如小金額高頻率交易等手段避免觸及極限警報，但是最根本的問題與巴林銀行事件中的問題如了一轍。科維爾在調職后，依然在繼續利用自己的先前身份訪問帳戶和控制部門，而根據規定在其調職后應該無法訪問。

　　這兩起事件都是典型的未能強化“職責分離”的案例，而這是非常普通的內部威脅。當出現了內部威脅或是其它的網絡威脅，這些你可以聽了許多遍，“如果它們分撿出來的話，線索就隱藏在日志里，!”

　　不過，通常線索并不充分。日志的合并只是第一步，這一步是用這些線索發現是否有違反職責分離規定的事件發生或是有其它類型的內部威脅。接著我們還有面臨四個重要的技術挑戰，而這些挑戰必須要被解決：

　　*缺失的用戶內容。路由器日志可能會顯示從杰洛米?科維爾的臺式機至服務器的信息，而作為交易員，科維爾根本無權訪問。不過，這些日志僅包括IP地址，其它的源頭可能也是這種情況，源IP地址將提示科維爾為所有者。

　　*聯系用戶身份。由于尼克·里森作為IT管理員可以直接訪問后端服務器，而其作為交易員又可以申請帳戶。這兩個便利條件結合起來使得其可以創建一個假帳戶以隱藏自己的交易。在這個案例中，訪問日志僅提供了部分特定線索給每一個證書和優先申請。除非你能將獨立證書中的日志與實際用戶聯系起來，否則許多內部威脅根本無法發現。

　　*角色和特權意識。日志可能會揭示出科維爾在調職到交易部門后，訪問不合規定的老帳戶的行為。不過，要想能夠發現不符合職責分離的行為，你的日志分析方案需要結合科維爾目前的角色與相關特權分析其行為。日志分析方案必須要結合身份管理和目錄系統。

　　*威脅設定。一些職員經常建議通過更好的訓練和強化的程序來防止威脅，而不是建議單純的依靠技術。然而，人員、程序和大多數日志分析方案在解決未知威脅方面僅取得了有限的成果。事實是，每一個已經知的內部威脅都會產生無限的變形。為了克服這一局限，日志分析需要擺脫過去基于簽名的探測，改為基于模式分析。如果你將用戶的行為作為模式形象化，而不在無窮盡的日志事件中探測，那么你將更為容易的探測到威脅變種和新威脅。

　　所以，當你評估那些聲稱通過揭示日志中的線索抑制內部威脅的解決方案時，請確認他們能夠將這些線索追溯至用戶、身份和角色。那些能夠讓你清楚用戶行為模式和偏差的解決方案或許可以阻止下一個更大的內部威脅。(來源：CNW 范范編譯 )