安全之美——3.2.1 巴林银行：内部侵害

3.2.1 巴林银行：内部侵害 首先让我们观察侵害可能导致的最可怕后果：破产。这个侵害实际上是由一个叫Nick Leeson的人所犯下的一连串错误行为所导致的。这个过程持续了4年，最终导致了巴林银行的破产，并在1995年以1英镑的价格卖给了ING集团。 玩家 巴林银行是英国最古老的商业银行，成立于1762年。它具有非常悠久和光辉的历史，路易斯安那并购案、拿破仑战争、加拿大太平洋铁路的修筑以及伊利运河的开挖等重大历史事件都留下了它的身影。英国政府通过巴林银行清算它在美国以及其他地方的财产，为第二次世界大战期间的战事筹集资金。黛安娜王妃就是巴林家族的一位成员的曾孙女。巴林银行还是伊丽沙白女王的私人理财银行。 Nick Leeson出生于1967年，是一位泥水匠工人的儿子。他的生活轨迹是从穷光蛋到富翁，再从富翁到穷光蛋的过程，很可能还会恢复到小富的状态。他在学校里没有通过最终的数字考试，在没有几门课程合格的情况下离开了学校。尽管如此，他还是设法找到了一个银行职员的工作，辗转了几家银行之后，最后在20世纪90年代初期来到了巴林银行。一开始他只是从事期货和期权的结算工作，但到了巴林银行之后不久，他申请并获准来到远东，帮助解决巴林银行在雅加达的混乱期货和期权结算任务。他的工作成效非常显著。1992年，他被任命为巴林期货（新加坡）有限公司（BSS）的总经理，负责雇用交易员以及期货期权结算工作人员，并在SIMEX（现在的新加坡国际金融交易所）启动一个未来的交易操作。尽管交易并不是他的职责，但他很快通过了必要的考试，开始在SIMEX与他的交易员队伍一起执行交易。结果，在侵害过程时，他扮演了三个角色：总经理、交易员和期货和期权结算的实际领导（因为他的过去经历）。对于任何交易操作而言，职权的分离是一项基本原则。但在BSS，这个原则却是不存在的。巴林银行直到4年以后才发现这个事实，但此时已经为时过晚。 怎么发生的 Leeson和他的交易员队伍有权执行两种类型的交易：外部客户和其他巴林银行业务单位的期货和期权交易；利用SIMEX和日本的大阪证券交易所（OSE）的期货交易价差的价格套利。 按官方的说法，巴林银行（Leeson作为它的指定代表）采纳了一种称为“空头跨式套利”的交易策略。它涉及销售（看空）有些股票、利率、指数或其他基础工具的购入期权和卖出期权（在Leeson的案子中是Nikkei 255指数）。为了便于讨论，假设把一个公开交易股票的一定数量的股数作为基础工具。 如果读者不熟悉期权的概念，可以先了解一些定义。期权有两种类型：卖出期权和购入期权。卖出和购入都是双方（卖方和买方）之间的契约。 卖出期权提供了卖出的权利。卖出期权的购买者可以自己决定是否在未来的某个时间（T）以协议价格（S）售出一定数量的股票（N）。卖出期权的出售者承诺在未来的某个时间（T）以协议价格（S）购买一定数量的股票（N）。对于一个卖出期权，N、S和T的价值对于该卖出期权的购买者和出售者而言都是相同的。期权（Qput）的价格是购买者为履行契约（即期权）支付给出售者的金额。 购入在本质上是卖出的映射。购入期权的购买者可以决定在未来的某个时间以协议价格购买一定数量的股票。购入期权的出售者承诺在未来的一个时间以协议价格出售一定数量的股票。和卖出期权一样，参数N、S和T对于购入期权的购买者和出售者而言具有相同的价值。期权的价格是购入者支付给出售者的金额。 空头跨式套利是一种交易策略，交易员（例如Nick Leeson）出售匹配的卖出和购入期权。注意，多头跨式套利表示交易员购买匹配的卖出和买入期权。对于这两种交易策略，可以创建一个模型，把交易利润（Y）用N、S、T以及当前每股股票价格（X）的函数来表示。由于Nick被授权执行空头跨式套利策略，因此我们详细观察什么是空头跨式套利。 一天，Nick卖出了两个期权：到期时间为T、协议价格为S的N股的卖出和购入期权。Nick由于卖出他的两个期权而从购入者那里得到： Q = Qcall + Qput 因此，Nick的起始利润相当于Q。稍后从我们的分析中可以看到，这是Nick可以得到的最理想结果。当日期为T + 1天，当这两个期权到期时，会出现3种可能的情况： 情况1：X = S（当前股票价格X等于时间T的协议价格S） 如果当前价格和协议价格相同，则两个期权都不会被执行，Nick将不必购买或出售任何股票。他可以保有利润Q，享受胜利的喜悦。 情况2：S < X（当前股票价格X大于时间T的协议价格S） 在这种情况下，购入期权的持有人（拥有按价格S低价购入股票的权利）将会执行这个期权。卖出期权的持有人（拥有按价格S出售股票的权利）将不会执行这个期权，因为他可以按更高的当前价格出售。因此，Nick必须按价格X购买N股，并按价格S出售N股，这样总体利润相当于： Q -N * (X-S) 只要N * ( X-S )小于Q，Nick仍然是赚钱的。显而易见，如果N或（X-S）非常大，就会导致Nick陷入亏空。 情况3：X < S（当前股票价格X小于时间T的协议价格S） 在这种情况下，卖出期权的持有人（拥有按价格S高价出售股票的权利）将会执行这个期权。购入期权的持有人（拥有按价格S购入股票的权利）将不会执行这个期权，此外他可以按更低的价格购入股票。因此，Nick必须按价格S购买N股并按X出售N股，这样总体利润相当于： Q-N * (S-X) 只要N * (S-X )小于Q，Nick仍然能够赚钱。显而易见，如果N或（S-X）非常大，就会导致Nick陷入亏空。 我们可以把利润设置为0，通过解前面所显示的方程式来计算当前股票价格X在时间T的保本值： 0 = Q-N * (S-X) 当S > X 0 = Q-N * (X-S) 当X > S 产生： X = S-Q/N 当X < S X = S + Q/N 当X > S 为了更好地进行总结，空头跨式套利的模型可以用图3-1所示的图表示。这张图显示了y轴所表示的利润根据x轴所反映的当前股票价格发生变化。 图3-1 显示空头跨式套利模型：利润Y在期权到期后用当前价格X的函数表示 这并不是一张很完善的图。如果市场的动荡不大，这种策略将会产生（有限的）利润。但是如果市场较为动荡，就可能蒙受巨大的损失。如图3-1所示，如果N的值非常大或者X和S的差非常大（价格变动很大），利润就会趋向负值。 差不多就在刚开始时进行交易的时候，Leeson就开始在Nikkei 255指数期货、Nikkei股票期权和日本政府债券上进行了未授权的投机活动。利用他对期货和期权结算部门员工的影响力，他在正确的账户上报告他的授权套利交易的利润，在一个旧的错误账户上隐藏它的未授权活动和损失（账号88888）。这个账户是他以前在雅加达的期货和期权结算项目的复制品。表3-1（注2）显示了描述这个情况的一些金融度量指标，所有的值都用百万英镑（GBP）为单位。 表3-1：巴林银行：一些金融度量 年份 报告值 实际值 累计 1993年年末 +8.83 M -21 M -23 M 1994年年末 +28.529 M -185 M -208 M 1995年年末 +18.567 M -619 M -827 M 直到1995年1月，Leeson的主要问题还是技术不够熟练并且做事肆无忌惮。但在1995年1月17日，坏运气降临到他头上。日本神户大地震导致Nikkei 225平均指数跳水。证券市场的动荡持续了一个多月。谨慎的交易员在这种情况下应该尽量控制自己的损失，但Leeson采取了相反的做法，他开始对Nikkei 225指数的期权采取了积极进取的购入策略，如图3-2所示（注3）。 图3-2 Leeson在危机期间的购入 x轴反映了时间，恰好从1995年1月17日神户地震之前开始，直到巴林银行于1995年2月27日进入接管状态。左边的y轴和带有触角的深灰柱形显示了Nikkei 225在大阪证交所的最高均价、最低均价和收盘均价。在地震之前，Nikkei 225指数的交易价格波动在19 000和19 500之间。在神户地震之后，交易价格猛然下探，然后在17 400和18 800之间大幅波动。在空头跨式套利模型中，这意味着X和S之差非常大。 图3-2中的浅灰柱是以百万美元（$M）为规模绘制的，表示Leeson所交易的巴林银行的多头期权位置。这个规模从最低的大约30亿美元到最高的大约200亿美元，其走势恰好与左边表示Nikkei指数（从16 500到20 000）的y轴相反。每个柱形都标上了数字，表示用百万美元表示的相关值。因此，每个柱形的高度反映了Leeson在这段时期内所承诺的在未来日期以一个指定价格购买的Nikkei指数股数。Leeson在这段时间内的最大承诺购买金额是200亿美元，是巴林银行当时大约6.15亿美元的报告资产的32倍。在空头跨式套利模型中，这意味着非常巨大的N值。 结局是非常的迅速和痛苦，并且很快传播了开来。 当然，本节中的数据和图表所反映的是金融度量指标，而不是安全度量指标。美丽的安全度量指标的一个关键特征多少与金融度量指标存在联系，至少需要对业务的执行进行一些有意义的测量。能不能采用什么安全度量指标，在事情变得无法收拾之前捕捉问题并发出警告呢？我们首先分析哪里出了问题，然后观察一个“如果……怎么样”的场景，即巴林银行如果采用了一个度量指标计划将会怎么样。 哪里出了问题 在回顾前面所描述的事件所处的上下文环境以及它的先后顺序时，我们可以作出下列这些评论： □　　Leeson在目标系统的特权上并没有一个清晰定义的角色。事实上，他同时扮演了三个角色：交易员、期货和期权结算管理人和总经理。 □　　定义、实行、授权和执行政策的职责没有分离。 □　　Leeson执行期货期权结算和交易功能所需要的访问和授权并没有正式的审核过程，尤其是当他获取对IT应用程序的访问时。 □　　不存在相关的控制，保证当Leeson的责任和功能发生了变化时进行审查。 适当的安全度量的一个重要角色就是进行监视并对控制的执行进行测量。在巴林银行的例子中，许多关键的控制都不存在。在3.2.2一节中，我们将吸取医学研究上的一些灵感，显示如何使用安全度量指标来检测是否缺乏关键的控制，并对它们的有效性和效率进行监视。 巴林银行：“如果……怎么样” 如前所述，医学研究定义了一组事实，医生可以根据这些事实，对他首次遇到或者以前没什么了解的病人作出评估。第一个步骤是查看病人历史，这也是医生们经常采用的做法。病人历史是一系列的简单问题，提供了病人状态的概况。把话题转回到公司（具体地说，巴林银行），与病人历史相关的适当类比又是什么呢？答案是“安全历史”。这是一系列的高层次问题，提供了一个机构为了保护IT资产的安全所实现控制的基本特征。下面是一些示例问题： □　　机构是否具有正式成文的信息安全策略和流程？ □　　是否要求员工遵循这些策略和流程？ □　　机构是否具有身份和访问管理流程，支配用户访问和授权的管理？ □　　是否在IT资产的访问授权人和IT资产的访问人之间实现权责分离？ □　　当员工的工作或责任发生变动时，是否执行一个正式的审核流程？ □　　系统和应用程序的活动是否由类似日志文件这样的机制进行指导？ □　　是否定期对活动日志进行分析？ 安全历史的问题数量可以多达数百个。和病人历史不同，一个机构可能需要花费几天甚至几个星期才能搞清安全历史，但它们的原则是相同的。它强调了高层次的问题，目的是提供一个宏观计划，作为未来调查的路标，并最终成为目标性更强的度量指标的集合。 和2008年一样，IT安全市场开始开发安全历史的指导方针。在医学领域，存在大量建议使用的病人历史问题。但在IT安全空间，只有极少数的机构或结构从事这项工作。但是，事情正在发生变化，目前已经出现一些提供某些需求的机构： □　　支付卡行业（PCI）发布了一组需求，要求它的成员相信公司将会适当地保护顾客的信用卡数据。 □　　Santa Fe Group联同BITS创建了金融机构共享评估计划，增强评估公司的IT安全姿态的有效性并提高其效率。 □　　像Unified Compliance Framework（http://www.unifiedcompliance.com）这样的公司已经制定了规范，用来协调由制度、标准、最佳实践以及其他方式所构成的需求。 这些积极的做法很有潜力产生一个层次的一致“安全历史”，与当前能够为医生提供很大帮助的病人历史非常相似。 如果有人向巴林银行提问这些示例（毫无疑问是有针对性的）问题，他们的回答肯定也是振振有词的。但是，我们可以很合理地推测到巴林银行在英国的高级管理层并没有意识到远东地区所进行的BSS操作有多么可怕。事实上，如果他们进行了询问，那么Leeson很可能在填写调查表时撒谎。反映人的所想所说的主观性问题必须得到坚实的事实和数据的支持。因此，和病人历史一样，这种类型的安全历史必须通过度量指标来增强它的说服力。历史只是一些简易的信息，用于引导进一步的深入调查应该从什么地方开始。 考虑下面这个“如果……怎么样”的场景：假设巴林银行决定获取一个共享评估安全评分，会产生什么效果呢？如果巴林银行为了维护与诸如Visa和American Express这样的支付卡公司的友好关系而进行强制的PCI审核又会产生什么效果呢？ 显然，巴林银行立即就会发现对交易和期货期权结算IT系统的访问控制非常松懈。审核者可能会发现缺乏中央化的控制。他们可能会发现对员工的授权没有常规的审核，尤其是当员工的工作发生变动时。根据这些发现，巴林银行就会得到一个很低的共享评估分数，这将影响他们的声誉，他们很可能会失去处理支付卡数据的能力，因此将会导致收益的明显损失。 最后两个业务冲击很可能会引起巴林银行高级管理层的注意，也许会驱使他们启动一个项目来处理这个问题。但是，他们应该在这方面进行多少投入，并且应该怎样采取一种现实的目标或成功措施呢？很容易想象，他们会提出下面的问题： □　　“我们的竞争对手是怎么做的？” □　　“他们的身份和访问管理控制的复杂程度如何？” 和健康监护不同，IT安全同行在这方面并不能提供什么帮助。把个人的医疗数据用于研究会导致当事人存在类似的风险，可能会以几种形式变为现实：更高的医疗保险费用或医疗保险不支付这种疾病，难以找到工作，信用问题，如果他们感染到别人可能会引发诉讼等。但是，尽管存在这种风险，人们还是共享了他们的数据。为什么？一个原因是人们相信他们的数据在被发送给研究人员之前会进行适当的匿名化。为了处理与公司安全相关的担忧，Internet安全中心（CIS）（注4）公布了一个跨企业的基准度量指标项目。为了响应这个项目，我的公司PlexLogic发布了一项服务，称为MetricsCenter，可以匿名地收集计算CIS基准度量指标所需要的数据。MetricsCenter技术利用了匿名研究的成果，它在很大程度上受到了医学研究的隐私需求的启发（注5）。 当然，和巴林银行在20世纪90年代前期的做法一样，许多公司并没有收集度量指标数据，因此没有什么可报告的。这有点像有些人从来不去看医生一样，显然是不明智的。 结果，巴林银行的管理层无法使用度量指标（其他公司的或自己的）来定义他们的“处理”的规模和范围。由于别无选择（他们需要并期望良好的安全评分），巴林银行必须启动一个内部项目，“治疗”他们的“患病的”的反凭直觉的身份访问管理控制。假设这次他们决定实现处理程序的同时实现一个度量指标计划。 好消息是巴林银行的项目可以极大地从度量指标中获益，并且他们的实现完全是在内部可捕捉资源的控制之下，特别是他们并不担心其他公司收集和共享这些数据。 巴林银行：一些安全度量指标 因此，在这个“如果……怎么样”场景中，我们假设巴林银行对他们的项目在改进身份和访问管理控制上的效果非常满意。我们进一步假设他们已经采取了一些安全度量指标，并忙于收集、分析和报告结果。注意：虽然访问管理上的改进要推进到远在新加坡的BSS业务单位是比较慢的，Leeson很可能还能自由自在地执行他的交易。但他的好日子快到头了。让我们观察一些很可能暴露他的越权行为的基本度量指标： 覆盖率度量指标 这个度量指标对解决方案的实现深入程度以及部署的不一致程度进行量化。下面是一些以巴林银行为实施对象的例子： ?　　应用程序或基本服务的百分比，例如电子邮件、网站或共享存储，它们的访问是由一个授权系统所管理的。这个值越接近100%，控制就越完全地集中到一个或少数几个管理良好的地方，因此增强了责任性。为了计算这个度量指标，可以比较下面这两个列表：一个是来自授权系统的，另一个是从配置文件和目标应用程序或服务的活动日志编译而来的。这两个列表的重叠百分比就是这个度量指标的测量方法。在Leeson的案子中，这个度量指标将会暴露应用程序所识别的用于授权访问但并不受授权系统正式管理的秘密账户的存在。 ?　　登录账户明确链接到合法的员工或契约人的百分比。如果这个度量指标不是100%，就应该进行仔细检查，并进行最终的调整。无法链接到当前员工或契约人的一大类账户一般都是被解雇的员工，可以肯定有些人对他们的前雇主不会持有积极的态度，并且几乎肯定会有一些“内幕”消息。同样，这个度量指标是通过比较两个列表计算结果产生的：第一个列表来自授权访问控制系统，第二个列表来自公司的人事资源或员工花名册。这两个列表的重叠程度就是这个度量指标的值。这个度量指标可以发现Leeson使用了一位前任员工的账户或一个虚拟账户以获得未授权的访问。 ?　　账户或员工的访问和授权每年、每季度至少正式审核一次或从来不进行审核的百分比。账户或员工从来不进行审核的百分比应该尽可能接近于零。这个度量指标常常来自保存已执行的审核记录的服务票据系统。它的结果是通过把已执行的审核账户数量除以活动账户的总数产生的。Leeson和他的账户很可能从来没有经过审核，因此可能出现最坏的后果。Leeson在他完成新加坡的第一个项目之后就获得了职位提升，但他的访问资格证书从来没有被审核过。和其他度量指标一样，这个指标将会提示Leeson的状态是未经审核的。 ?　　账户组重叠的百分比。在访问控制系统中，定义共享相同的授权的账户组是常见的做法。例如，一个称为期权交易员的组可能被定义为拥有访问交易应用程序所需的授权，另一个称为交易管理的组可能被定义为拥有负责买家、卖家、中介和其他方之间的货币交换所需的授权。期权交易员组和交易管理组之间的组重叠的百分比在理想情况下应该为零。如果位于交集内的所有账户最近（例如，在一个季度内）已经被审核，这个度量指标不太会发生警告。在Leeson的案子中，他的账户将位于这两个组的交集中，并且在超过12个季度的时期内没有经过任何审核。 与测试体温或脉搏相似，这些度量指标都不难理解，并且都不需要复杂的数学计算。另外，它们很可能并不是非常明确的。总之，任何公司在这些度量指标上都很难实现100%的完美，就像一个体温或脉搏并不完全标准的人可以找出正当的理由来解释这种偏离（例如，他们常常跑了十层楼梯）。另外，这些度量指标是从单个时间点所得出的值，它们只提供了一个机构的状态的一个快照。经过经常和反复的计算，这些测量的时间序列可以形成有价值的数据集，可以支持进一步的、可能更复杂的分析。 时间序列的度量指标基于一组根据定期或不定期的时间间隔而获取的值。时间序列反映了系统随时间而发生的动态改变，显示了系统的状态是在改善还是下降以及改善或下降的速度。例如，如果我们每月或每季度收集前面所描述的所有度量指标，那么将会看到什么。在一个像巴林银行这样的机构内部的一个业务单位所得到的度量指标很可能可以预告其他业务单位展开这些新控制的期望速度。也许，我们甚至可以推算需要多长时间能够发现和终止Leeson对期货和期权结算的非授权访问。 投资度量指标 类似，如果跟踪与一个用于改善访问控制的计划相关的成本，对于前面所描述的任何（或所有）度量指标，都可以得出每单位改进的成本。如果开销率是个常量，并且一个度量指标逼近它的目标（例如100%）的速度开始慢下来，每单位改进的成本就会上升。使用预报模型，可以推算实现其他控制目标（例如95%、96%等）时将耗费的成本。当然，在Leeson的案子中，很容易（凭借事后诸葛）实现只需要很少的开销就能使BSS的身份和访问管理系统得到有效的控制。 处理效果度量指标 为了得出处理效果度量指标，可以运行一个时间序列度量指针，对“处理”前后的效果进行比较。我们可以使用基本的统计分析进行无效假设的测试，在这个例子中就是指任何被检测到的变化仅仅是由于几率的原因，“处理”没有产生任何区别。 例如，假设在启动针对一个指定业务单位的访问控制项目之前，巴林银行决定收集一些与访问相关的安全事件的度量指标。像安全事件之间的平均时间（MTBSI）或修补安全事件的平均时间（MTTRSI）这样的度量指标来显示被观察的访问安全事件的频率和影响。这些基本值（时间序列“之前”）可以与部署了访问控制之后（时间序列“之后））的相同指标进行比较。是不是有所改进呢？改进的幅度大不大（还是纯粹由于几率所致）？统计上的显著结果将使我们确信这些改进是由于部署了访问控制所致。 通过时间序列“之前”和“之后”的数据，巴林银行就得到了铁的事实，可以用它来评估处理方案的有效性。另外，它可以向审核者提供坚实的数据，因此可以通过一个初始的审核或者清除一个负面的发现。随着时间的过去，将会收集越来越多的结果，因此通过统计所得到的信心会进一步增强，对处理效果的量化也会进一步的完善。最后（由于数据的缺乏，这可以仅仅是个猜测），他们可能会避免这个最终导致巴林银行破产的重大访问控制事件。 收集测试数据、计算度量指标并对结果进行分析是没有问题的，但是如果不在正确的时间把这些发现与正确的对象进行交流，使后者可以做出更好的决策，那么这些活动就没有什么价值。对于巴林银行而言，很容易断定高层管理层很可能没有阅读与访问控制事件相关的详细报告，或者说并不了解我们刚刚所描述的详细技术度量指标。他们所看到的很可能只是一个包含基本区域列表的圆盘，上面用一些颜色代码标记了各个区域，例如用红色表示差，用黄色表示警告，用绿色表示没问题。负责每个区域的经理将根据他们对我刚刚所描述的度量指标的理解设置颜色代码。 当经理们负责跟踪和报告安全漏洞时，他们面临很艰险的选择。报告问题是一把双刃剑，它既可以带来潜在的收益，因为上级可能会调拨专款解决这个问题。它也可能对声誉造成损害，因为上级可能会追究为什么会发生这种问题。这种声誉损害实际上类似一些（但不是全部）健康监护的情况。使用度量指标可以避免这种两难的局面，因为它要求经理与他们的上司共享信息，上司可以通过与其他经理进行比较，独立地评估经理们的工作实绩。具有讽刺意味的是，上司可能会拒绝与部门或公司之外的人共享这些信息，因为他们害怕被拿来与同一个市场系统的同级人物进行比较。 当然，对于BSS业务单位或远东公司而言，Nick Leeson的账户以及在诸如前面所描述的度量指标上的评分至少得用黄色表示。如果长时间维持黄色而没有改进，将会引发领导层进行某种类型的调查，除非有理由说明Leeson的账户已经进行了审核并证明没有发现什么问题。 可以确定，任何类型的审核都可以震慑或终止Leeson的未授权活动。另外，这样的审核并不需要对复杂的金融衍生品、套利或高层的数字模型有深入的了解。