舞弊与管理不善的金融体系有关

本文由ACFE China校对翻译，如需转载，请提前告知。

访问权限/身份控制是数据安全的一个基本组成部分，它决定了谁有访问和使用公司信息和资源的权限。然而，组织机构仍然缺乏必要的保护措施，为舞弊分子利用其系统开了方便之门。在这里，作者们将审视最新的IT资源，以遏制这些罪犯。

在另一起舞弊案件中，一名在宜家从事电话和邮购业务工作的男子通过向自己退还顾客的购物退款，赚取了可观的利润。当他被抓获时，苏拉杰·S·萨马鲁在不到一年的时间里，从马里兰州罗斯代尔的宜家直销分店偷走了近40万美元。

根据一篇新闻文章的报道，并不是宜家公司发现了他的舞弊行为——Samaroo是在他的银行注意到他账户上的异常存款并向警方报告可疑活动后被抓获的。在做出完全的自供并承认“纯粹的贪婪”之后，Samaroo认罪并被判犯有重大盗窃罪。（参见“宜家员工承认盗窃40万美元”，马里兰州每日记录，2008年11月20日。）

作为一名注册舞弊审查师（CFE），我看到了访问权限/身份控制的演变——从测试我的客户的密码安全性、审查他们的保护政策和程序、执行职责分离研究，到当前本地和基于云的身份审计程序的激增。

然而，我们仍在经历内部和外部舞弊的爆发，这些组织似乎有一个共同的线索：他们缺乏对访问权限的控制，或者他们没有适当利用本应用于管理这些身份和做法的IT资源。当涉及到故意歪曲财务报表或挪用组织资产时，情况尤其如此。

与介绍性案件一样，财务报表舞弊和贪污是白领犯罪，通常由内部人员实施，目的是歪曲组织的财务状况或掩盖挪用资金的行为。舞弊者的动机可能是个人利益，例如基于业绩的薪酬。他们可能试图通过误导潜在投资者来提高公司的声誉。或者，他们可能只是将舞弊作为一种拖延战术，直到财务错误和损失得到适当纠正。

财务报表舞弊和挪用资金是机会犯罪。内部控制不严、手工会计系统或者不诚实和过于激进的领导者的公司更容易成为受害者。打击财务报表舞弊的关键在于预防。使用本地和基于云的身份审计程序有助于通过控制内部人员（如客户、员工和顾问）的权限，并通过消除或管理所有潜在的关键身份漏洞和控制内部人员的权限，阻止外部人员访问您的系统，从而减少欺诈行为的发生。

首先，让我们来看一下内部人员身份利用漏洞的概述，这在许多反舞弊调查中将起到关键作用。它们展示了为什么用户访问审查在阻止舞弊者的攻击进展到组织网络各个部分之前非常重要。

• 幽灵账户：不再在企业工作但仍有活跃账户的用户的账户。内部和外部的黑客都喜欢这些账户，因为他们倾向于避免审查过程，他们可以随意操纵这些被忽视的账户。

• 特权蠕变：当员工改变组织内的工作职责并被授予新的特权时，通常会发生这种情况。虽然员工在过渡期间可能需要保留他们以前的特权，但这些特权很少被撤销，并导致不必要的访问特权积累

• 未经授权的访问：用户帐户或服务对不适当的资源具有逻辑或物理访问权限。这违反了最小特权原则，这是一种安全最佳实践（由美国国家标准技术研究所定义），规定用户不应该访问超出执行分配给他们的任务所需的数据和资源。必须识别并删除此类帐户。识别这种未经授权的访问的最佳做法是对权限进行访问审查，并对日志和其他控件进行审查。

• 权限提升：用户被提升到为更高级别的访问保留的权限，例如管理员权限，但这些权限不适合用户。特权升级既是内部威胁，也是外部威胁。外部黑客通常会创建或征用现有的内部帐户，然后出于恶意目的升级特权。

• 横向移动：一种用于在网络内横向移动以获取额外资源和潜在敏感数据的策略。它通常是在攻击者接管内部帐户并升级帐户权限后执行的。了解横向移动是所谓网络杀伤链的关键部分，这个过程追踪网络攻击的各个阶段，以帮助对抗这些威胁。洛克希德·马丁公司于2011年开发了网络杀人链，以帮助确定黑客调查、渗透和泄露网络受害者数据的常见步骤。这就是在帐户可以在网络中移动之前，对用户帐户的用户访问审查对于阻止攻击的进展如此重要的原因。

现在，让我们研究一下外部身份利用。以下是攻击者如何开始和完成外部黑客进入受损企业之旅的关键方面。

• 侦察：外部黑客破坏系统的第一步。这被称为网络杀伤链中的侦察步骤。黑客试图识别系统、网络和应用程序的类型和版本，然后映射所谓的CVE或常见漏洞和暴露，以攻击这些系统并开始利用过程。

• 渗透：一旦黑客进入，他们的目标将是把敏感信息拿出来。他们可能会勒索或卖给出价最高的人。无论他们做什么，一旦他们能把数据拿出来，这些数据就会脱离组织的控制。防止这种情况发生是网络安全的首要目标之一。通过了解网络杀伤链，组织可以了解黑客是如何进行网络攻击的。应该消除这些漏洞，在黑客造成严重破坏之前阻止他们。

• 拒绝服务：通过内部或外部机制对资源进行的攻击。外部攻击通常涉及被发送来消耗网络和应用程序资源以压倒系统的机器人。这通常是通过大量机器人在协调的时间内协同攻击目标来完成的，称为分布式拒绝服务（DDOS）攻击。

• 反取证：“掩盖你的行踪”的概念。黑客会尽其所能从数据日志中删除他们所做努力的任何证据。这就是为什么日志不能成为查看系统中状态更改的唯一方法。定期对角色进行“及时状态”比较将有助于提醒安全团队权限更改和权限升级。

财务报告技术并不新鲜，在某些情况下可以追溯到IT行业的原始驱动因素。太多的公司仍然在会计实践中使用电子表格及其衍生工具。然而，许多其他组织已经成熟到可以提供更具可扩展性和可扩展性的IT金融服务。这些工具现在大多基于云，允许企业核算业务的所有财务方面，包括应收账款、应付账款、所有者权益、费用和其他。

这些软件工具不会自行管理。企业需要对用户、权限和权利进行制衡，以确保系统中不会存在舞弊行为。

企业通常擅长建立用户的角色并设置系统来确保用户能够从这些工具中获得基本功能。但通常在这个实施过程中就停止了。系统可以正常运作，用户可以以最小的报告量输入信息。但是，管理方面呢？谁来检查参与支出的人员是否也在创建有关付款对象的报告呢？

需要注意的是，特别是基于角色的管理，并没有内置在这些工具中。在使用这些工具之前，应该由专业人士建立最佳实践和流程，帮助决策者了解这些工具的功能，然后将其映射到可执行的身份角色上。

与许多努力一样，最好是借鉴外部的实践和流程来解决困扰金融应用领域的治理问题。有专门设计用于所谓的身份治理和管理（IGA）的工具。这些工具以各种方式与企业现有的身份资源集成（这些身份工具被称为身份和访问管理，或IAM）。从历史上看，大多数IAM产品是独立的，几乎没有内置的治理功能。它们提供访问权限，但很少进行访问权限测试。

为此，网络世界创建了整个软件，以解决IAM系统授予的身份和访问权限的治理。公司应采用这些IGA计划以及周围的实践和程序来保护其金融系统。当正确使用时，IGA会汇总有关可以访问这些工具的用户的所有权利信息。其中包括用户，角色，权限和属性。业务线经理需要审查此信息并确定每个用户是否有权限访问。

以下建议为任何实体开始保护其访问/身份控制提供了一个简单的指南。首先，企业应该量化财务信息访问权限的应用程序，以及数据源和哪些帐户可以访问这些资源。然后，企业应使用现代IGA工具：

• 立即审查这些资源的访问权限。

• 清除幽灵账户。

• 清除未经授权的访问。

• 定期清理并复盘。

需要注意的是，像Sarbanes-Oxley这样的法规要求您每年审查这些资源。但这已经过时了。如果不是每月，也应该至少每季度对角色进行一次审查。这应该是首要任务，尤其是考虑到许多组织在其治理风险和合规计划中仍然依赖手动流程。企业必须通过直接使用用户访问审查工具，或者要求其托管服务部署一种使这些审查变得简单和可重复的工具来加强他们的游戏。