Cuando los atacantes son contratados: la nueva crisis de identidad de hoy
¿Qué pasa si el ingeniero sino que acabas de contratar no es efectivamente un empleado, sino un atacante disfrazado? Esto no es phishing; Es infiltración por incorporación.
Conozca a «Jordan de Colorado», que tiene un currículum cachas, referencias convincentes, una demostración de circunstancias limpios, incluso una huella digital que se verifica.
El primer día, Jordan inicia sesión por correo electrónico y asiste al standup semanal, recibiendo una cálida bienvenida del equipo. En cuestión de horas, tienen camino a Repos, carpetas de proyectos, incluso algunas teclas de progreso de copias/pegadas para usar en su tubería.
Una semana a posteriori, los boletos se cierran más rápido, y todos están impresionados. Jordan hace observaciones perspicaces sobre el medio entorno, la pila tecnológica, qué herramientas están mal configuradas y que las aprobaciones son estampadas de condón.
Pero Jordan no era Jordan. Y esa estera roja que bienvenida el equipo se extendió fue el equivalente a una picaporte dorada, entregada directamente al adversario.
Desde phishing a contrataciones falsas
La estafa moderna no es un enlace zorro en su bandeja de entrada; Es un inicio de sesión genuino adentro de su estructura.
Si adecuadamente el phishing sigue siendo una amenaza seria que continúa creciendo (especialmente con el aumento de los ataques impulsados por la IA), es un camino de ataque adecuadamente conocido. Las organizaciones han pasado abriles endureciendo las puertas de entrada por correo electrónico, capacitando a los empleados para declarar e informar contenido zorro y ejecutar pruebas de phishing internas.
Nos defendemos a una avalancha de correos electrónicos de phishing diariamente, ya que ha habido un aumento del 49% en el phishing desde 2021, y un aumento de 6.7x en los modelos de idiomas grandes (LLM) que se utiliza para crear correos electrónicos con señuelos convincentes. Se está volviendo significativamente más factible para los atacantes ejecutar ataques de phishing.
Pero no es así como Jordan entró. A pesar de las numerosas defensas apuntadas al correo electrónico, Jordan entró con el papeleo de bienes humanos.
¿Por qué la contratación de fraude es un problema ahora?
La contratación remota se ha estrecho rápidamente en los últimos abriles. Las industrias han descubierto que es posible un trabajo 100% remoto, y los empleados ya no necesitan oficinas con perímetros físicos (y fácilmente defendibles). Por otra parte, existen bienes talentosos en cualquier parte del planeta. Contratar de forma remota significa que las organizaciones pueden beneficiarse de un familia de contratación ampliado, con el potencial de más calificaciones y habilidades. Pero la contratación remota incluso elimina las protecciones intuitivas y naturales de las entrevistas en persona, creando una nueva comprensión para los actores de amenazas.
Hoy, la identidad es el nuevo perímetro. Y eso significa que su perímetro puede ser falsificado, hacerse suplantado o incluso generado por IA. Las referencias pueden ser falsificadas. Las entrevistas pueden ser entrenadas o representadas. Las caras y las voces se pueden crear (o en profundidad)  por AI. Un adversario ignorado ahora puede aparecer convincentemente como «Jordan de Colorado» y obtener una estructura para darles las llaves del reino.
Contratación de fraude en la naturaleza: los operativos de «contratar» remotos de Corea del Ideal
La amenaza de fraude de contratación remota no es poco que estamos viendo en el horizonte o imaginar en historias aterradoras más o menos de la fogata.
Un crónica publicado en agosto de este año reveló más de 320 casos de operativas norcoreanas que se infiltraron en empresas al hacerse sobrevenir por trabajadores de TI remotos con identidades falsas y currículums pulidos. Ese único ejemplo ha gastado un aumento del 220% año tras año, lo que significa que esta amenaza está aumentando rápidamente., Lo que significa que esta amenaza está aumentando rápidamente.
Muchos de estos agentes de Corea del Ideal utilizaron perfiles generados por IA, defectos profundos y manipulación de IA en tiempo vivo para aprobar entrevistas y protocolos de investigación. Un caso incluso involucró a cómplices estadounidenses que operaban «granjas portátiles» para proporcionar a los operativos configuraciones físicas de los EE. UU., Máquinas emitidas por la empresa y direcciones e identidades domésticas. A través de este esquema, pudieron robar datos y canalizar los salarios al régimen de Corea del Ideal, todo mientras evadía la detección.
Estos siquiera son acrobacias hacktivistas aisladas. Las investigaciones han identificado esto como una campaña sistemática, a menudo dirigida a las compañías Fortune 500.
El problema del castillo y el foso
Muchas organizaciones responden en exceso: «Quiero que toda mi empresa esté tan bloqueada como mi memorial más sensible».
Parece sensato, hasta que el trabajo se ralentiza. Sin controles matizados que permitan que sus políticas de seguridad distinguen entre flujos de trabajo legítimos y exposición innecesaria, simplemente aplicar controles rígidos que bloquean todo en toda la estructura molerán la productividad. Los empleados necesitan camino para hacer su trabajo. Si las políticas de seguridad son demasiado restrictivas, los empleados encontrarán soluciones o solicitarán continuamente excepciones.
Con el tiempo, el aventura se arrastra a medida que las excepciones se convierten en la norma.
Esta colección de excepciones internas lo empuja lentamente en torno a el enfoque de «el castillo y el foso». Las paredes están fortificadas desde el exógeno, pero se abren en el interior. Y dar a los empleados la secreto para desbloquear todo adentro para que puedan hacer su trabajo significa que incluso le está dando uno a Jordan.
En otras palabras, rodear todo de la guisa incorrecta puede ser tan peligroso como dejarlo destapado. La cachas seguridad debe tener en cuenta y adaptarse al trabajo del mundo vivo, de lo contrario, colapsa.
Cómo ganar un cero privilegios estados y rodear nuevas contrataciones fraudulentas sin la compensación
Todos hemos oreja dialogar de Zero Trust: Nunca confíe, siempre verifique. Esto se aplica a todas las solicitudes, cada vez, incluso a posteriori de que cierto ya está «adentro».
Ahora, con nuestro nuevo perímetro, tenemos que ver este entorno de seguridad a través de la monóculo de identidad, lo que nos lleva al concepto de cero privilegios permanentes (ZSP).
A diferencia del maniquí Castle, que bloquea todo indiscriminadamente, se debe construir un estado ZSP más o menos de la flexibilidad con barandillas:
- No siempre camino a la vez por defecto – La segmento de almohadilla para cada identidad es siempre el camino minúsculo requerido para funcionar.
- JIT (puntual en el tiempo) + Jep (justo-suficiente-privilegio)–El camino adicional toma la forma de un pequeño permiso de calibre que existe solo cuando sea necesario, para la duración finita necesaria, y luego se revoca cuando se realiza la tarea.
- Auditoría y responsabilidad – Cada subvención y revocación se registra, creando un registro transparente.
Este enfoque cierra la brecha que dejó el problema del castillo. Asegura que los atacantes no puedan tener fe en el camino persistente, mientras que los empleados aún pueden avanzar rápidamente a través de su trabajo. Hecho adecuadamente, un enfoque ZSP alinea la productividad y la protección en extensión de forzar una comicios entre ellos. Aquí hay algunos pasos tácticos más que los equipos pueden tomar para eliminar el camino permanente en toda su estructura:
La serie de demostración de privilegios de cero permanentes
Inventario y líneas de almohadilla:
Solicitar – aprobar – eliminar:
Auditoría y evidencia completas
Tomando medidas: comience a poco, gane rápido
Una forma destreza de comenzar es pilotando ZSP en su sistema más sensible durante dos semanas. Mida cómo fluyen las solicitudes de camino, aprobaciones y auditorías en la destreza. Las victorias rápidas aquí pueden crear impulso para una acogida más amplia y demostrar que la seguridad y la productividad no tienen que estar en desacuerdo.
Beyondtrust Entitle, una alternativa de despacho de camino a la cirro, permite un enfoque ZSP, que proporciona controles automatizados que mantienen cada identidad al nivel minúsculo de privilegios, siempre. Cuando el trabajo exige más, los empleados pueden recibirlo a pedido a través de flujos de trabajo auditables vinculados en el tiempo. Solo se otorga suficiente camino puntual a tiempo y luego se elimina.
Al tomar medidas para operacionalizar los privilegios de cero permanentes, usted permite que los usuarios legítimos se muevan rápidamente, sin dejar privilegios persistentes por ahí para que Jordan los encuentre.
¿Sagaz para comenzar? Haga clic aquí para obtener una evaluación gratuita del equipo rojo de su infraestructura de identidad.
Nota: Este artículo fue escrito por expertos y contribuido por David Van Heerden, Jefe de Marketing de Productos Sr. David Van Heerden, un autodenominado pedante de películas en genérico de Nerd, Metalhead y Wannabe, ha trabajado en él durante más de 10 abriles, agudizando sus habilidades técnicas y desarrollando una astucia para convertir los conceptos complejos de TI y seguridad en temas claros y orientados al valía. En Beyondtrust, ha asumido el rol del directivo de marketing de productos Sr., liderando la logística de marketing de derechos.
