Cuando los atacantes son contratados: la nueva crisis de identidad de hoy
¿Qué pasa si el ingeniero suerte que acabas de contratar no es positivamente un empleado, sino un atacante disfrazado? Esto no es phishing; Es infiltración por incorporación.
Conozca a “Jordan de Colorado”, que tiene un currículum esforzado, referencias convincentes, una demostración de informes limpios, incluso una huella digital que se verifica.
El primer día, Jordan inicia sesión por correo electrónico y asiste al standup semanal, recibiendo una cálida bienvenida del equipo. En cuestión de horas, tienen llegada a Repos, carpetas de proyectos, incluso algunas teclas de incremento de copias/pegadas para usar en su tubería.
Una semana luego, los boletos se cierran más rápido, y todos están impresionados. Jordan hace observaciones perspicaces sobre el medio hábitat, la pila tecnológica, qué herramientas están mal configuradas y que las aprobaciones son estampadas de liga.
Pero Jordan no era Jordan. Y esa estera roja que bienvenida el equipo se extendió fue el equivalente a una picaporte dorada, entregada directamente al adversario.
Desde phishing a contrataciones falsas
La estafa moderna no es un enlace malvado en su bandeja de entrada; Es un inicio de sesión permitido internamente de su estructura.
Si admisiblemente el phishing sigue siendo una amenaza seria que continúa creciendo (especialmente con el aumento de los ataques impulsados por la IA), es un camino de ataque admisiblemente conocido. Las organizaciones han pasado abriles endureciendo las puertas de entrada por correo electrónico, capacitando a los empleados para declarar e informar contenido malvado y ejecutar pruebas de phishing internas.
Nos defendemos a una avalancha de correos electrónicos de phishing diariamente, ya que ha habido un aumento del 49% en el phishing desde 2021, y un aumento de 6.7x en los modelos de idiomas grandes (LLM) que se utiliza para suscitar correos electrónicos con señuelos convincentes. Se está volviendo significativamente más viable para los atacantes ejecutar ataques de phishing.
Pero no es así como Jordan entró. A pesar de las numerosas defensas apuntadas al correo electrónico, Jordan entró con el papeleo de medios humanos.
¿Por qué la contratación de fraude es un problema ahora?
La contratación remota se ha corto rápidamente en los últimos abriles. Las industrias han descubierto que es posible un trabajo 100% remoto, y los empleados ya no necesitan oficinas con perímetros físicos (y fácilmente defendibles). Adicionalmente, existen medios talentosos en cualquier parte del planeta. Contratar de forma remota significa que las organizaciones pueden beneficiarse de un corro de contratación ampliado, con el potencial de más calificaciones y habilidades. Pero la contratación remota todavía elimina las protecciones intuitivas y naturales de las entrevistas en persona, creando una nueva transigencia para los actores de amenazas.
Hoy, la identidad es el nuevo perímetro. Y eso significa que su perímetro puede ser falsificado, hacerse suplantado o incluso generado por IA. Las referencias pueden ser falsificadas. Las entrevistas pueden ser entrenadas o representadas. Las caras y las voces se pueden suscitar (o en profundidad)  por AI. Un adversario incógnito ahora puede aparecer convincentemente como “Jordan de Colorado” y obtener una estructura para darles las llaves del reino.
Contratación de fraude en la naturaleza: los operativos de “contratar” remotos de Corea del Septentrión
La amenaza de fraude de contratación remota no es poco que estamos viendo en el horizonte o imaginar en historias aterradoras cerca de de la fogata.
Un crónica publicado en agosto de este año reveló más de 320 casos de operativas norcoreanas que se infiltraron en empresas al hacerse tener lugar por trabajadores de TI remotos con identidades falsas y currículums pulidos. Ese único ejemplo ha manido un aumento del 220% año tras año, lo que significa que esta amenaza está aumentando rápidamente., Lo que significa que esta amenaza está aumentando rápidamente.
Muchos de estos agentes de Corea del Septentrión utilizaron perfiles generados por IA, defectos profundos y manipulación de IA en tiempo efectivo para aprobar entrevistas y protocolos de investigación. Un caso incluso involucró a cómplices estadounidenses que operaban “granjas portátiles” para proporcionar a los operativos configuraciones físicas de los EE. UU., Máquinas emitidas por la empresa y direcciones e identidades domésticas. A través de este esquema, pudieron robar datos y canalizar los salarios al régimen de Corea del Septentrión, todo mientras evadía la detección.
Estos siquiera son acrobacias hacktivistas aisladas. Las investigaciones han identificado esto como una campaña sistemática, a menudo dirigida a las compañías Fortune 500.
El problema del castillo y el foso
Muchas organizaciones responden en exceso: “Quiero que toda mi empresa esté tan bloqueada como mi expediente más sensible”.
Parece sensato, hasta que el trabajo se ralentiza. Sin controles matizados que permitan que sus políticas de seguridad distinguen entre flujos de trabajo legítimos y exposición innecesaria, simplemente aplicar controles rígidos que bloquean todo en toda la estructura molerán la productividad. Los empleados necesitan llegada para hacer su trabajo. Si las políticas de seguridad son demasiado restrictivas, los empleados encontrarán soluciones o solicitarán continuamente excepciones.
Con el tiempo, el aventura se arrastra a medida que las excepciones se convierten en la norma.
Esta colección de excepciones internas lo empuja lentamente cerca de el enfoque de “el castillo y el foso”. Las paredes están fortificadas desde el foráneo, pero se abren en el interior. Y dar a los empleados la secreto para desbloquear todo internamente para que puedan hacer su trabajo significa que todavía le está dando uno a Jordan.
En otras palabras, cercar todo de la forma incorrecta puede ser tan peligroso como dejarlo despejado. La esforzado seguridad debe tener en cuenta y adaptarse al trabajo del mundo efectivo, de lo contrario, colapsa.
Cómo conquistar un cero privilegios estados y cercar nuevas contrataciones fraudulentas sin la compensación
Todos hemos oreja murmurar de Zero Trust: Nunca confíe, siempre verifique. Esto se aplica a todas las solicitudes, cada vez, incluso luego de que algún ya está “adentro”.
Ahora, con nuestro nuevo perímetro, tenemos que ver este entorno de seguridad a través de la lentilla de identidad, lo que nos lleva al concepto de cero privilegios permanentes (ZSP).
A diferencia del maniquí Castle, que bloquea todo indiscriminadamente, se debe construir un estado ZSP cerca de de la flexibilidad con barandillas:
- No siempre llegada a la vez por defecto – La columna de almohadilla para cada identidad es siempre el llegada minúsculo requerido para funcionar.
- JIT (preciso en el tiempo) + Jep (justo-suficiente-privilegio)–El llegada adicional toma la forma de un pequeño permiso de difusión que existe solo cuando sea necesario, para la duración finita necesaria, y luego se revoca cuando se realiza la tarea.
- Auditoría y responsabilidad – Cada subvención y revocación se registra, creando un registro transparente.
Este enfoque cierra la brecha que dejó el problema del castillo. Asegura que los atacantes no puedan abandonarse en el llegada persistente, mientras que los empleados aún pueden avanzar rápidamente a través de su trabajo. Hecho admisiblemente, un enfoque ZSP alinea la productividad y la protección en espacio de forzar una votación entre ellos. Aquí hay algunos pasos tácticos más que los equipos pueden tomar para eliminar el llegada permanente en toda su estructura:
La cinta de demostración de privilegios de cero permanentes
Inventario y líneas de almohadilla:
Solicitar – aprobar – eliminar:
Auditoría y evidencia completas
Tomando medidas: comience a poco, gane rápido
Una forma experiencia de comenzar es pilotando ZSP en su sistema más sensible durante dos semanas. Mida cómo fluyen las solicitudes de llegada, aprobaciones y auditorías en la experiencia. Las victorias rápidas aquí pueden suscitar impulso para una admisión más amplia y demostrar que la seguridad y la productividad no tienen que estar en desacuerdo.
Beyondtrust Entitle, una posibilidad de oficina de llegada a la cúmulo, permite un enfoque ZSP, que proporciona controles automatizados que mantienen cada identidad al nivel minúsculo de privilegios, siempre. Cuando el trabajo exige más, los empleados pueden recibirlo a pedido a través de flujos de trabajo auditables vinculados en el tiempo. Solo se otorga suficiente llegada preciso a tiempo y luego se elimina.
Al tomar medidas para operacionalizar los privilegios de cero permanentes, usted permite que los usuarios legítimos se muevan rápidamente, sin dejar privilegios persistentes por ahí para que Jordan los encuentre.
¿Vivo para comenzar? Haga clic aquí para obtener una evaluación gratuita del equipo rojo de su infraestructura de identidad.
Nota: Este artículo fue escrito por expertos y contribuido por David Van Heerden, Apoderado de Marketing de Productos Sr. David Van Heerden, un autodenominado petimetre de películas en caudillo de Nerd, Metalhead y Wannabe, ha trabajado en él durante más de 10 abriles, agudizando sus habilidades técnicas y desarrollando una sagacidad para convertir los conceptos complejos de TI y seguridad en temas claros y orientados al valencia. En Beyondtrust, ha asumido el rol del jefe de marketing de productos Sr., liderando la logística de marketing de derechos.
