Cuando se contrata a los atacantes: la nueva crisis de identidad de hoy
¿Qué pasa si el ingeniero estrella que acabas de contratar es en realidad un atacante disfrazado, no un empleado? Esto no es phishing. Es la penetración a través de la incorporación.
Conozca a «Jordan, Colorado» con un currículum fuerte, referencias persuasivas, una verificación de antecedentes limpios y una huella digital para visitar.
El primer día, Jordan inicia sesión en su correo electrónico, participa en stand-ups semanales y recibe una cálida bienvenida de su equipo. En cuestión de horas, tendrá acceso al repositorio, las carpetas de proyectos y las claves de desarrollo de copiar/pegar en su canalización.
Una semana después, los boletos se acercaron más rápido y todos quedaron impresionados. Jordan ha realizado una observación perspicaz de la pila de tecnología, donde el medio ambiente, las herramientas son malentendidas y qué aprobaciones están estampadas con caucho.
Sin embargo, Jordan no era Jordan. Y dimos la bienvenida al equipo de que la alfombra roja desplegada era el equivalente de Golden Key y se entregó directamente al enemigo.
Del phishing al empleo falso
Las estafas modernas no son enlaces maliciosos a su bandeja de entrada. Iniciar sesión legal dentro de la organización.
El phishing sigue siendo una amenaza grave que continúa creciendo (particularmente con el aumento de los ataques impulsados por la IA), pero es una ruta de ataque bien conocida. Las organizaciones han pasado años fortaleciendo las puertas de entrada por correo electrónico, capacitando a los empleados para reconocer e informar contenido malicioso y ejecutar pruebas internas de phishing.
Protege contra las inundaciones diarias del correo electrónico de phishing a medida que el phishing ha aumentado en un 49% desde 2021, y los modelos de lenguaje a gran escala (LLM) han aumentado en 6.7 veces para generar correos electrónicos con señuelos convincentes. Es mucho más fácil para los atacantes llevar a cabo ataques de phishing.
Pero no es así como entró Jordan. Jordan se unió a los documentos de recursos humanos a pesar de que muchas defensas señalaron el correo electrónico.
¿Por qué la contratación de fraude es ahora el problema?
El empleo remoto ha crecido rápidamente en los últimos años. La industria ha descubierto que el trabajo 100% remoto es posible y que los empleados ya no necesitan oficinas con límites físicos (y fácilmente defendibles). Además, existen recursos talentosos en todas partes del planeta. Emplear de forma remota significa que las organizaciones pueden beneficiarse de expandir su grupo de empleo, con más calificaciones y potencial de habilidades. Sin embargo, el empleo remoto también elimina las protecciones intuitivas y naturales de las entrevistas cara a cara, creando una nueva apertura para los actores de amenazas.
Hoy, la identidad es un nuevo límite. Y eso significa que puede forjar, hacerse pasar por o incluso generar sus límites en la IA. Las referencias pueden ser falsificadas. La entrevista puede recibir un entrenador o un poder. Las caras y las voces pueden generar (o profundidad) generadas por AI. Los enemigos anónimos aparecen persuasivamente como «Jordania de Colorado» y pueden dar a las organizaciones la clave de su reino.
Contratación de fraude en la naturaleza: operativos de «empleo» remotos de Corea del Norte
La amenaza del fraude laboral remoto no es algo que imaginamos en el horizonte o en las horribles historias de la fogata.
Un informe publicado en este agosto reveló que más de 320 casos de agentes de Corea del Norte impregnan negocios al pretender ser trabajadores de TI remotos con identidades falsas y currículums sofisticados. En ese único ejemplo, esta amenaza está aumentando rápidamente, ya que ha aumentado un 220% interanual. En otras palabras, esta amenaza está aumentando rápidamente.
Muchos de estos agentes de Corea del Norte utilizaron perfiles generados por IA, defectos profundos y operaciones de IA en tiempo real para aprobar protocolos de entrevistas y revisar. En un caso, un cómplice estadounidense que dirige una «granja de computadoras portátiles» operaba una «granja de computadoras portátiles» para proporcionar una configuración física de los Estados Unidos, una máquina emitida por la empresa y una dirección e identidad doméstica. A través de este esquema, pudieron robar datos y devolver sus salarios al régimen de Corea del Norte.
Estos tampoco son acrobacias hatitivistas aisladas. La investigación ha identificado esto como una campaña sistemática, a menudo dirigida a las empresas Fortune 500.
El problema de los castillos y los fantasmas
Muchas organizaciones respondieron con exceso de corrección de que «mi empresa en su conjunto quiere ser bloqueada tanto como mis recursos más sensibles».
Eso parece sabio, hasta que el trabajo sea lento para gatear. Sin los controles sutiles que permiten que las políticas de seguridad distinguen entre flujos de trabajo legítimos y exposición innecesaria, simplemente aplicar controles de rigidez que bloquean todo en toda su organización detendrán la productividad. Los empleados necesitan acceso para hacer su trabajo. Si la política de seguridad es demasiado restrictiva, los empleados encontrarán soluciones o solicitarán excepciones de forma continua.
Con el tiempo, a medida que las excepciones se vuelven estándar, el riesgo se eleva.
Esta colección de excepciones internas lo empuja lentamente hacia el enfoque de «castillo y foso». Las paredes están reforzadas desde el exterior, pero el interior está abierto. Y dar a los empleados la clave para desbloquear todo adentro y pueden hacer su trabajo significa que se lo está dando a Jordania.
En otras palabras, bloquear todo de la manera incorrecta es tan peligroso como dejarlo abierto. La fuerte seguridad debe explicar y adaptarse al trabajo del mundo real. De lo contrario, colapsará.
Cómo lograr privilegios cero bloquean nuevos reclutas fraudulentos sin compensaciones con el estado y las compensaciones
Todos hemos oído hablar de la confianza de Zero: nunca confíe, siempre verifique. Esto se aplica a cada solicitud cada vez, incluso después de que alguien ya se haya vuelto «interno».
Ahora, necesitamos usar el nuevo perímetro para ver este marco de seguridad a través de la lente de identidad. Esto da como resultado el concepto de privilegio permanente cero (ZSP).
A diferencia de los modelos de castillos que bloquean todo indiscriminadamente, el estado ZSP debe construirse alrededor de la flexibilidad de la barandilla.
Por defecto, no es necesario acceder siempre: la línea de base de todas las identidades es el acceso mínimo necesario para funcionar siempre. JIT (justo en el tiempo) + JEP (Just-Enugh-Privilege): el acceso adicional toma la forma de permisos de alcance pequeños que existen solo cuando se requiere el período requerido y se revoca cuando la tarea se completa. Auditoría y responsabilidad: se registran todas las subvenciones y cancelaciones y se crea un registro transparente.
Este enfoque cierra la brecha que dejó el problema del castillo. Asegura que los atacantes no puedan confiar en el acceso permanente, pero los empleados pueden mover su trabajo rápidamente. El enfoque ZSP coordina la productividad y la protección en lugar de hacer cumplir esas opciones. A continuación se presentan algunos pasos tácticos que un equipo puede tomar para eliminar el acceso permanente en toda la organización.
Lista de verificación de privilegio de cero permanente
Stock y línea de base:
Solicitud – Aprobación – Eliminar:
Auditoría y evidencia completa
Actúa: comience a poco y gane rápidamente
Una forma práctica de comenzar es pilotar el ZSP en su sistema más sensible durante dos semanas. Mida cómo fluyen las solicitudes de acceso, aprobaciones y auditorías. Una victoria rápida aquí puede generar impulso para un reclutamiento más amplio y demostrar que la seguridad y la productividad no tienen que estar en desacuerdo.
Beyondtrust Attlutle, la solución de gestión de acceso a la nube, permite el enfoque ZSP y proporciona un control automatizado que mantiene todas las identidades en el nivel más bajo de privilegios en todo momento. Cuando se solicita más trabajo, los empleados pueden recibirlo a pedido a través de flujos de trabajo auditables con límites de tiempo. Se le otorgará suficiente acceso dentro del límite de tiempo y se eliminará.
Al tomar medidas para operar privilegios cero, los usuarios legítimos pueden moverse rápidamente.
¿Listo para comenzar? Haga clic aquí para obtener una calificación gratuita del equipo rojo para la infraestructura de identidad.
Nota: Este artículo fue escrito hábilmente y contribuido por David Van Heerden, Gerente de Marketing de Productos Sr. David Vanhierden, un autoproclamado nerd, metalhead y aspirante a cine, David Vanhierden ha trabajado en él durante más de una década, perfeccionando sus habilidades técnicas y desarrollando consejos para convertir los conceptos complejos de TI y seguridad en temas claros y orientados al valor. En Beyondtrust, asume el papel del gerente de marketing de productos Sr. y lidera la estrategia de marketing de certificación.
Source link
