Saldırganlar işe alındığında: Bugünün Yeni Kimlik Krizi
Ya işe aldığınız yıldız mühendisi aslında bir çalışan değil, kılık değiştirmiş bir saldırgan değilse? Bu kimlik avı değil; Devreye girerek sızıyor.
Güçlü bir özgeçmiş, ikna edici referanslar, temiz bir arka plan kontrolü, hatta kontrol eden dijital bir ayak izine sahip olan “Colorado’dan Ürdün” ile tanışın.
Birinci günde Ürdün e -postaya giriş yapar ve haftalık stand -up’a katılır ve takımdan sıcak bir karşılama alır. Birkaç saat içinde depolara, proje klasörlerine, hatta boru hatlarında kullanmak için bazı kopya/yapıştırılmış geliştirici anahtarlara erişebilirler.
Bir hafta sonra biletler daha hızlı yaklaşıyor ve herkes etkilendi. Ürdün, çevre, teknoloji yığını, hangi araçların yanlış yapılandırıldığı ve hangi onayların kauçuk damgalı olduğu hakkında anlayışlı gözlemler yapar.
Ama Ürdün Ürdün değildi. Ve ekibin piyasaya sürüldüğü kırmızı halı karşılama, doğrudan düşmana verilen altın bir anahtara eşdeğerdi.
Kimlik avından sahte işe alımlara
Modern con, gelen kutunuzda kötü niyetli bir bağlantı değildir; Kuruluşunuzun içinde meşru bir giriştir.
Kimlik avı hala büyümeye devam eden ciddi bir tehdit olsa da (özellikle AI odaklı saldırılardaki artışla), bu iyi bilinen bir saldırı yoludur. Kuruluşlar yıllarca e -posta ağ geçitlerini sertleştirmek, çalışanları kötü niyetli içeriği tanımak ve raporlamak için eğitmek ve dahili kimlik avı testlerini yürütmek için harcadı.
2021’den bu yana kimlik avında% 49 artış olduğu ve ikna edici yemlerle e -postalar oluşturmak için kullanılan büyük dil modellerinde (LLMS) 6,7x’lik bir artış olduğu için günlük bir kimlik avı e -postası seli karşı savunuyoruz. Saldırganların kimlik avı saldırıları yapması önemli ölçüde daha kolay hale geliyor.
Ama Ürdün böyle değildi. E -postaya işaret eden çok sayıda savunmaya rağmen Ürdün İK evraklarına girdi.
Dolandırıcılığı işe almak neden şimdi bir sorun var?
Uzaktan işe alım son birkaç yılda hızla ölçeklendi. Endüstriler,% 100 uzaktan çalışmanın mümkün olduğunu ve çalışanların artık fiziksel (ve kolayca savunulabilir) çevrelere sahip ofislere ihtiyaç duymadığını keşfettiler. Dahası, gezegenin herhangi bir yerinde yetenekli kaynaklar var. Uzaktan işe almak, kuruluşların daha fazla nitelik ve beceri potansiyeli ile genişletilmiş bir işe alım havuzundan yararlanabileceği anlamına gelir. Ancak uzak tutma, aynı zamanda yüz yüze görüşmelerin sezgisel ve doğal korumalarını ortadan kaldırarak tehdit aktörleri için yeni bir açılış yaratıyor.
Bugün kimlik yeni çevre. Ve bu, çevrenizin sahte, taklit edilebileceği veya hatta yapay zeka üretilebileceği anlamına gelir. Referanslar sahte olabilir. Röportajlar koçluk yapabilir veya proxiged olabilir. Yüzler ve sesler yapay zeka tarafından üretilebilir (veya derinlemesine). Anonim bir düşman şimdi ikna edici bir şekilde “Colorado’dan Ürdün” olarak görünebilir ve onlara krallığın anahtarlarını vermek için bir organizasyon alabilir.
Vahşi doğada sahtekarlık kiralama: Kuzey Kore’nin uzak “kiralama” operatörleri
Uzaktan işe alım sahtekarlığı tehdidi, ufukta yuvarlanır veya kamp ateşinin etrafındaki korkunç hikayelerde hayal ettiğimiz bir şey değildir.
Bu yılın Ağustos ayında yayınlanan bir raporda, sahte kimlikler ve cilalı özgeçmişleri olan uzak BT işçileri olarak poz vererek şirketlere sızan Kuzey Koreli operatörlerin 320’den fazla vakasını ortaya çıkardı. Bu tek örnek, yıldan yıla% 220 artış gördü, yani bu tehdit hızla artıyor.
Bu Kuzey Koreli operatörlerin birçoğu, röportajları ve veteriner protokollerini geçmek için AI tarafından üretilen profiller, derin yapraklar ve gerçek zamanlı AI manipülasyonu kullandı. Bir dava, operatörlere fiziksel ABD kurulumları, şirket tarafından verilen makineler ve yerli adresler ve kimlikler sağlamak için “dizüstü bilgisayar çiftlikleri” işleten Amerikan suç ortağını bile içeriyordu. Bu şema sayesinde, tespitten kaçınırken, Kuzey Kore rejimine veri çalmayı ve maaşları huni yapabildiler.
Bunlar izole hacktivist stunts da değil. Soruşturmalar bunu genellikle Fortune 500 şirketlerini hedefleyen sistematik bir kampanya olarak tanımladı.
Kale ve Hendek Sorunu
Birçok kuruluş aşırı düzelterek yanıt vererek yanıt verir: “Tüm şirketimin en hassas kaynağım kadar kilitli olmasını istiyorum.”
Mantıklı görünüyor – iş bir taramaya yavaşlayana kadar. Güvenlik politikalarınızın meşru iş akışları ve gereksiz pozlama arasında ayrım yapmasına izin veren nüanslı kontroller olmadan, sadece organizasyon boyunca her şeyi kilitleyen sert kontrollerin uygulanması, verimliliği durdurur. Çalışanların işlerini yapmak için erişime ihtiyaçları vardır. Güvenlik politikaları çok kısıtlıysa, çalışanlar ya geçici çözümler bulacaklar ya da sürekli istisnalar isteyeceklerdir.
Zamanla, istisnalar norm haline geldikçe risk sürünür.
Bu iç istisnaların koleksiyonu sizi yavaş yavaş “Kale ve Hendek” yaklaşımına geri iter. Duvarlar dışarıdan güçlendirilir, ancak içeride açıktır. Ve çalışanlara işlerini yapabilmeleri için içerideki her şeyin kilidini açmak için anahtar vermek, Ürdün’e de bir tane verdiğiniz anlamına gelir.
Başka bir deyişle, her şeyi yanlış şekilde kilitlemek, onu açık bırakmak kadar tehlikeli olabilir. Güçlü güvenlik, gerçek dünyadaki çalışmayı hesaba katmalı ve bunlara uyum sağlamalıdır, aksi takdirde çöker.
Sıfır ayakta duran ayrıcalıklar nasıl elde edilir ve değiş tokuş olmadan hileli yeni işe alımları engelleyin
Hepimiz sıfır güven duyduk: asla güven, her zaman doğrulayın. Bu, her istek için, her seferinde, birisi zaten “içeride” olduktan sonra bile geçerlidir.
Şimdi, yeni çevremizle, bu güvenlik çerçevesini kimlik merceğiyle görmeliyiz, bu da bizi kavramına getiriyor. Sıfır ayakta ayrıcalıklar (ZSP).
Her şeyi ayrım gözetmeden kilitleyen kale modelinin aksine, korkuluklarla esneklik etrafında bir ZSP durumu inşa edilmelidir:
- Varsayılan olarak her zaman açık erişim yok – Her kimliğin taban çizgisi her zaman işlev görmesi gereken minimum erişimdir.
- Jit (tam zamanında) + jep (sadece-yeterince privilege)–Ekstra erişim, sadece gerektiğinde, gereken sonlu süre için var olan küçük, kapsamlı bir izin şeklini alır ve daha sonra görev yapıldığında iptal edilir.
- Denetim ve Hesap Verebilirlik – Her hibe ve iptal, şeffaf bir kayıt oluşturarak günlüğe kaydedilir.
Bu yaklaşım, kale sorununun bıraktığı boşluğu kapatıyor. Saldırganların kalıcı erişime güvenmemesini sağlarken, çalışanlar yine de çalışmalarında hızla hareket edebilir. Doğru yapıldığında, bir ZSP yaklaşımı aralarında bir seçim zorlamak yerine verimliliği ve korumayı hizalar. İşte takımların kuruluşları boyunca ayakta duran erişimi ortadan kaldırmak için atabilecekleri birkaç taktik adım daha var:
Sıfır duran ayrıcalıklar kontrol listesi
Envanter ve Baselines:
İstek – onay – Kaldır:
Tam denetim ve kanıt
Harekete Geçme: Küçük Başlayın, Hızlı Kazan
Başlamanın pratik bir yolu, ZSP’yi en hassas sisteminize iki hafta boyunca pilotluk yapmaktır. Erişim isteklerinin, onayların ve denetimlerin pratikte nasıl akış akışını ölçün. Buradaki hızlı kazanımlar daha geniş bir benimseme için ivme kazanabilir ve güvenlik ve üretkenliğin çelişmek zorunda olmadığını kanıtlayabilir.
BeyondTrust Alay, bir bulut erişim yönetimi çözümü, her kimliği her zaman minimum ayrıcalık seviyesinde tutan otomatik kontroller sağlayan bir ZSP yaklaşımı sağlar. İş daha fazla talep ettiğinde, çalışanlar bunu zamana bağlı, denetlenebilir iş akışları yoluyla talep üzerine alabilirler. Tam zamanında yeterli erişim verilir, sonra kaldırılır.
Sıfır ayakta duran ayrıcalıkları operasyonel hale getirmek için adımlar atarak, meşru kullanıcıların Ürdün’ün bulması için etrafta yatan kalıcı ayrıcalıklar bırakmadan hızlı hareket etmeleri için güçlendirirsiniz.
Başlamaya hazır mısınız? Kimlik altyapınız hakkında ücretsiz kırmızı takım değerlendirmesi almak için buraya tıklayın.
Not: Bu makale, Sr. Ürün Pazarlama Müdürü David Van Heerden tarafından yazılmış ve katkıda bulunmuştur. Kendini tanımlayan General Nerd, Metalhead ve Wannabe Film Snob-David Van Heerden 10 yılı aşkın bir süredir çalıştı, teknik becerilerini keskinleştirdi ve kompleksi ve güvenlik kavramlarını net, değer odaklı konulara dönüştürmek için bir ustalık geliştirdi. BeyondTrust’ta, Sr. Ürün Pazarlama Müdürü rolünü üstlenerek hakem pazarlama stratejisine öncülük etti.