你并非遭遇钓鱼攻击-而是让攻击者入职了

当攻击者被雇用时：当今的新身份危机

如果你刚刚聘请的明星工程师实际上不是员工，而是伪装的攻击者怎么办？这不是网络钓鱼;这是通过入职渗透。

来认识一下“来自科罗拉多州的乔丹”，他拥有丰富的履历、令人信服的推荐信、干净的背景调查，甚至还有可以检查的数字足迹。

第一天，乔丹登录电子邮件并参加每周一次的单口相声会议，受到团队的热烈欢迎。在数小时内，他们就可以访问存储库、项目文件夹，甚至一些复制/粘贴的开发密钥以在管道中使用。

一周后，门票成交速度加快，每个人都印象深刻。Jordan 对环境、技术堆栈、哪些工具配置错误以及哪些批准被橡皮图章做出了富有洞察力的观察。

但乔丹不是乔丹。而团队铺开的红地毯欢迎相当于一把金钥匙，直接交给了对手。

从网络钓鱼到虚假招聘

现代骗局不是收件箱中的恶意链接;这是您组织内部的合法登录。

虽然网络钓鱼仍然是一个持续增长的严重威胁（尤其是随着人工智能驱动的攻击的增加），但它是众所周知的攻击路径。组织花了数年时间强化电子邮件网关，培训员工识别和报告恶意内容，并运行内部网络钓鱼测试。

我们每天都在抵御大量网络钓鱼电子邮件，因为自 2021 年以来，网络钓鱼数量增加了 49%，用于生成具有令人信服的诱饵的电子邮件的大型语言模型 （LLM） 增加了 6.7 倍。攻击者进行网络钓鱼攻击变得越来越容易。

但乔丹并不是这样进入的。尽管电子邮件遭到了许多辩护，乔丹还是处理了人力资源文书工作。

为什么招聘欺诈现在是一个问题？

在过去几年中，远程招聘迅速扩大。各行各业发现 100% 远程工作是可能的，员工不再需要具有物理（且易于防御）边界的办公室。此外，地球上的任何地方都存在人才资源。远程招聘意味着组织可以从扩大的招聘池中受益，并有可能获得更多的资格和技能。但远程招聘也消除了面对面面试的直观和自然保护，为威胁行为者创造了新的机会。

今天，身份是新的边界。这意味着您的边界可以被伪造、冒充，甚至由人工智能生成。引用可以被欺骗。面试可以指导或代理。人工智能可以生成（或深度伪造）面孔和声音。一个匿名的对手现在可以令人信服地以“来自科罗拉多州的约旦”的身份出现，并让一个组织给他们王国的钥匙。

野外招聘欺诈：朝鲜的远程“雇用”特工

远程招聘欺诈的威胁不是我们看到的，也不是在篝火旁的恐怖故事中想象的。

今年 8 月发布的一份报告披露了 320 多起朝鲜特工通过伪装身份和精美简历冒充远程 IT 工作者渗透到公司的案例。这个例子的同比增长了 220%，这意味着这种威胁正在迅速升级，这意味着这种威胁正在迅速升级。

其中许多朝鲜特工使用人工智能生成的个人资料、深度伪造和实时人工智能纵来通过采访和审查协议。一个案件甚至涉及美国同伙，他们经营“笔记本电脑农场”，为特工提供美国的物理设置、公司发放的机器以及国内地址和身份。通过这个计划，他们能够窃取数据并将工资输送回朝鲜政权，同时逃避侦查。

这些也不是孤立的黑客活动噱头。调查已确定这是一场系统性活动，通常针对财富 500 强公司。

城堡和护城河问题

许多组织的回应是过度纠正：“我希望我的整个公司像我最敏感的资源一样被锁定。

这似乎是明智的——直到工作变得缓慢。如果没有细致入微的控制措施来区分合法的工作流程和不必要的暴露，那么简单地应用严格的控制来锁定整个组织的所有内容，就会使生产力陷入停滞。员工需要访问权限才能完成工作。如果安全策略过于严格，员工要么会寻找解决方法，要么不断要求例外。

随着时间的推移，随着例外成为常态，风险逐渐增加。

这一系列内部异常会慢慢地将你推回“城堡和护城河”的方法。城墙从外面加固，但内面是开放的。给员工一把钥匙，让他们可以打开里面的所有东西，这样他们就可以完成他们的工作，这意味着你也把一把钥匙交给了乔丹。

换句话说，以错误的方式锁定所有内容可能与让它保持开放状态一样危险。强大的安全性必须考虑并适应现实世界的工作，否则，它就会崩溃。

如何在不权衡的情况下实现零常设特权状态并阻止欺诈性新员工

我们都听说过零信任：永远不要信任，总是要验证。这适用于每一个请求，每次，即使在有人已经“在里面”之后。

现在，有了我们的新边界，我们必须通过身份的视角来看待这个安全框架，这让我们想到了零常设权限 （ZSP） 的概念。

与不加区别地锁定所有内容的城堡模型不同，ZSP 状态应该围绕带有护栏的灵活性构建：

• 默认情况下没有始终在线的访问权限 – 每个标识的基线始终是运行所需的最低访问权限。
• JIT（即时）+ JEP（just–enough-privilege） – -额外访问权采用小型、范围允许的形式，该权限仅在需要时存在，在所需的有限持续时间内存在，然后在任务完成时被撤销。
• 审计和问责 – 记录每个授权和撤销，从而创建透明记录。

这种方法缩小了城堡问题留下的空白。它确保攻击者无法依赖持久访问，而员工仍然可以快速完成工作。如果做得好，ZSP 方法可以使生产力和保护保持一致，而不是强迫在它们之间做出选择。以下是团队可以采取的更多战术步骤，以消除整个组织的长期访问权限：

零常设特权清单

库存和基线：

• 将所有身份（员工、承包商、服务帐户）整合到一个位置。
• 设置基于角色的最低要求。
• 消除悬而未决、遗留和过度预配的权限。

请求 – 批准 – 删除：

• 使用户能够请求访问他们工作的地方（Slack、Teams 或门户）。
• 自动审批，或通过具有完整上下文的自定义工作流程进行路由：谁、为什么、范围、持续时间。
• 确保审批授予足够的实时访问权限。
• 任务完成后自动撤销访问权限。
• 护栏设计：
• 强制执行有时间限制的会话、最低权限范围和受控的突破性过程。
• 为常见任务提供预先批准的捆绑包，以便无缝访问，工作流程不间断。

全面审计和证据

• 记录并签署每个授权、更改和撤销作。
• 维护可导出的干净证据，以进行审查、事件调查和合规性。

采取行动：从小处着手，快速获胜

一个实用的开始方法是在最敏感的系统上试用 ZSP 两周。衡量访问请求、批准和审计在实践中的流动情况。在这里快速获胜可以为更广泛的采用建立动力，并证明安全性和生产力不必相矛盾。

BeyondTrust Entitle 是一种云访问管理解决方案，它支持 ZSP 方法，提供自动化控制，始终将每个身份保持在最低权限级别。当工作需要更多时，员工可以通过有时限的可审计工作流程根据要求接收它。及时授予足够的访问权限，然后删除。

通过采取措施实施零常设权限，您可以使合法用户能够快速移动，而不会让 Jordan 找到持久权限。

准备好开始了吗？单击此处获取对您的身份基础设施的免费红队评估。

注意：本文由高级产品营销经理 David van Heerden 专业撰写和贡献。David van Heerden 自称是一般书、金属迷和想成为电影势利小人的人，他在 IT 领域工作了 10 多年，提高了自己的技术技能，并培养了将复杂的 IT 和安全概念转化为清晰、以价值为导向的主题的诀窍。在 BeyondTrust，他担任高级产品营销经理，领导权利营销策略。