Wenn Fernarbeiter nicht die sind, die sie zu sein scheinen

Stellen Sie sich Folgendes vor: Ein vielversprechender IT-Spezialist namens John bekommt einen Job bei einem führenden Softwareunternehmen. Sein LinkedIn-Profil ist makellos, sein Lebenslauf tadellos. Was sein Personalchef jedoch nicht weiß, ist, dass John nicht real ist - er ist eine Persona, die von einem nordkoreanischen Agenten mit Hilfe von KI-verbesserten Deepfakes geschaffen wurde. Innerhalb weniger Wochen schöpft "John" sensible Daten ab und bleibt dabei unentdeckt. 

Diese Geschichten sind immer häufiger zu hören. Was Personalchefs jedoch nicht sehen, ist die Maschinerie hinter den Kulissen: Deepfake-Video-Tools, gestohlene US-Identitäten und eine Laptop-"Farm" im ganzen Land, in der die Geräte über einen Proxy eingeschaltet und betrieben werden. 

Es ist eine neue Variante einer alten Geschichte, aber dies ist das aktuelle Gesicht des Insider-Risikos: eine echte und andauernde Kampagne, die von einem nationalstaatlichen Gegner unterstützt wird. Cyber-Agenten aus Nordkorea benutzen gefälschte Identitäten, um IT-Rollen bei seriösen Unternehmen zu ergattern. Wenn sie erst einmal drin sind, saugen sie sensible Daten ab und leiten die Einnahmen um, um die Waffenprogramme des Regimes zu finanzieren. Dabei umgehen sie konventionelle Verteidigungsmaßnahmen, die für die Bedrohungen von gestern entwickelt wurden.  

 Das System ist seit mindestens 2022 gewachsen. Laut einer kürzlich vom FBI herausgegebenen Empfehlung erweitern die Bedrohungsakteure ihre bösartigen Aktivitäten auf Datenerpressung. In früheren Warnungen wurde darauf hingewiesen, dass ein Mitarbeiter von single bis zu 300.000 Dollar pro Jahr verdienen kann, was dazu beiträgt, dass Dutzende von Millionen Dollar an sanktionierte Einrichtungen fließen. In diesem Monat hat das US-Justizministerium 7,74 Millionen Dollar in Kryptowährung beschlagnahmt, die nordkoreanischen IT-Mitarbeitern zugeordnet werden können, die sich mit gefälschten Identitäten Remote-Jobs gesichert und Geld geschleust haben. 

Im Mai deckteeine Politico-Untersuchung auf, dass nordkoreanische Agenten mit Hilfe von KI-gestützten Fälschungen und Nachahmungstaktiken nach wie vor Stellen in US-Firmen besetzen. Hinter jedem kompromittierten Laptop verbirgt sich ein Unternehmen, das sich oft nicht bewusst ist, dass es zu einem unfreiwilligen Partner bei internationaler Spionage geworden ist. Diese Agenten bedrohen nicht nur Ihre Daten. Sie stellen die Annahmen in Frage, die wir darüber machen, wem wir innerhalb unserer Netzwerke vertrauen können. 

Warum diese Bedrohung jetzt Aufmerksamkeit erfordert  

Nordkoreanische Agenten nutzen das Vertrauen und die Schnelligkeit, die in moderne Fernarbeitspraktiken eingebaut sind. Sie durchlaufen das Onboarding mit gefälschten Dokumenten und verlangen oft die Lieferung von Firmengeräten an US-Adressen, wo eine kleine Gruppe von Komplizen Dutzende von Geräten unterhält - jedes einzelne ist in Ihre Systeme eingeloggt, lädt Ihre Daten herunter und umgeht die Identitätsprüfung. 

Einmal eingebettet, verhalten sich diese Insider wie Advanced Persistent Threats (APTs). Sie verwenden Standardtools wie VPNs, Filesharing-Apps und Automatisierungsskripte, um ihre Aktivitäten unbemerkt durchzuführen. Es ist unwahrscheinlich, dass herkömmliche Schutzmaßnahmen und sogar Identitätskontrollen sie aufhalten können. Und da sie oft unter dem Deckmantel legitimer Auftragnehmer oder Angestellter operieren, erkennen viele Unternehmen die Bedrohung erst, wenn es zu spät ist. 

Die Technologie, die diesen Betrug ermöglicht, wird mit der Zeit immer besser und ausgeklügelter werden. Das Problem wird also nicht so bald verschwinden, sondern immer schwieriger zu lösen sein. Die Folgen eines Versagens bei der Aufdeckung von Insider-Bedrohungen gehen weit über wirtschaftliche Verluste hinaus. Es geht um den Schutz Ihres Rufs, Ihrer Kunden und Ihrer Fähigkeit, in einem wettbewerbsintensiven Markt innovativ zu sein. Für CISOs ist die Herausforderung klar: Haben Sie die nötige Transparenz, um eine subtile Dateiexfiltration zu erkennen? Erfassen Ihre Kontrollen Anomalien in Echtzeit? Und vor allem: Sind Ihre Insider-Risikostrategien für Angreifer ausgelegt, die so entschlossen und so gut darin sind, sich zu tarnen?

Neuausrichtung des Insider-Risikos für eine staatlich geförderte Realität 

Sicherheitsverantwortliche haben Insider-Bedrohungen lange Zeit als ein menschliches Risikoproblem verstanden: Unzufriedenheit, Unachtsamkeit oder gelegentliche Sabotage. Aber nordkoreanische Agenten, die sich als Mitarbeiter ausgeben, stellen dieses Modell auf den Kopf.  Um diese Art von Bedrohung zu vereiteln, stellt sich nicht nur die Frage, wer Zugriff auf sensible Daten hat. Vielmehr geht es darum, wie dieser Zugang genutzt wird, was bewegt wird und ob die Aktivität im breiteren Verhaltenskontext sinnvoll ist. 

Die Funktionen von Mimecast für Insider-Risiken und Datenschutz, einschließlich der über Incydr angebotenen, sind darauf ausgelegt, diese Fragen zu beantworten. Im Gegensatz zu herkömmlichen DLP- oder Endpunkt-Tools konzentrieren sie sich darauf, wie Daten in realen Arbeitsabläufen durch Agenten gehandhabt werden, so dass Sicherheitsteams die Möglichkeit haben,: 

Verfolgen Sie die Datei-Exfiltration mit Kontext. Erkennen Sie nicht nur große Datenbewegungen, sondern auch subtile, selten genutzte, hochwertige Übertragungen, wie z.B. Codeschnipsel, juristische Dokumente oder sensible PDFs, die herkömmlichen Filtern oft entgehen. 

Schränken Sie nicht autorisierte Tools ein und überwachen Sie sie. Erkennen und blockieren Sie die Verwendung von Fernzugriffsprogrammen, Automatisierungsskripten und VPNs, die einen dauerhaften Zugriff von Bedrohungsakteuren signalisieren können, die hinter den Kulissen arbeiten. 

Verknüpfen Sie Identität und Verhalten. Integrieren Sie UEBA und Identitätsplattformen, um Ungereimtheiten aufzudecken, wie z.B. gleichzeitige Anmeldungen von verschiedenen Standorten aus oder Konten, die ihre Berechtigungen ohne Grund ausweiten. 

Setzen Sie Bedrohungsdaten dort ein, wo es darauf ankommt. Integrieren Sie bekannte Taktiken aus OSINT und der Bedrohungsforschung - wie z.B. die Verwendung von VoIP-Nummern, ungewöhnliches Geräteverhalten oder dauerhaften Zugriff über mehrere Profile - um die Erkennung proaktiv zu verfeinern. 

Durch die Kombination von Erkenntnissen der Agenten mit datenzentrierten Analysen helfen diese Tools den Sicherheitsteams, von der reaktiven Säuberung zur präventiven Störung überzugehen. Dieser Wechsel ist entscheidend, wenn Ihr Gegner geduldig und koordiniert ist und sich oft im Verborgenen hält. 

Um Insider-Bedrohungen effektiv und ohne unnötigen Alarm abzuschwächen, sollten sich CISOs auf praktische, proaktive Maßnahmen konzentrieren, die Sicherheit und Vertrauen der Mitarbeiter mit der richtigen Technologie in Einklang bringen.

Zu den wichtigsten bewährten Verfahren gehören: 

Überprüfen Sie Identitäten und überwachen Sie den Zugriff: Stellen Sie gründliche Identitätsprüfungen bei der Einstellung sicher und überwachen Sie den Datenzugriff bei der Einstellung von Mitarbeitern und an anderen risikoreichen Punkten während des Lebenszyklus der Mitarbeiter genau. 

Verbessern Sie die Transparenz: Verwenden Sie Überwachungstools, um Dateibewegungen zu verfolgen und ungewöhnliches Benutzerverhalten zu erkennen, und konzentrieren Sie sich dabei auf Benutzer mit hohem Risiko, wie z.B. Auftragnehmer oder vollständig entfernte Mitarbeiter. 

Schützen Sie sensible Daten: Verschlüsseln Sie kritische Daten und schränken Sie die Verwendung von nicht autorisierten Tools ein. 

Informieren Sie Ihre Mitarbeiter: Bieten Sie fortlaufende, zeitnahe Schulungen an, um versehentliche Datenlecks zu verhindern und die Meldung verdächtiger Aktivitäten zu fördern. 

Überprüfen Sie regelmäßig die Sicherheitsrichtlinien: Führen Sie regelmäßige Risikobewertungen durch, aktualisieren Sie Protokolle und beschränken Sie den Zugang zu sensiblen Informationen. 

Bereiten Sie sich auf Zwischenfälle vor: Erstellen Sie klare Reaktionspläne und dokumentieren Sie alle Untersuchungen, um schnelles und effektives Handeln zu gewährleisten, wenn Risiken auftreten. 

Durch die Anwendung dieser Praktiken können Unternehmen Insider-Bedrohungen wirksam bekämpfen und gleichzeitig eine sicherheitsbewusste Kultur fördern, die Zusammenarbeit und Vertrauen in den Vordergrund stellt.

Der Bedrohung durch böswillige Insider einen Schritt voraus sein 

Da sich diese Bedrohung ständig weiterentwickelt, müssen Unternehmen über statische, perimeterbasierte Verteidigungsmodelle hinausgehen. Insider-Bedrohungen sind dynamisch und ihre Bekämpfung erfordert dynamische Lösungen. Ein Umdenken ist unerlässlich - von der reinen Vorbeugung zur Sichtbarkeit. Sie können nicht aufhalten, was Sie nicht sehen können. 

Sehen Sie, wie Mimecast Incydr Insider-Bedrohungen aufdecken und stoppen kann, bevor sie irreparablen Schaden anrichten. Entdecken Sie es in Aktion oder kontaktieren Sie uns für eine Demo.