Quand les travailleurs à distance ne sont pas ce qu'ils semblent être

Imaginez la situation suivante : John, un informaticien prometteur, décroche un emploi à distance auprès d'un grand éditeur de logiciels. Son profil LinkedIn est parfait, son CV impeccable. Cependant, ce que son responsable de recrutement ne sait pas, c'est que John n'est pas réel - il s'agit d'un personnage créé par un agent nord-coréen à l'aide d'imitations profondes améliorées par l'IA. En l'espace de quelques semaines, "John" siphonne des données sensibles sans se faire repérer. 

Ces histoires sont de plus en plus courantes. Mais ce que les responsables du recrutement ne voient pas, c'est la machinerie qui se cache derrière les coulisses : des outils de vidéo fictive, des identités américaines volées et une "ferme" d'ordinateurs portables à travers le pays, où les appareils sont mis sous tension et utilisés par procuration. 

Il s'agit d'une nouvelle tournure pour une vieille histoire, mais c'est le visage actuel du risque d'initié : une campagne réelle et continue soutenue par un État-nation adversaire. Des cyber-opérateurs nord-coréens utilisent de fausses identités pour décrocher des postes d'informaticiens dans des entreprises légitimes. Une fois à l'intérieur, ils détournent des données sensibles et détournent les revenus pour financer les programmes d'armement du régime, en contournant les défenses conventionnelles conçues pour les menaces d'hier.  

 Le régime se développe depuis au moins 2022. Selon un récent avis publié par le FBI, les acteurs de la menace intensifient leurs activités malveillantes et se livrent notamment à l'extorsion de données. Les alertes précédentes ont montré qu'un single agent peut gagner jusqu'à 300 000 dollars par an, contribuant ainsi à l'acheminement de dizaines de millions de dollars vers des entités sanctionnées. Ce mois-ci, le ministère américain de la justice a saisi 7,74 millions de dollars en crypto-monnaies provenant d'informaticiens nord-coréens qui utilisaient de fausses identités pour obtenir des emplois à distance et faire circuler de l'argent. 

En mai, une enquête de Politico a révélé que des agents nord-coréens continuaient à décrocher des postes techniques à distance dans des entreprises américaines en utilisant des deepfakes et des tactiques d'usurpation d'identité améliorées par l'IA. Derrière chaque ordinateur portable compromis se cache une entreprise prise au dépourvu, qui ignore souvent qu'elle est devenue un partenaire involontaire de l'espionnage international. Ces agents ne se contentent pas de menacer vos données. Ils remettent en question les hypothèses mêmes que nous faisons sur les personnes de confiance à l'intérieur des murs de nos réseaux.

Pourquoi cette menace doit-elle être prise en compte dès maintenant ?  

Les agents nord-coréens exploitent la confiance et la rapidité des méthodes modernes de travail à distance. Ils passent le cap de l'intégration avec des documents falsifiés et demandent souvent que les appareils de l'entreprise soient expédiés à des adresses américaines, où un petit groupe de complices entretient des dizaines de machines - chacune d'entre elles étant connectée à vos systèmes, téléchargeant vos données et contournant les contrôles de vérification d'identité. 

Une fois intégrés, ces initiés se comportent comme des advanced persistent threats (APT). Ils utilisent des outils standard comme les VPN, les applications de partage de fichiers et les scripts d'automatisation pour mener leurs activités au vu et au su de tous. Les défenses périmétriques traditionnelles, et même les contrôles d'identité, ont peu de chances de les arrêter. Et comme ils opèrent souvent sous l'apparence de contractants ou d'employés légitimes, de nombreuses organisations ne détectent la menace que lorsqu'il est trop tard. 

La technologie qui permet à cette escroquerie de se produire ne fera que s'améliorer et devenir plus sophistiquée au fil du temps, de sorte que le problème ne disparaîtra pas de sitôt et deviendra de plus en plus difficile à résoudre. Les conséquences de l'absence de détection des menaces internes vont bien au-delà des pertes économiques. Il s'agit de protéger votre réputation, vos clients et votre capacité à innover sur un marché concurrentiel. Pour les RSSI, le défi est clair : avez-vous la visibilité nécessaire pour détecter les exfiltrations subtiles de fichiers ? Vos contrôles détectent-ils les anomalies en temps réel ? Et surtout, vos stratégies de lutte contre le risque d'intrusion sont-elles conçues pour des adversaires aussi déterminés et aussi doués pour se fondre dans la masse ?

Recadrer le risque d'initié dans une réalité soutenue par l'État 

Les responsables de la sécurité ont longtemps considéré les menaces internes comme un problème de risque humain : mécontentement, négligence ou sabotage occasionnel. Mais les agents nord-coréens qui se font passer pour des employés renversent ce modèle.  Pour contrecarrer ce niveau de menace, la question n'est pas seulement de savoir qui a accès aux données sensibles. Il s'agit de savoir comment cet accès est utilisé, ce qui est déplacé et si l'activité a un sens dans un contexte comportemental plus large.

Les capacités de Mimecast en matière de risque d'initiés et de protection des données, y compris celles offertes par Incydr, sont conçues pour répondre à ces questions. Contrairement aux outils DLP traditionnels ou aux outils pour points finaux étroits, ils se concentrent sur la manière dont les données sont traitées dans les flux de travail réels par les agents, ce qui permet aux équipes de sécurité de.. : 

Suivez l'exfiltration de fichiers en tenant compte du contexte. Détectez non seulement les grands mouvements de données, mais aussi les transferts subtils, rarement utilisés et de grande valeur, tels que les extraits de code, les documents juridiques ou les PDF sensibles, qui échappent souvent aux filtres traditionnels. 

Restreindre et surveiller les outils non autorisés. Repérer et bloquer l'utilisation de programmes d'accès à distance, de scripts d'automatisation et de VPN qui peuvent signaler un accès persistant par des acteurs de la menace travaillant dans l'ombre. 

Établir une corrélation entre l'identité et le comportement. Intégrez l'UEBA et les plates-formes d'identité pour détecter les incohérences telles que les connexions simultanées à partir de différentes zones géographiques ou les comptes qui augmentent leurs privilèges sans raison. 

Appliquer les renseignements sur les menaces là où cela compte. Incorporez des tactiques connues issues de l'OSINT et de la recherche sur les menaces, telles que l'utilisation de numéros VoIP, les comportements inhabituels des appareils ou l'accès persistant via des profils multiples, afin d'affiner la détection de manière proactive. 

En combinant les connaissances des agents avec une analyse centrée sur les données, ces outils aident les équipes de sécurité à passer d'un nettoyage réactif à une perturbation préventive. Ce changement est essentiel lorsque votre adversaire est patient, coordonné et souvent caché à la vue de tous. 

Pour atténuer efficacement les menaces d'origine interne sans s'alarmer inutilement, les RSSI doivent se concentrer sur des mesures pratiques et proactives qui concilient la sécurité et la confiance des employés avec la technologie appropriée.

Les meilleures pratiques clés sont les suivantes : 

Vérifiez les identités et contrôlez les accès: Effectuez des contrôles d'identité approfondis lors de l'embauche et surveillez étroitement l'accès aux données lors de l'intégration des employés et d'autres points d'inflexion à haut risque au cours du cycle de vie de l'employé. 

Améliorez la visibilité: Utilisez des outils de surveillance pour suivre les mouvements de fichiers et détecter les comportements inhabituels des utilisateurs, en mettant l'accent sur les utilisateurs à haut risque tels que les sous-traitants ou les employés travaillant à distance. 

Protégez les données sensibles: Cryptez les données critiques et limitez l'utilisation d'outils non autorisés. 

Sensibilisez les employés: Proposez une formation continue, juste à temps, afin de prévenir les fuites accidentelles de données et d'encourager le signalement d'activités suspectes. 

Révisez régulièrement les politiques de sécurité: Effectuez des évaluations périodiques des risques, mettez à jour les protocoles et limitez l'accès aux informations sensibles. 

Préparez-vous aux incidents: Établissez des plans d'intervention clairs et documentez toutes les enquêtes afin de garantir une action rapide et efficace en cas de risques. 

En adoptant ces pratiques, les organisations peuvent lutter efficacement contre les menaces d'origine interne tout en favorisant une culture de la sécurité qui donne la priorité à la collaboration et à la confiance.

Garder une longueur d'avance sur la menace que représentent les initiés malveillants 

Comme cette menace continue d'évoluer, les organisations doivent aller au-delà des modèles de défense statiques basés sur le périmètre. Les menaces internes sont dynamiques et la lutte contre ces menaces exige des solutions dynamiques. Un changement d'état d'esprit est essentiel - de la prévention uniquement à la visibilité d'abord. Vous ne pouvez pas arrêter ce que vous ne voyez pas. 

Découvrez comment Mimecast Incydr peut découvrir et arrêter les menaces d'initiés avant qu'elles ne causent des dommages irréparables. Découvrez-le en action ou contactez-nous pour une démonstration.