Quando i lavoratori a distanza non sono quelli che sembrano essere

Immaginiamo questo: Un promettente specialista IT di nome John ottiene un lavoro a distanza presso un'importante azienda di software. Il suo profilo LinkedIn è impeccabile, il suo curriculum impeccabile. Tuttavia, ciò che il suo responsabile delle assunzioni non sa è che John non è reale: è un personaggio creato da un agente della Corea del Nord che utilizza deepfakes potenziati dall'AI. Nel giro di poche settimane, "John" sta trafugando dati sensibili senza essere individuato. 

Queste storie sono diventate sempre più comuni. Ma ciò che i responsabili delle assunzioni non vedono è il macchinario dietro le quinte: strumenti video deepfake, identità statunitensi rubate e una "farm" di computer portatili in tutto il Paese, dove i dispositivi vengono accesi e gestiti tramite proxy. 

È una nuova versione di una vecchia storia, ma questo è il volto attuale del rischio insider: una campagna reale e continua sostenuta da un avversario di uno Stato-nazione. I cyber-operatori della Corea del Nord utilizzano personaggi falsi per ottenere ruoli IT in aziende legittime. Una volta entrati, sottraggono dati sensibili e dirottano le entrate per finanziare i programmi di armamento del regime, aggirando le difese convenzionali progettate per le minacce di ieri.  

 Lo schema è in crescita almeno dal 2022. Secondo un recente avviso rilasciato dall'FBI, gli attori delle minacce stanno aumentando la loro attività maligna per includere l'estorsione dei dati. Precedenti avvisi hanno rilevato che un single agente può guadagnare fino a 300.000 dollari all'anno, contribuendo a un flusso di decine di milioni di dollari verso entità sanzionate. Questo mese, il Dipartimento di Giustizia degli Stati Uniti ha sequestrato 7,74 milioni di dollari in criptovalute riconducibili a lavoratori IT nordcoreani che hanno utilizzato identità false per assicurarsi lavori a distanza e incanalare denaro. 

A maggio, un'inchiesta di Politico ha rivelato che gli agenti nordcoreani continuano a ottenere ruoli tecnologici a distanza presso le aziende statunitensi, utilizzando deepfakes potenziati dall'AI e tattiche di impersonificazione. Dietro ogni computer portatile compromesso c'è un'azienda colta alla sprovvista, spesso ignara di essere diventata un partner inconsapevole dello spionaggio internazionale. Questi agenti non si limitano a minacciare i suoi dati. Mettono in discussione le stesse ipotesi che facciamo su chi ci si può fidare all'interno delle mura delle nostre reti.

Perché questa minaccia richiede attenzione ora  

Gli agenti nordcoreani sfruttano la fiducia e la velocità delle moderne pratiche di lavoro a distanza. Superano l'onboarding con documenti falsificati e spesso richiedono la spedizione di dispositivi aziendali a indirizzi statunitensi, dove un piccolo gruppo di complici gestisce decine di macchine, ognuna delle quali si collega ai vostri sistemi, scarica i vostri dati e aggira i controlli di verifica dell'identità. 

Una volta inseriti, questi insider si comportano come advanced persistent threats (APT). Utilizzano strumenti standard come VPN, app di file sharing e script di automazione per svolgere le loro attività in piena vista. È improbabile che le difese perimetrali tradizionali, e persino i controlli dell'identità, riescano a fermarli. E poiché spesso operano sotto le sembianze di appaltatori o dipendenti legittimi, molte organizzazioni non riescono a rilevare la minaccia finché non è troppo tardi. 

La tecnologia che permette a questa truffa di verificarsi non farà che migliorare e diventare più sofisticata nel tempo, quindi il problema non scomparirà presto e diventerà più difficile da affrontare. Le conseguenze del mancato rilevamento delle minacce interne vanno ben oltre la perdita economica. Si tratta di proteggere la sua reputazione, i suoi clienti e la sua capacità di innovare in un mercato competitivo. Per i CISO, la sfida è chiara: avete la visibilità necessaria per rilevare la sottile esfiltrazione di file? I suoi controlli rilevano le anomalie in tempo reale? E soprattutto, le sue strategie di rischio insider sono costruite per avversari così determinati e così bravi a mimetizzarsi?

Riformulare il rischio insider per una realtà sponsorizzata dallo Stato 

I leader della sicurezza hanno a lungo inteso le minacce insider come un problema di rischio umano: malcontento, disattenzione o sabotaggio occasionale. Ma gli agenti nordcoreani che si fingono dipendenti ribaltano questo modello.  Per sventare questo livello di minaccia, la questione non è solo chi ha accesso ai dati sensibili. Si tratta di capire come viene utilizzato questo accesso, cosa viene spostato e se l'attività ha senso nel contesto comportamentale più ampio.

Le funzionalità di Mimecast per il rischio insider e la protezione dei dati, comprese quelle offerte da Incydr, sono pensate per rispondere a queste domande. A differenza degli strumenti DLP tradizionali o degli strumenti endpoint ristretti, si concentrano sul modo in cui i dati vengono gestiti nei flussi di lavoro del mondo reale attraverso gli agenti, dando ai team di sicurezza la possibilità di: 

Traccia l'esfiltrazione di file con il contesto. Rileva non solo i grandi movimenti di dati, ma anche i trasferimenti sottili, raramente utilizzati e di alto valore, come frammenti di codice, documenti legali o PDF sensibili, che spesso sfuggono ai filtri tradizionali. 

Limitare e monitorare gli strumenti non autorizzati. Individuare e bloccare l'uso di programmi di accesso remoto, script di automazione e VPN che possono segnalare un accesso persistente da parte di attori di minacce che lavorano dietro le quinte. 

Correlare identità e comportamento. Si integri con l'UEBA e le piattaforme di identità per far emergere incongruenze come accessi simultanei da aree geografiche diverse o account che aumentano i privilegi senza motivo. 

Applicare l'intelligence sulle minacce dove serve. Incorporare le tattiche conosciute dall'OSINT e dalla ricerca sulle minacce, come l'uso di numeri VoIP, comportamenti insoliti dei dispositivi o l'accesso persistente tramite profili multipli, per perfezionare in modo proattivo il rilevamento. 

Combinando le intuizioni degli agenti con l'analisi centrata sui dati, questi strumenti aiutano i team di sicurezza a passare dalla pulizia reattiva all'interruzione preventiva. Questo passaggio è fondamentale quando l'avversario è paziente, coordinato e spesso si nasconde in bella vista. 

Per mitigare efficacemente le minacce interne senza inutili allarmismi, i CISO dovrebbero concentrarsi su misure pratiche e proattive che bilancino la sicurezza e la fiducia dei dipendenti con la giusta tecnologia.

Le migliori pratiche chiave includono: 

Verificare le identità e monitorare gli accessi: Assicuri controlli approfonditi sull'identità al momento dell'assunzione e monitori attentamente l'accesso ai dati al momento dell'assunzione dei dipendenti e in altri punti di inflessione ad alto rischio durante il ciclo di vita dei dipendenti. 

Migliorare la visibilità: Utilizzi gli strumenti di monitoraggio per tracciare i movimenti dei file e rilevare i comportamenti insoliti degli utenti, concentrandosi sugli utenti ad alto rischio come gli appaltatori o i dipendenti completamente remoti. 

Proteggere i dati sensibili: Cifri i dati critici e limiti l'uso di strumenti non autorizzati. 

Educare i dipendenti: Fornisca una formazione continua e just-in-time per prevenire fughe di dati accidentali e incoraggiare la segnalazione di attività sospette. 

Rivedere regolarmente le politiche di sicurezza: Conduca valutazioni periodiche del rischio, aggiorni i protocolli e limiti l'accesso alle informazioni sensibili. 

Prepararsi agli incidenti: Stabilisca dei piani di risposta chiari e documenti tutte le indagini per garantire un'azione rapida ed efficace quando si presentano dei rischi. 

Adottando queste pratiche, le organizzazioni possono affrontare le minacce interne in modo efficace, promuovendo al contempo una cultura consapevole della sicurezza, che dà priorità alla collaborazione e alla fiducia.

Rimanere al passo con la minaccia degli insider malintenzionati 

Poiché questa minaccia continua ad evolversi, le organizzazioni devono andare oltre i modelli di difesa statici, basati sul perimetro. Le minacce interne sono dinamiche e la loro lotta richiede soluzioni dinamiche. È essenziale un cambiamento di mentalità: dalla sola prevenzione alla prima visibilità. Non si può fermare ciò che non si vede. 

Scopra come Mimecast Incydr può scoprire e bloccare le minacce interne prima che causino danni irreparabili. Lo esplori in azione o si metta in contatto per una dimostrazione.