Современная киберугроза проникает в компанию не через вредоносную ссылку, а через отдел кадров. Наибольшую опасность представляет злоумышленник, успешно прошедший собеседование и получивший официальную должность. С первого дня он становится доверенным сотрудником с легитимным доступом к внутренним ресурсам, превращая стандартную процедуру найма в вектор атаки.
Представьте соискателя по имени «Джордан из Колорадо». У него безупречное резюме, убедительные рекомендации, чистая биография и верифицируемый цифровой след. В первый же рабочий день Джордан входит в корпоративную почту, участвует в совещании и получает приветствия от команды. В течение нескольких часов ему предоставляют доступ к репозиториям кода, проектным папкам и даже скопированным ключам разработчиков. Спустя неделю он считается высокопродуктивным сотрудником, который использует свое положение для выявления слабых мест в безопасности, таких как неверно настроенные инструменты и формальные согласования доступов. Гостеприимный процесс адаптации нового работника становится «золотым ключом», который компания сама вручает противнику.
Фишинг по-прежнему остается серьезной угрозой, количество атак с 2021 года выросло на 49%, а использование больших языковых моделей (LLM) для создания убедительных фишинговых писем увеличилось в 6,7 раза. Однако это хорошо изученный вектор атаки, против которого существуют отработанные методы защиты: усиленные почтовые шлюзы, обучение персонала и внутренние тесты. Ключевое отличие атаки «Джордана» в том, что ее канал — не электронная почта, а кадровое делопроизводство.
Основным фактором, способствующим распространению мошенничества при найме, стал массовый переход на 100% удаленную работу. Такой формат лишает процесс найма естественных защитных механизмов очного собеседования и открывает новые возможности для злоумышленников. Новым периметром безопасности становится идентичность сотрудника. Этот периметр уязвим: личность можно подделать или сгенерировать с помощью ИИ, рекомендации — сфальсифицировать, а на онлайн-собеседовании может присутствовать подставное лицо или использоваться дипфейк, создающий поддельные лица и голоса.
В августе этого года был опубликован отчет, подтверждающий реальность этой угрозы. Северокорейские оперативники массово выдавали себя за удаленных IT-специалистов, используя поддельные личности и отточенные резюме. В отчете раскрыто более 320 случаев подобного проникновения в компании, а годовой рост этого вида угроз составил 220%. Злоумышленники применяли профили, сгенерированные ИИ, и дипфейки, а также манипулировали видео в реальном времени для прохождения собеседований. Их американские сообщники управляли «ноутбучными фермами», предоставляя оперативникам физические рабочие места в США, выданное компаниями оборудование и местные учетные данные. Целями атак, часто направленных на компании из списка Fortune 500, были кража данных и перечисление зарплат на нужды северокорейского режима.
Традиционная модель безопасности «замок и ров», при которой укрепляется внешний периметр, а внутренняя сеть остается открытой и доверенной, против такой угрозы бессильна. Чрезмерная реакция — тотальное ограничение всех доступов — также неэффективна. Она парализует производительность, заставляя сотрудников искать обходные пути или постоянно запрашивать исключения, которые со временем становятся нормой и вновь создают риски. Неправильно настроенная блокировка так же опасна, как и полное отсутствие защиты.
Современным решением проблемы является концепция нулевых постоянных привилегий (Zero Standing Privileges, ZSP), основанная на принципе нулевого доверия («никогда не доверяй, всегда проверяй»). Подход ZSP означает, что по умолчанию ни один пользователь не имеет постоянного, «всегда включенного» доступа к ресурсам. Он базируется на трех принципах: отсутствие постоянного доступа по умолчанию; предоставление расширенных прав только на время выполнения задачи (Just-in-Time, JIT) и в минимально необходимом объеме (Just-Enough-Privilege, JEP); полный аудит и подотчетность каждого предоставления и отзыва доступа.
Практическое внедрение ZSP начинается с инвентаризации всех учетных записей (сотрудников, подрядчиков, сервисных аккаунтов) и установки для них базовых уровней доступа с минимальными правами. Процесс «Запрос – Одобрение – Отзыв» автоматизируется через рабочие инструменты, такие как Slack или Teams, где пользователи могут запрашивать доступ с полным контекстом (кто, зачем, на какой срок). Доступ предоставляется в рамках заданных ограничений, например, на определенное время или для выполнения конкретной задачи, и автоматически отзывается после завершения. Каждое предоставление, изменение и отзыв доступа протоколируется для последующего аудита и расследований.
Первым шагом к внедрению ZSP может стать пилотный проект на одной высокочувствительной системе в течение двух недель. Решение для управления облачными доступами, такое как BeyondTrust Entitle, позволяет реализовать этот подход с помощью автоматизированных, ограниченных по времени и полностью аудируемых рабочих процессов. Дэвид ван Хирден, старший менеджер по продуктовому маркетингу в BeyondTrust с более чем 10-летним опытом в IT, рекомендует начать с подобного пилота, чтобы оценить эффективность и заложить основу для дальнейших изменений.
Изображение носит иллюстративный характер
Представьте соискателя по имени «Джордан из Колорадо». У него безупречное резюме, убедительные рекомендации, чистая биография и верифицируемый цифровой след. В первый же рабочий день Джордан входит в корпоративную почту, участвует в совещании и получает приветствия от команды. В течение нескольких часов ему предоставляют доступ к репозиториям кода, проектным папкам и даже скопированным ключам разработчиков. Спустя неделю он считается высокопродуктивным сотрудником, который использует свое положение для выявления слабых мест в безопасности, таких как неверно настроенные инструменты и формальные согласования доступов. Гостеприимный процесс адаптации нового работника становится «золотым ключом», который компания сама вручает противнику.
Фишинг по-прежнему остается серьезной угрозой, количество атак с 2021 года выросло на 49%, а использование больших языковых моделей (LLM) для создания убедительных фишинговых писем увеличилось в 6,7 раза. Однако это хорошо изученный вектор атаки, против которого существуют отработанные методы защиты: усиленные почтовые шлюзы, обучение персонала и внутренние тесты. Ключевое отличие атаки «Джордана» в том, что ее канал — не электронная почта, а кадровое делопроизводство.
Основным фактором, способствующим распространению мошенничества при найме, стал массовый переход на 100% удаленную работу. Такой формат лишает процесс найма естественных защитных механизмов очного собеседования и открывает новые возможности для злоумышленников. Новым периметром безопасности становится идентичность сотрудника. Этот периметр уязвим: личность можно подделать или сгенерировать с помощью ИИ, рекомендации — сфальсифицировать, а на онлайн-собеседовании может присутствовать подставное лицо или использоваться дипфейк, создающий поддельные лица и голоса.
В августе этого года был опубликован отчет, подтверждающий реальность этой угрозы. Северокорейские оперативники массово выдавали себя за удаленных IT-специалистов, используя поддельные личности и отточенные резюме. В отчете раскрыто более 320 случаев подобного проникновения в компании, а годовой рост этого вида угроз составил 220%. Злоумышленники применяли профили, сгенерированные ИИ, и дипфейки, а также манипулировали видео в реальном времени для прохождения собеседований. Их американские сообщники управляли «ноутбучными фермами», предоставляя оперативникам физические рабочие места в США, выданное компаниями оборудование и местные учетные данные. Целями атак, часто направленных на компании из списка Fortune 500, были кража данных и перечисление зарплат на нужды северокорейского режима.
Традиционная модель безопасности «замок и ров», при которой укрепляется внешний периметр, а внутренняя сеть остается открытой и доверенной, против такой угрозы бессильна. Чрезмерная реакция — тотальное ограничение всех доступов — также неэффективна. Она парализует производительность, заставляя сотрудников искать обходные пути или постоянно запрашивать исключения, которые со временем становятся нормой и вновь создают риски. Неправильно настроенная блокировка так же опасна, как и полное отсутствие защиты.
Современным решением проблемы является концепция нулевых постоянных привилегий (Zero Standing Privileges, ZSP), основанная на принципе нулевого доверия («никогда не доверяй, всегда проверяй»). Подход ZSP означает, что по умолчанию ни один пользователь не имеет постоянного, «всегда включенного» доступа к ресурсам. Он базируется на трех принципах: отсутствие постоянного доступа по умолчанию; предоставление расширенных прав только на время выполнения задачи (Just-in-Time, JIT) и в минимально необходимом объеме (Just-Enough-Privilege, JEP); полный аудит и подотчетность каждого предоставления и отзыва доступа.
Практическое внедрение ZSP начинается с инвентаризации всех учетных записей (сотрудников, подрядчиков, сервисных аккаунтов) и установки для них базовых уровней доступа с минимальными правами. Процесс «Запрос – Одобрение – Отзыв» автоматизируется через рабочие инструменты, такие как Slack или Teams, где пользователи могут запрашивать доступ с полным контекстом (кто, зачем, на какой срок). Доступ предоставляется в рамках заданных ограничений, например, на определенное время или для выполнения конкретной задачи, и автоматически отзывается после завершения. Каждое предоставление, изменение и отзыв доступа протоколируется для последующего аудита и расследований.
Первым шагом к внедрению ZSP может стать пилотный проект на одной высокочувствительной системе в течение двух недель. Решение для управления облачными доступами, такое как BeyondTrust Entitle, позволяет реализовать этот подход с помощью автоматизированных, ограниченных по времени и полностью аудируемых рабочих процессов. Дэвид ван Хирден, старший менеджер по продуктовому маркетингу в BeyondTrust с более чем 10-летним опытом в IT, рекомендует начать с подобного пилота, чтобы оценить эффективность и заложить основу для дальнейших изменений.
