Beolvadva támadnak – nem a régi módszerekkel
Míg a legtöbb szervezet a klasszikus, kívülről érkező támadókat tekinti a fő veszélyforrásnak, a belső fenyegetés („insider threat”) ma nagyobb kockázatot jelent, mint valaha. Ez különösen nehezen észlelhető, hiszen a támadó maga is csapattagként, megbízható alkalmazottként viselkedik: reggel bejelentkezik, elvégzi a rábízott feladatokat, részt vesz a standup meetingen, ránéz a Jira ticketjeire vagy épp Slack csatornákat böngész – pont, mint bármelyik kolléga. Mivel kezdetben semmi gyanúsat nem csinálnak, könnyedén kiépítik a hozzáféréseket, miközben senki sem figyel fel rájuk.
A távmunka új korszakot hozott
A távmunka széles körű elterjedése alapjaiban átalakította a munkaerőpiacot: ma már semmi szokatlan nincs abban, ha valaki egy multinál dolgozik anélkül, hogy valaha találkozott volna személyesen a felettesével. Ezt használták ki Észak-Korea ügynökei. Meghamisított önéletrajzokkal, ellopott vagy mesterségesen generált személyazonosságokkal, deepfake-videókkal és MI-alapú tartalmakkal gond nélkül átmentek az állásinterjúkon, a gyanútlan HR-esek pedig felvették őket. Több esetben amerikaiak személyes adatait szerezték meg online állásportálokon vagy adathalász támadások útján.
Globális infrastruktúra és helyi segítség
A támadók összehangolt, államilag támogatott műveletben dolgoztak, nem egyedül: amerikai segítők gondoskodtak például a laptopfarmokról, ahol a munkaadó cégek laptopjait központilag kezelték. Ezeket KVM-switch-ekkel (billentyűzet, videó, egér kapcsoló) irányították, így a látszat szerint minden hozzáférés az Egyesült Államokból indult – ezzel kijátszva a földrajzi korlátozásokat és csalás elleni rendszereket. Ez az infrastruktúra egyszerre biztosította a zavartalan beolvadást és a világszintű hatékonyságot.
Az észlelés vakfoltja
A vállalatok túlnyomó többsége a kívülről érkező anomáliákra, például portszkennelésre, gyanús forgalomra, azonosítási hibákra fel van készülve. De a belső, papíron hibátlan dolgozók aktivitása gyakran semmilyen riasztást nem vált ki. Ezek a támadók a szokásos munkamenet szerint járnak el, a probléma pedig csak később, az adatszivárgás vagy pénzügyi veszteség után derül ki.
Ezért elengedhetetlen, hogy a cégek ne csak a felvételi folyamatot szigorítsák, hanem a teljes digitális viselkedést is folyamatosan monitorozzák. A felhasználói aktivitás adatainak – például felhőnaplók, végponti események, távoli bejelentkezések – hosszú távú és elemzésre alkalmas tárolása ad lehetőséget az utólagos visszakeresésre és a gyanús minták felismerésére.
Új védekezési stratégia kell
A védekezés nem ott kezdődik, amikor megszólal az első riasztó. Előrelátóan, viselkedésalapú elemzéssel, szabálytalan hozzáférések és adatletöltési szokások szűrésével lehet esély az ilyen beolvadó támadók leleplezésére. Olyan kérdéseket kell feltenni, mint például: ki és mikor lép be szokatlan időpontban, melyik új dolgozó tölt le szokatlan mennyiségű adatot, vagy kik férnek hozzá olyan rendszerekhez, amelyeket más kollégák nem is látnak.
Nincs érintetlen iparág
Ez a támadókampány nem egyetlen szektort érintett – az áldozatok között a védelmi ipartól a tech cégeken át gyakorlatilag mindenki megtalálható; ezt indokolja a hadművelet fő célja, hogy a lehető legtöbb vállalatba minél mélyebben beszivárogjanak és azt kihasználják.
Összefoglalva elmondható, hogy a távmunka és a mesterséges intelligencia alkalmazása óriási előnyöket és veszélyeket is rejt magában: az ellenség nem a tűzfalad előtt áll kopogtatva – lehet, hogy már rég be is jelentkezett. Az ilyen, akár állami háttérrel támogatott, globálisan szervezett fenyegetések ellen csak összetett, adatvezérelt vizsgálatok, újfajta monitorozási és felvételi stratégiák vezethetnek eredményre.
