检测欺诈性朝鲜雇佣：CISO实用指南

是否有朝鲜背景的威胁行为者向您的组织申请了职位，甚至已被录用？我们正在分享一个工具包，以帮助您检测并规避这种风险。

风险分析

朝鲜的工人计划已演变为全球性威胁。该计划最初针对美国科技公司，现已扩散至其他地区和行业，包括金融、医疗和政府。任何雇佣远程员工的公司都面临风险；作为一家远程优先的科技公司，连Sophos都曾成为朝鲜国家支持、伪装成IT工作者的特工的目标。

威胁行为者瞄准高薪、完全远程的工作，主要目的是获取可用于资助朝鲜政府利益的薪酬。他们通常申请软件工程、Web开发、AI/机器学习、数据科学和网络安全等职位，但也已扩展到其他岗位。

组织被这些威胁行为者渗透会面临诸多风险。雇佣朝鲜工人可能违反制裁规定。此外，威胁行为者可能进行传统的内部威胁活动，例如未经授权的访问和窃取敏感数据。欺诈性员工还可能通过威胁暴露数据来勒索组织以增加收入，尤其是在他们被解雇之后。

组织规模似乎不是该计划的影响因素。Sophos观察到，从寻找承包商或临时帮助的个体运营者到《财富》500强公司都成为了目标。大型公司的员工通常通过外部机构雇佣，而这些机构的雇佣审查可能不够严格。

我们能如何提供帮助

我们一直在完善一项内部计划，采取跨职能方法来应对这种威胁。在整个过程中，我们发现了大量可供组织使用的防御指导。然而，将其整理成一套连贯且可操作的控制措施需要付出大量努力。对于防御者来说，知道“做什么”通常很简单。真正的挑战在于“如何做”。

任何实施过控制措施的人都知道，纸上看似简单的事情，尤其是在追求可扩展、实用和可持续的解决方案时，可能很快演变成复杂的设计挑战。我们决定发布一份实用指南（playbook），以支持其他组织应对这种威胁。在开发这些材料时，我们优先考虑了针对性而非广泛适用性。这些控制措施基于最佳实践、我们自身的流程以及我们安全研究人员提供的威胁情报，这些研究人员一直在监控朝鲜威胁行为者使用的战术、技术和程序。

该指南包含一个工具包，其中有两版控制矩阵（静态版和项目经理就绪版）、一份实施指南以及培训幻灯片。我们将控制矩阵分为八个类别，涵盖了从员工招聘到聘用后的全过程：

• HR与流程控制
• 面试与审查
• 身份与验证
• 银行、薪资与财务
• 安全与监控
• 第三方与人员配置
• 培训
• 威胁狩猎

该矩阵列出了技术和流程控制措施，因为规避和驱逐欺诈性朝鲜工人不仅仅、甚至不主要是技术问题。该解决方案需要跨内部团队（如人力资源、IT、法律、财务和网络安全）以及外部承包商的协作。“项目经理就绪”版本包含额外的工作表，用于生成数据透视表以反映控制状态和所有权。这些工作表已预填数据以说明其功能。

其中一些控制措施可能并不适合所有组织，但我们提供此工具包作为一种资源。我们鼓励各组织根据自身环境和威胁模型调整这些建议。

立即访问工具包。