检测欺诈性朝鲜雇员：CISO 实践指南

概述：朝鲜的“工人计划”已演变为全球性威胁。该计划最初针对美国科技公司，现已蔓延至金融、医疗和政府等其他地区和行业。任何招聘远程员工的公司都面临风险；作为一家远程优先的科技公司，甚至 Sophos 也曾成为朝鲜国家支持的操作人员伪装成 IT 工作者的目标。

风险评估

这些威胁行为者瞄准高薪、完全远程的职位，主要目的是获取薪资以资助朝鲜政府利益。他们通常申请软件工程、Web 开发、人工智能/机器学习、数据科学和网络安全等职位，尽管也已扩展到其他岗位。

被这些威胁行为者渗透的组织面临多重风险。雇用朝鲜工人可能违反制裁规定。此外，威胁行为者可能进行传统的内部威胁活动，如未经授权的访问和窃取敏感数据。欺诈性工作者可能通过威胁暴露数据来勒索组织以增加收入，尤其是在被解雇之后。

在此计划中，组织规模似乎不是一个影响因素。Sophos 观察到，从寻找承包商或临时帮助的独立运营者，到财富 500 强公司，都成为目标。大型公司的员工通常通过外部机构雇用，而雇佣审查可能并不严格。

我们能提供的帮助

我们一直在完善一项内部倡议，采用跨职能方法来应对这一威胁。在整个过程中，我们发现组织可获得大量的防御指导。然而，将其编译成一套连贯且可操作的控制措施需要付出大量努力。对于防御者来说，知道“做什么”通常很直接。真正的挑战在于“如何做”。

任何实施过控制措施的人都知道，纸上看似简单的事情，尤其当目标是可扩展、实用和可持续的解决方案时，可能会迅速演变成复杂的设计挑战。我们决定发布一份实践指南，以支持其他组织应对这一威胁。在开发这些材料时，我们优先考虑具体性而非广泛适用性。这些控制措施基于最佳实践、我们自身的流程，以及我们安全研究人员提供的威胁情报，这些研究人员一直在监控朝鲜威胁行为者所使用的战术、技术和程序（TTP）。

该实践指南包含一个工具包，其中包含两个版本的控制矩阵（静态版和项目经理就绪版）、一份实施指南和培训幻灯片。我们将控制矩阵分为八个类别，涵盖从员工获取到入职后的全过程：

• HR 和流程控制
• 面试与审查
• 身份与验证
• 银行、薪资与财务
• 安全与监控
• 第三方与人员配备
• 培训
• 威胁狩猎

该矩阵列出了技术和流程控制措施，因为避免和清除欺诈性朝鲜工作者并非简单地、甚至主要不是技术问题。解决方案需要跨内部团队（如 HR、IT、法律、财务和网络安全）以及外部承包商的协作。“项目经理就绪”版本包含额外的工作表，用于生成数据透视表以反映控制状态和所有权。这些工作表预填充了数据以说明其功能。

其中一些控制措施可能并非适用于所有组织，但我们提供此工具包作为资源。我们鼓励各组织调整建议以适应其环境和威胁模型。

立即访问工具包。