الموظف المتخفي: كيف يستغل المهاجمون التوظيف عن بُعد للوصول إلى أسرار الشركات

الموظف المتخفي: كيف يستغل المهاجمون التوظيف عن بُعد للوصول إلى أسرار الشركات
الموظف المتخفي: كيف يستغل المهاجمون التوظيف عن بُعد للوصول إلى أسرار الشركات
شارك هذا الخبر

ماذا لو كان المهندس  الذي قمتم بتوظيفه حديثًا ليس موظفًا فعليًا، بل مهاجمًا متنكرًا؟ هذه ليست عملية تصيّد إلكتروني، بل تسلل عبر التوظيف الرسمي.

تعرّف على “جوردان من كولورادو”، الذي يمتلك سيرة ذاتية قوية، ومراجع مقنعة، وسجلًا جنائيًا نظيفًا، وحتى بصمة رقمية متوافقة مع بياناته.

في اليوم الأول، يقوم جوردان بتسجيل الدخول إلى البريد الإلكتروني وحضور اجتماع الفريق الأسبوعي، ويتلقى ترحيبًا حارًا من الزملاء. خلال ساعات، يحصل على صلاحيات الوصول إلى مستودعات المشاريع، ومجلدات العمل، وبعض مفاتيح التطوير المنسوخة التي تُستخدم في خطوط الإنتاج البرمجية.

وبعد أسبوع، تُغلق التذاكر بسرعة، ويُعجب الجميع بملاحظاته الذكية حول بيئة العمل، وأدوات التقنية، والأخطاء في إعدادات النظام، والموافقات التي تُمرر بسهولة.

لكن جوردان لم يكن جوردان. وترحيب الفريق الذي بدا وكأنه سجاد أحمر، كان في الحقيقة مفتاحًا ذهبيًا سلم مباشرةً إلى الخصم.

من التصيّد إلى التوظيف الوهمي

التهديد الحديث لم يعد رابطًا خبيثًا في بريدك الإلكتروني، بل تسجيل دخول شرعي داخل المنظمة.

على الرغم من أن التصيّد الإلكتروني لا يزال خطرًا حقيقيًا ومتناميًا، خصوصًا مع تزايد الهجمات المعتمدة على الذكاء الاصطناعي، إلا أنه مسار معروف للدفاعات. استثمرت المؤسسات سنوات في تعزيز بوابات البريد الإلكتروني، وتدريب الموظفين على التعرف على المحتوى الخبيث والإبلاغ عنه، وتشغيل اختبارات تصيّد داخلية.

نحن ندافع يوميًا عن سيل من رسائل التصيّد، بعد زيادة بلغت 49% منذ 2021، واستخدام نماذج الذكاء الاصطناعي لتوليد رسائل بريدية مقنعة بمعدل 6.7 أضعاف. هذا يجعل الهجمات أسهل بكثير.

لكن جوردان لم يدخل عبر البريد الإلكتروني، بل عبر أوراق التوظيف التي استكملت بشكل رسمي.

لماذا يُعد التوظيف الوهمي مشكلة الآن؟

انتشر التوظيف عن بُعد بشكل كبير خلال السنوات الأخيرة. اكتشفت الصناعات أن العمل عن بعد بنسبة 100% ممكن، وأن الموظفين لم يعودوا بحاجة لمكاتب محمية بسياج واضح. كما أن المواهب متاحة في أي مكان حول العالم، مما يزيد من قاعدة المرشحين المؤهلين.

لكن التوظيف عن بُعد ألغى الحماية الطبيعية التي توفرها المقابلات وجهًا لوجه، مما يخلق ثغرة جديدة للمهاجمين.

اليوم، الهوية هي السياج الجديد. ويمكن تزويرها، وانتحالها، أو حتى توليدها بالذكاء الاصطناعي. المراجع يمكن تزويرها، والمقابلات يمكن الإعداد لها مسبقًا أو إجراؤها نيابة عن المرشح. يمكن إنشاء وجوه وأصوات مزيفة باستخدام الذكاء الاصطناعي، ليظهر الخصم المجهول كمحترف شرعي ويحصل على مفاتيح الوصول.

التوظيف الوهمي في الواقع: عمليات كوريا الشمالية عن بُعد

خطر التوظيف الوهمي ليس مجرد توقع مستقبلي أو قصة مخيفة.

كشف تقرير نُشر في أغسطس الماضي عن أكثر من 320 حالة لموظفين شمال كوريين تسللوا إلى شركات عبر التظاهر بكونهم موظفي تكنولوجيا معلومات عن بُعد، مع هويات مزيفة وسير ذاتية مصقولة. هذه الحالات شهدت زيادة بنسبة 220% مقارنة بالعام السابق، مما يدل على تصاعد هذا التهديد بسرعة.

استخدم العديد من هؤلاء المهاجمين ملفات شخصية مولدة بالذكاء الاصطناعي، وتقنيات التزييف العميق، والتلاعب في الوقت الحقيقي لاجتياز المقابلات والبروتوكولات الأمنية. وفي حالة واحدة، شارك متعاونون أمريكيون في توفير أجهزة وشبكات وهمية للموظفين، ليتمكنوا من سرقة البيانات وتحويل الرواتب إلى نظام كوريا الشمالية، مع تفادي الكشف.

هذه ليست حوادث منفصلة، بل حملات ممنهجة غالبًا ما تستهدف شركات ضمن قائمة Fortune 500.

مشكلة “القلاع والخنادق”

تستجيب العديد من المؤسسات بشكل مبالغ فيه: “أريد أن يكون كل شركتي مغلقًا كما لو كان أكثر أصولها حساسية”.

يبدو هذا منطقيًا، حتى تتباطأ الأعمال. بدون سياسات دقيقة تميز بين التدفقات الشرعية والانكشاف غير الضروري، فإن تطبيق قيود صارمة على الجميع يعرقل الإنتاجية. الموظفون بحاجة إلى الوصول لأداء وظائفهم، وإذا كانت السياسات الأمنية مقيدة جدًا، سيبحثون عن حلول بديلة أو يطلبون استثناءات متكررة.

مع مرور الوقت، يصبح الاستثناء هو القاعدة، مما يعيدنا إلى نموذج “القلاع والخنادق”: جدران قوية من الخارج، لكنها مفتوحة من الداخل. إعطاء الموظفين مفتاح الوصول الكامل يعني إعطاء جوردان المفتاح أيضًا.

كيفية تحقيق حالة الصلاحيات صفرية ومنع التوظيف الوهمي

سمعنا جميعًا عن مفهوم “عدم الثقة أبدًا والتحقق دائمًا”، ويطبق على كل طلب، في أي وقت، حتى بعد دخول الشخص النظام.

مع السياج الأمني الجديد، يجب النظر إلى هذا المفهوم من منظور الهوية، مما يقودنا إلى مفهوم الصلاحيات صفرية الدائمة (Zero Standing Privileges – ZSP).

على عكس نموذج القلعة، الذي يغلق كل شيء بلا تمييز، يجب أن تُبنى حالة ZSP على المرونة مع قواعد صارمة:

  • لا وصول دائم افتراضي: الحد الأدنى المطلوب لكل هوية لأداء وظيفتها.

  • الوصول عند الحاجة مع أقل الصلاحيات: تمنح الصلاحيات الإضافية فقط عند الحاجة ولمدة محددة، ثم تُسحب.

  • التدقيق والمساءلة: كل منح وسحب مسجل لإنشاء سجل شفاف.

يقلل هذا النهج الثغرات، ويضمن عدم اعتماد المهاجمين على وصول دائم، بينما يتيح للموظفين أداء مهامهم.

خطوات عملية لتطبيق ZSP

الجرد والمعايير الأساسية:

  • دمج جميع الهويات (الموظفين، المتعاقدين، حسابات الخدمة) في مكان واحد.

  • تحديد الحد الأدنى للصلاحيات حسب الدور.

  • إزالة الحقوق المتراكمة أو الزائدة.

الطلب – الموافقة – الإلغاء:

  • تمكين المستخدمين من طلب الوصول عند الحاجة.

  • أتمتة الموافقات أو توجيهها عبر سير عمل مخصص مع سجل كامل.

  • منح الصلاحيات فقط عند الحاجة ولمدة محددة.

  • سحب الوصول تلقائيًا عند انتهاء المهمة.

القيود المصممة مسبقًا:

  • فرض جلسات محددة زمنياً، وصلاحيات محدودة، وإجراءات طارئة محكومة.

  • تقديم حزم مصدّقة مسبقًا للمهام الشائعة لضمان استمرارية العمل بدون انقطاع.

التدقيق الكامل والأدلة:

  • تسجيل كل عملية منح أو تغيير أو سحب.

  • الحفاظ على أدلة منظمة وقابلة للتصدير للمراجعات والتحقيقات والامتثال.

ابدأ صغيرًا لتحقيق نجاح سريع:


يمكن تجربة ZSP على أكثر الأنظمة حساسية لمدة أسبوعين، لقياس تدفق طلبات الوصول والموافقات والتدقيق. الانتصارات الصغيرة تساعد على تبني النظام أوسع، وتثبت أن الأمن والإنتاجية يمكن أن يسيرا جنبًا إلى جنب.

حلول مثل BeyondTrust Entitle تتيح تطبيق ZSP بأتمتة كاملة، مع منح الموظفين الصلاحيات عند الحاجة فقط، ثم سحبها بعد الانتهاء من المهام.

باتباع هذا النهج، يتم تمكين المستخدمين الشرعيين من العمل بسرعة دون ترك صلاحيات دائمة متاحة للمهاجمين.

وسوم
محمد الشرشابي
محمد الشرشابي
المقالات: 188

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة