XDR与威胁情报解析：入职十天识别朝鲜IT渗透人员

身份与访问管理无法单独识别冒牌IT人员。如本例所示，发现朝鲜内鬼需整合多重信号。

朝鲜IT冒牌员工计划已成为跨行业重大威胁。尽管最佳实践强调招聘阶段的防范措施，但一旦这类人员入职，往往难以察觉。近期案例证明，行为分析、威胁情报等多维度信息融合正成为关键防御手段。

LevelBlue SpiderLabs报告显示，某疑似朝鲜关联人员通过安全审查后被雇佣处理Salesforce数据，10天后才被识别并解雇。最终通过地理位置异常、非托管设备访问及威胁情报关联锁定威胁。

事件时间线

2025年8月，Cybereason XDR行为分析系统标记可疑登录模式，LevelBlue SpiderLabs威胁情报证实企业无意中雇佣了恶意人员。当管理员激活新员工EntraID账户时，团队发现其使用德克萨斯州达拉斯IP登录（偏离其常用中国区域），且登录设备未受管控，IP归属朝鲜IT人员常用Astrill VPN。

LevelBlue SpiderLabs威胁检测工程师Tue Luu表示："这种威胁很少通过单一指标判定，而是多重可疑迹象与统计异常的综合结果。"朝鲜IT冒牌人员可能窃取敏感数据、源代码、商业机密及知识产权，使企业面临勒索或凭证窃取风险。据估算，朝鲜远程工作者计划已渗透全球数百家企业，年均创收2.5亿至5亿美元。

攻击实施细节

调查团队审查员工互动记录、群聊记录等材料，未发现残留访问、后门或恶意工具痕迹，这归功于快速检测机制。

朝鲜关联内鬼的典型特征

SpiderLabs发现这类攻击者常从中国而非朝鲜操作，利用VPN服务掩盖真实地理位置。Astrill VPN能突破中国防火墙，通过美国出口节点伪装成合法国内员工。已知Astrill VPN IP范围的认证事件即构成高置信度入侵指标。

Luu指出："本案中该VPN并非客户环境常用解决方案，这种非常规使用构成真正异常。XDR方案能区分个人与商业VPN，仅对个人VPN使用告警。"

IAM并非万能方案

身份与访问管理无法单独识别冒牌IT人员。如本例所示，发现朝鲜内鬼需整合多重信号。Luu建议："可采取权限渐进策略，对高风险雇佣逐步提升权限。同时关注特定地区非工作时间登录或操作行为。"

CISO应确保入职流程健全并定期审查，Luu建议："明确环境中的'正常'软件并制定标准，优先使用公司管控的Windows设备。IT管理员应启用EntraID条件访问策略限制登录区域。本案客户事发前未激活该策略，事后根据Cybereason建议进行了配置。"