在本篇文章中,我们将探讨工作场所使用社交网络带来的安全问题,以及如何解决这些问题。
五年前,对于企业来说,设计网站并不是一个大问题。以前员工使用社交网站主要用于个人目的,IT很容易创建政策和安全控制来防止员工在企业系统和网络访问社交网络。
然而,在企业开始使用社交网络用于业务目的(包括销售、营销和客户服务)后,这一切都改变了。事实上,曾经被视为是浪费时间的社交网络活动现在已经成为很多企业的主要营销方式。
曾经阻止社交媒体的企业现在开始为企业内的某些用户和组放宽这种限制。然而,企业管理和IT面临的挑战是,如何控制对社交网络的使用,以平衡安全性和灵活性。
这个问题的部分原因是,很多企业并不了解真正的核心问题:并不是攻击者在滥用社交网络发布的信息,或者他们在使用这些网站来发动攻击,而是员工不了解他们在网上发布信息涉及的风险,并且,他们没有意识到成功的攻击可能带来的损害程度。
这方面有几个关键问题需要考虑。首先是社交网络的本质,社交网络是一个平台,用户可以协作和共享—主要是出于个人目的(至少在初期阶段是这样)。问题是,员工并没有意识到他们在这些环节中公开发布的信息可以被用于社会工程共计,或者用于重设这些网站的密码。他们的公开档案让攻击者可以很容易识别员工,他们通常能够获取足够的信息来发动有效的鱼叉式钓鱼攻击。
另一个因素是年龄。员工的年龄在很大程度上影响着共享的信息量和对社交网络的理解度。老员工并不会排斥社交媒体,在另一方面,工作十年左右的员工是伴随着Facebook成长起来的,当他们到达餐厅或者在Instagram发布其朋友和同事的照片时,他们并不会过多考虑。
这也许并不令人惊讶,即当在涉及社交媒体使用的危险性和安全性时,员工和IT并不是很了解。员工能难理解攻击者如何利用最平淡无奇的信息来攻击他们或者他们的企业。然而,他们必须意识到的是,几乎一切信息都可以用来攻击他们,从帮助台的员工信息和销售团队信息,到企业野餐的地点,甚至佩戴公司徽章的员工照片都可能被攻击者利用。
在数字防御报告“社交媒体的危害:每个‘社交媒体交际花’都应该知道的事情”中,介绍了几个案例来说明攻击者试图寻找的有价值的信息类型。其中一个例子是一名沮丧的员工在自己的Twitter账号上抱怨其公司保安总是迟到:“我讨厌等这个总是迟到的保安!”攻击者可能利用这种信息来了解员工日程和工作时间,从而更容易侵入企业,选择保安不在值班的时候。
除了上述危害,在网上发布的信息还可能暴露关于企业地点和正在使用的技术的信息。这种泄露的信息往往是元数据形式,即关于文件内数据的信息以及嵌入到文件本身的信息。元数据可能包括(但肯定不限于)地理位置信息、拥有者/作者/用户名、计算机名、网络共享、IP地址和应用程序版本。
