社交網站成敏感數據新來源或成威脅企業IT安全的噩夢
《福布斯》雜志網絡版今日撰文稱,社交網站不經檢查的數據流正成為敏感數據的新來源,給大規模黑客攻擊創造了條件,有人甚至認為社交媒體會成為企業IT安全部門的噩夢。同時該文呼吁稱制定社交網站流量安全政策迫在眉睫。
以下為文章全文:
Twitter、Facebook、Gmail、LinkedIn、Skype,類似這樣的社交網站還有很多很多,在十億社交網站用戶中,絕大多數經常一邊工作一邊玩社交媒體。這種不經檢查的數據流正成為敏感數據的新來源,也帶來安全漏洞,給大規模黑客攻擊創造了條件。從技術角度講,雖然制定社交網站流量安全政策存在一定難度,但仍必須制定這樣的政策。
如果你的朋友或家人曾讓你幫助解決PC速度變慢的問題,那你一定知道,普通家庭用戶喜歡點擊任何一處鏈接,喜歡接受任何朋友發出的邀請,甚至喜歡安裝來自任何一個網站的軟件。你可以分辨個人社交網站和職業社交網站之間的不同,比如Facebook和LinkedIn的區別,它們由于不同的原因吸引不同的用戶,但問題是大多數用戶并不擅長將個人生活和職業生活區別開來。我們可能會用Google Buzz賬戶的密碼去作為登錄公司活動目錄(Active Directory)和Salesforce.com的密碼。
黑客們當然清楚,現在電子郵件保護技術相當成熟,相比逃避電子郵件內容過濾工具的檢查,誘使用戶點擊社交網站上的鏈接更容易一些。這些偷渡式下載(drive-by download)攻擊可以使個人電腦和公司電腦感染各類惡意軟件。現已略顯落伍的病毒正被攻擊目標更明確的定制式惡意軟件所取代。惡意軟件的威脅性更大,甚至能達到專業人士所稱的“高級持續威脅”(APT)的程度。
國際知名廠商EMC旗下安全部門RSA稱,該機構電腦系統近期遭受黑客攻擊威脅,他們通過社交網站尋找公司重要職員的詳細資料,然后將惡意軟件以嵌入微軟Excel電子表格的Adobe Flash形式,通過魚叉式網路釣魚(Spear phishing)發送至目標電腦。那些黑客用來搜集目標人群信息的社交網站就成了“病毒載體”。
IT部門主管在社交媒體使用問題上面臨著兩大挑戰:一是如何保護網絡免遭黑客攻擊,二是如何保證生產率,在前一種情況中,黑客通過公司合作伙伴、外包商和員工使用的社交網站獲取信息,在后一種情況中,由于員工思想處于“持續連線”狀態,他們希望不斷與工作和社交網站保持聯系,這樣,生產率肯定會受到影響。
總之,只要經過適當的安全意識培訓,同時制定合情合理的用戶政策,員工完全可以使用這些網站。同時,企業應該監督員工使用社交媒體或社交網站的情況,無論是出于個人目的還是職業需要,以保證他們遵守公司內部政策,降低發生欺詐事件的概率。最重要的是,要具備從網絡內監督社交媒體使用情況的能力,如可以識別哪些用戶正在使用哪些社交媒體服務,可以確定使用社交媒體服務的規模和方式,可以檢查并警惕傳輸給那些社交媒體服務的內容。
在工作場所使用社交媒體的問題上,各方都應承擔起自己的責任:員工有責任保持警惕,無論是在辦公室、家中,還是在巴哈馬群島度假;企業有責任推出定義清晰的安全政策,保持開放的姿態,對高級管理層提出合情合理的要求。
【編輯推薦】
