《福布斯》杂志网络版今日撰文称,社交网站不经检查的数据流正成为敏感数据的新来源,给大规模黑客攻击创造了条件,有人甚至认为社交媒体会成为企业IT安全部门的噩梦。同时该文呼吁称制定社交网站流量安全政策迫在眉睫。
以下为文章全文:
Twitter、Facebook、Gmail、LinkedIn、Skype,类似这样的社交网站还有很多很多,在十亿社交网站用户中,绝大多数经常一边工作一边玩社交媒体。这种不经检查的数据流正成为敏感数据的新来源,也带来安全漏洞,给大规模黑客攻击创造了条件。从技术角度讲,虽然制定社交网站流量安全政策存在一定难度,但仍必须制定这样的政策。
如果你的朋友或家人曾让你帮助解决PC速度变慢的问题,那你一定知道,普通家庭用户喜欢点击任何一处链接,喜欢接受任何朋友发出的邀请,甚至喜欢安装来自任何一个网站的软件。你可以分辨个人社交网站和职业社交网站之间的不同,比如Facebook和LinkedIn的区别,它们由于不同的原因吸引不同的用户,但问题是大多数用户并不擅长将个人生活和职业生活区别开来。我们可能会用Google Buzz账户的密码去作为登录公司活动目录(Active Directory)和Salesforce.com的密码。
黑客们当然清楚,现在电子邮件保护技术相当成熟,相比逃避电子邮件内容过滤工具的检查,诱使用户点击社交网站上的链接更容易一些。这些偷渡式下载(drive-by download)攻击可以使个人电脑和公司电脑感染各类恶意软件。现已略显落伍的病毒正被攻击目标更明确的定制式恶意软件所取代。恶意软件的威胁性更大,甚至能达到专业人士所称的“高级持续威胁”(APT)的程度。
国际知名厂商EMC旗下安全部门RSA称,该机构电脑系统近期遭受黑客攻击威胁,他们通过社交网站寻找公司重要职员的详细资料,然后将恶意软件以嵌入微软Excel电子表格的Adobe Flash形式,通过鱼叉式网路钓鱼(Spear phishing)发送至目标电脑。那些黑客用来搜集目标人群信息的社交网站就成了“病毒载体”。
IT部门主管在社交媒体使用问题上面临着两大挑战:一是如何保护网络免遭黑客攻击,二是如何保证生产率,在前一种情况中,黑客通过公司合作伙伴、外包商和员工使用的社交网站获取信息,在后一种情况中,由于员工思想处于“持续连线”状态,他们希望不断与工作和社交网站保持联系,这样,生产率肯定会受到影响。
总之,只要经过适当的安全意识培训,同时制定合情合理的用户政策,员工完全可以使用这些网站。同时,企业应该监督员工使用社交媒体或社交网站的情况,无论是出于个人目的还是职业需要,以保证他们遵守公司内部政策,降低发生欺诈事件的概率。最重要的是,要具备从网络内监督社交媒体使用情况的能力,如可以识别哪些用户正在使用哪些社交媒体服务,可以确定使用社交媒体服务的规模和方式,可以检查并警惕传输给那些社交媒体服务的内容。
在工作场所使用社交媒体的问题上,各方都应承担起自己的责任:员工有责任保持警惕,无论是在办公室、家中,还是在巴哈马群岛度假;企业有责任推出定义清晰的安全政策,保持开放的姿态,对高级管理层提出合情合理的要求。
【编辑推荐】