当CIO将在威斯康星州部门卫生保健和亲和力卫生系统的员工使用Facebook来利用Facebook来传播关于新计划和成功的项目,他对结果感到惊讶:很少有这样做。
“我在那里思考,'我们把这些人伸出了宽松;我们将在那里有10,000个营销人员,'”威卫生说。但事实证明,该部卫生劳动力训练良好,以保护敏感数据,而无明确指导他们所说的内容,他们的第一次反应是分享。
“我们已经向员工强调了数据安全的重要性,尤其是涉及到患者隐私的时候,这让他们无法在Facebook上分享工作中的所有精彩内容,”韦德说。
这是个好问题。许多人担心,社交网络在个人和组织中的流行,将加速社会工程攻击的增加,这可能导致安全漏洞,暴露公司数据或损害公司的声誉。
事实上,Facebook、LinkedIn、Twitter、在线论坛和博客等社交媒体为攻击者创造了一个完美的机会,它们混合了网络的匿名性、对数亿人的简单直接访问,以及数量空前的个人信息。
Netragard LLC是一家为客户进行漏洞评估和渗透测试的安全服务提供商,其首席技术长德索泰尔(Adriel Desautels)说,考虑到在社交网络出现之前,犯罪分子必须付出真正的努力来吸引受害者。通常,这样做的回报并不值得。但他表示,有了社交媒体,人们很容易迅速有效地击中大量目标。
“而不是欺骗那个特定的人,他们可以与一群人交朋友,”Desautels说。“他们可以在他们的墙上发布一个URL,其中一个人可能会点击它。”
接近风暴
但是,虽然高管似乎掌握了社交网络的潜在威胁,但只有苗条的大多数组织似乎觉得有必要做点什么。在2009年9月的电脑世界调查中,50项IT专业人员的53%据民意调查称,他们的组织有一个社交媒体使用政策,而41%表示他们没有,6%的人说他们不知道这项政策。
2009年7月民意调查通过广告局罗素牧民和律师事务所的商业法,既基于明尼阿波利斯,81%的受访者占81%的受访者表示,他们对社交媒体及其对企业安全和声誉管理的影响。然而,三分之一的人说他们已经实施了社交媒体指导方针,只有10%的人表示他们已经开展了相关的员工培训。
一个deloitte llp.民意调查这些结果。在接受调查的500名高管中,只有15%的人表示,董事会正在处理社交媒体的风险,不过58%的人表示,他们同意这样做很重要。但即使那些有政策的国家也可能无法有效地传达它们。在德勤调查的2008名员工中,26%的人说他们的雇主对他们在网上的言论有指导方针,24%的人说他们不知道他们的雇主是否有这样的政策,11%的人说有这样的政策,但他们不知道是什么。
不是一项政策涵盖了每个基础,Ira Winkler是一个计算机Worlld.com专栏作家以及我们(Wiley,2005)和互联网安全顾问组的间谍主席,这是一个SECIONS SIMULATIONS的IT安全公司的IT安全公司。但肯定不再是一个选择的方法,也没有阻止社交场所的使用在工作。
“太多公司想说,”这是你的私生活,所以我不会打扰你,“”他说。“但人们在家里的不安全行为会使业务的不安全感增强。”
关注的不仅仅是员工将彻底泄露敏感数据。这是他们将揭示有关自己或工作场所的足够信息 - 无论是在一个配置文件中还是分布在几个配置文件中 - 使一个冒名者能够评估他们的个性并获得他们的信任,弄清楚他们的密码重置问题或令人信服地假装成为一名同事,商业伙伴或客户(见“黑客如何找到弱点“)。
温克勒说:“小片段的信息构成了大画面。”有价值的花絮包括出生日期;孩子、宠物和最好朋友的名字;关于雇主的事实或关于工作项目进展的评论;爱好列表;关于假期或改变生活的事件的更新;和朋友的链接。这些信息很容易找到,可以使用Maltego.com和Pipl.com等网站提供的侦察工具,也可以在Facebook或LinkedIn上进行搜索。
当NetRagard进行渗透测试时,它会发现在特定公司工作的Facebook上的所有人员,并从墙壁,帖子和配置文件中提取数据。它将这些信息拉到数据库中,并分析结果,以评估公司文化等事物,无论有人会迅速回应请求或如何严重保安人员采取工作。从一个简单的评论中关于Java注册行为不当,Desautels说,NetRagard可以创造一个看起来像公司不会注意到或关心的东西的攻击。
Desautels说,坏消息是,没有一个确定的方法来保护你的公司免受社会工程的威胁。毕竟,这种脆弱性源于人类信任他人的自然倾向。但是,您可以采取一些措施来降低黑客成功的风险。社交媒体政策是一个很好的开始。
这些政策的范围从严格到非常宽松。例如,体育广播公司ESPN Inc.的指导方针禁止员工建立包含体育内容的个人网站和博客,并要求员工在参与任何与体育有关的社交网站之前必须获得许可。
与此同时,部部卫生鼓励员工讨论积极的工作活动,甚至提供对雇主的建设性批评。然而,它还具有指导方针,例如,威尔·威德德说,禁止员工在任何情况下在线分享患者信息。
一个基本但有争议的政策问题是,是否允许员工在网上档案或社交网络论坛中提到雇主的名字。Desautels认为,禁止这些行为是抵御社会工程威胁的最好方法。
IT安全公司Cyveillance的网络情报主管特里•古戴蒂斯(Terry Gudaitis)表示,如果你真的很担心,你可以考虑限制员工提供他们的办公室电子邮件地址,以及识别他们工作的地理区域。即便如此,在员工个人资料上看到的朋友的评论或其他对话也有可能泄露雇主的信息。她说,在这种情况下,监控和删除这些参考信息取决于个人资料所有者。
同样,温克勒建议限制员工在个人资料中提及业务发展。例如,如果一个研究人员谈论他的项目缺乏进展,或者更能说明问题的是重大突破,那该怎么办?或者如果一个销售人员在推特上说她要去见朋友,因为她刚刚赢得了一个大客户?温克勒说,结合其他信息,比如最近加入销售人员好友列表的名字,这样的小道消息可以透露相当多的信息。
“这些东西过去是被锁在私人日记里的,”古戴蒂斯同意这种说法。“商业交易、商业秘密、机密信息和个人信息等各个层面的披露量都非常高。”她说,同样令人担忧的是,一些员工在会议期间发推特,谈论正在发生的事情,甚至是谁出席了会议。
当然,禁止提及雇主的政策会将公司带出来营销社交媒体游戏.但德索特尔对这种营销方式提出了警告。他在他的博客中说:“你将向你的客户开放一个潜在的世界,通过网络钓鱼和其他类型的攻击。”
另一方面,韦德表示,不使用社交媒体进行营销是不可想象的。他说:“为什么我们不能停止公布我们的电话号码,这样人们就不能进入我们的语音信箱系统,或者锁上我们的门,这样病人就进不去了呢?”
韦德说,避免数据泄露的方法是建立明确的数据安全政策,并为员工提供持续的培训。该培训可能涉及如何加强Facebook等网站的安全设置。据比较在线服务的NextAdvisor.com网站称,Facebook用户应该通过网站的“我的隐私”部分微调哪些人可以访问他们的个人资料和帖子的特定方面。
不是'朋友' - ly
公司可能还想建议员工不要接受每一个朋友的邀请。“在很多情况下,人们会对任何跳出来的人说yes,”Gudaitis说。“但不管这些人是谁,他们都很容易受到攻击。”她说,最好还是保守一点,只认可生意上的熟人、大学里的老同学或家人。
为了更加谨慎,NextAdvisor说,你甚至应该验证朋友请求是否来自它似乎来自的人,通过向他发送电子邮件或致电他。“在您认识和信任的人的名称下,某人很容易建立一个虚假的简介,以便从您提取您的其他信息,”该网站说。
员工还应该意识到,虽然社交网站要求他们提供出生日期和电话号码等个人信息,但这并不意味着他们需要提供这些信息。在NextAdvisor最近对Facebook用户进行的一项调查中,27%的受访者表示,他们在个人资料中列出了自己的全名、出生日期、电话号码和电子邮件地址,另有8%的人表示,他们还包括自己的街道地址。
该网站表示:“你真正的朋友和同事可能已经知道这些信息,所以在你的资料中包含这些信息只会增加你被身份窃贼侵害的风险。”
当然,黑客可以收集这些信息,即使你没有在一个地方提供所有信息。为了防止这种情况,古代提斯建议改变你的网名。
她说,想象一下,如果黑客能够跟踪特定系统管理员或服务台技术人员在网上的每一个动作,从留言板和论坛上收集信息,因为受害者到处使用相同的网名。她说:“如果我是一个对手,我就可以开始把所有这些信息联系起来,甚至和他们聊天,以便更好地了解他们的网络和系统架构。”“如果我们查一下每个人的帖子……我们可以把拼图碎片拼在一起。”
企业也可以审视自己的一些做法,以弥补社会工程安全方面的差距。除了建议员工选择通过研究无法回答的密码重置挑战问题,你还可以遵循以下建议谷歌公司的领先地位并将密码信息发送给员工的手机,而不是他们的电子邮件地址。
招聘是可以加强安全的另一个领域。温克勒建议,要对求职者的社交网络习惯进行筛查,不仅要看他们关注的典型领域,比如不道德行为,还要看他们在社交媒体上的活跃程度,以及他们在社交媒体上曝光个人信息和发表极端政治观点的可能性。
Desautels说,也许最关键的是设计基础设施和管理敏感数据,以便在发生入侵时尽量减少损害。他强调了使用加密、记录和记录网络活动、对数据进行分类以及将最敏感的数据放在网络无法到达的区域的重要性。他说,有了一个合理设计的基础设施,“你就可以防止成功的渗透,成功地窃取你的数据。”“就因为他们闯进来了,他们没必要让你失业。”
韦德说,最后,关键是找到一种平衡的方式,在降低风险的同时利用社交媒体。对他来说,社会工程威胁当然是他最担心的10大问题之一,但它们远没有排在第一位。“这是我认真对待的事情,”他说,“但我确实认为,在合理的风险和各种事情发生的可能性之间有一个平衡。”
Brandel是Computerworld的特约撰稿人。请通过marybrandel@verizon.net联系她。
这个故事,“脸谱网上的诱饵和欺骗”最初是由《计算机世界》 .