DoSECU 安全分析 7月13日消息:必须承认的是:目前很多人沉迷于社交网络。你的选择可能是Facebook或者Twitter,也可能是Myspace或者LinkedIn。还有些人所有的都用,即使是熟知网络的IT安全从业人员也不例外。
尽管避开社交网络的所有风险是不可能的,但是我们可以采取一些安全措施来明显减少这种风险性。CSOonline最近和数十名IT安全专业人员(具有讽刺意味的是,他们使用了多种社交网络平台来做这件事)来总结出其中人们经常会犯的典型性安全错误;和如何避免这些错误。
过度共享公司活动
这是因骄傲犯下的过失,当有人对他们公司从事的业务感到自豪,他们就会去告诉其他人。举例来说,你在一家制药公司工作,公司所研究的治癌药物即将取得成功。或许公司正在研发一种可以在糟糕路况下行驶的最新汽车–换句话说这是某些人想得到的信息。
如果你对公司的知识产权知道的太多,你可以会被威逼利诱将这些信息透露给竞争对手,而竞争对手由此就可以不费吹灰之力的剽窃你们公司的研究成果或者伺机进行破坏行动,他们可能会雇佣黑客去入侵你公司的网络或者派商业间谍进入公司内部。
然后这些掌握大量僵尸网络的黑客就会利用程序攻破公司的防御系统和寻找系统薄弱的地方,通过这些漏洞访问与知识产权有关的数据。有了这些数据在手,黑客可以把它出售给出价最高的竞拍者,而这个竞拍者可能就是你们公司最大的竞争对手。
Altran Technologies的高级安全专家Souheil Mouhammad表示"此类信息的共享会导致针对专有技术制造企业的目标型攻击"。
这种过失曾经在安全行业引发争论,就是企业是否必须定期审查他们员工的计算机,对社交网站领域设置更具针对性的使用协议。
为了让防止信息共享的概念深入人心,不断重申可能会是有用的。
让私人信息与商业信息混为一谈
这种过失与第一种过失是紧密相关的,但是它不仅限于暴露公司数据的范围。这种情况是某人使用社交网络来满足业务和娱乐的需求,Facebook是最普及的,用户的朋友中就包括商业合作伙伴,家庭成员和私人朋友。
问题是与朋友和家人共享的语言和图片从专业角度来看是非常不合适的。你预期中的雇主在看到你在某人的生日宴会上喝的酩酊大醉丑态百出的照片后,可能会在考虑雇员人选时直接跳到下一个候选人上。在共享此类信息时,你也要保持谨慎。
AT&T的首席安全工程师Paul V. de Souza表示"我的观点是当你忙于社交网络时要明白你的言辞都归于公共域。你发表的内容可能会被整个互联网引用,因此要确保认真斟酌你的言辞。要使用外交辞令和极度专业的语言"。
在某些情况下,将社交网站上的私人信息与商业信息相分离几乎是不可能的。举例来说,那些在媒体公司工作的朋友有时被要求使用他们所有的社交网站入口来散布各种内容,来提高网页的浏览量,继而吸引潜在的广告客户。但是无论何时无论何处都可能的是,安全从业人员会去解决这个问题,进行一一锁定。
Ernst & Young的高级IT安全和风险咨询师本杰明.富勒表示"你必须非常清楚的知道你出现在任何社交网站上的目的是什么。如果是为了工作,就只为工作而上社交网站。如果是为了私人和娱乐,就只供私人用途使用。我无法告诉你我有多少次被同事邀请加入Facebook,只是为了看一眼他们并不清晰的照片。我将所有工作上的朋友保存在LinkedIn网站上,私人的朋友都在Facebook上。即使是这样,在任何一家网上发表言论我都非常谨慎"。
沉溺于Tweet (或Facebook/LinkedIn/Myspace)网站
对于那些刚刚被解雇或者缺乏职业道德的人来说,想要重新回到工作岗位或者对之前单位的憎恨是不可避免的。
辛辛那提一家公司的IT总监John Bruggeman表示"如果你不想卷入一场网络上的激烈口水战,要留心你的言论,把自己想象成身处一个大家都在倾听的宴会上,对你的老板,配偶或者未来的雇主都是如此"。
一家从事数据库的兄弟公司的总裁兼首席执行官Scott Hayes也同意这种说法,他表示"当发送带着偏颇的电子邮件时,愤怒的情绪是非常危险的。在你点击发送之前一定要三思而后行,因为你的言辞时隔多年都会被看成是易怒和不成熟的表现"。
认为链接越多胜算越大
对于那些沉迷社交网站的人来说,他们的任务就是尽可能的累计联系人数量。LinkedIn上的某些人就是因为这样做而声名狼藉。这可能看起来危害不大,或者最坏的情况下也只是惹人讨厌。但是当游戏的名称数量超过了质量,就很容易和伪装的艺术家,恐怖分子即身份窃贼连系在一起。
位于荷兰的XS4ALL Internet的安全专家Ruud van den Bercken表示"总是要校验想和你联系的人的身份。你认识他或她吗?如果不认识,为什么这个人要和你联系?检查这个人的简介看是否安全。如果你无法找到此人联系方式一栏,你就必须问问自己是否你真的想继续走下去。
正如旧金山的网络和安全架构师Jatinder Thukral所说的"我宁愿只有50个认识的联系人而不是500个不认识的联系人"。
密码疏于管理
另一宗常见的过失就是懒散,在这种情况下你在社交网站设置的密码应该不太可能会忘记的。在很多情况下这意味着在LinkedIn和Facebook上使用的密码也会使用在工作计算机的网上银行账号上。如果存在恶意企图的人破解了某个社交网络的密码,那么他就可以自由使用你网络上的一切。
OnPoint Consulting Inc的信息安全工程师Daniel Philpott表示"在几个网站上使用相同的密码就好比信赖最薄弱的链接。每个网站都有容易受到攻击的弱点,都可以会被黑客攻击"。
见什么都点击
Facebook由于收件箱中充斥着莫名请求而声名狼藉。对某些沉迷社交网站的人来说,点击这些请求就像呼吸一样自然。不幸的是,犯罪分子也了解这一点,他们会给你发送看似来自合法朋友的链接。打开链接,你就相当于邀请木马程序来感染你的计算机。Prudent Security的总裁Christophe Veltsos将这种行为描述为"点击快乐症"并警告说"不要点击,除非你已经为应对驱动型下载和零日攻击做好了准备"。
危及自己和他人
以上提到的几种过失都会归结到第七种–或许是最严重的过失,即不计后果的社交网站会让大家的生活置于危险之中。它可能与亲属或者合作伙伴有关,或者就是你自己。
安全专家建议在网上记录生日信息,配偶和孩子信息时要极端警惕。否则他们可能会成为身份窃贼或者绑匪的目标。
上个月在芝加哥举行的首席安全官关于数据防损的研讨会上,摩托罗拉公司的首席安全官Bill Boni就表示了他对使用Twitter的意见,并将其称为自我绑架的最佳方法。