在本篇文章中，我們將探討工作場所使用社交網(wǎng)絡(luò)帶來的安全問題，以及如何解決這些問題。

五年前，對(duì)于企業(yè)來說，設(shè)計(jì)網(wǎng)站并不是一個(gè)大問題。以前員工使用社交網(wǎng)站主要用于個(gè)人目的，IT很容易創(chuàng)建政策和安全控制來防止員工在企業(yè)系統(tǒng)和網(wǎng)絡(luò)訪問社交網(wǎng)絡(luò)。

然而，在企業(yè)開始使用社交網(wǎng)絡(luò)用于業(yè)務(wù)目的(包括銷售、營銷和客戶服務(wù))后，這一切都改變了。事實(shí)上，曾經(jīng)被視為是浪費(fèi)時(shí)間的社交網(wǎng)絡(luò)活動(dòng)現(xiàn)在已經(jīng)成為很多企業(yè)的主要營銷方式。

曾經(jīng)阻止社交媒體的企業(yè)現(xiàn)在開始為企業(yè)內(nèi)的某些用戶和組放寬這種限制。然而，企業(yè)管理和IT面臨的挑戰(zhàn)是，如何控制對(duì)社交網(wǎng)絡(luò)的使用，以平衡安全性和靈活性。

這個(gè)問題的部分原因是，很多企業(yè)并不了解真正的核心問題：并不是攻擊者在濫用社交網(wǎng)絡(luò)發(fā)布的信息，或者他們?cè)谑褂眠@些網(wǎng)站來發(fā)動(dòng)攻擊，而是員工不了解他們?cè)诰W(wǎng)上發(fā)布信息涉及的風(fēng)險(xiǎn)，并且，他們沒有意識(shí)到成功的攻擊可能帶來的損害程度。

這方面有幾個(gè)關(guān)鍵問題需要考慮。首先是社交網(wǎng)絡(luò)的本質(zhì)，社交網(wǎng)絡(luò)是一個(gè)平臺(tái)，用戶可以協(xié)作和共享—主要是出于個(gè)人目的(至少在初期階段是這樣)。問題是，員工并沒有意識(shí)到他們?cè)谶@些環(huán)節(jié)中公開發(fā)布的信息可以被用于社會(huì)工程共計(jì)，或者用于重設(shè)這些網(wǎng)站的密碼。他們的公開檔案讓攻擊者可以很容易識(shí)別員工，他們通常能夠獲取足夠的信息來發(fā)動(dòng)有效的魚叉式釣魚攻擊。

另一個(gè)因素是年齡。員工的年齡在很大程度上影響著共享的信息量和對(duì)社交網(wǎng)絡(luò)的理解度。老員工并不會(huì)排斥社交媒體，在另一方面，工作十年左右的員工是伴隨著Facebook成長起來的，當(dāng)他們到達(dá)餐廳或者在Instagram發(fā)布其朋友和同事的照片時(shí)，他們并不會(huì)過多考慮。

這也許并不令人驚訝，即當(dāng)在涉及社交媒體使用的危險(xiǎn)性和安全性時(shí)，員工和IT并不是很了解。員工能難理解攻擊者如何利用最平淡無奇的信息來攻擊他們或者他們的企業(yè)。然而，他們必須意識(shí)到的是，幾乎一切信息都可以用來攻擊他們，從幫助臺(tái)的員工信息和銷售團(tuán)隊(duì)信息，到企業(yè)野餐的地點(diǎn)，甚至佩戴公司徽章的員工照片都可能被攻擊者利用。

在數(shù)字防御報(bào)告“社交媒體的危害：每個(gè)‘社交媒體交際花’都應(yīng)該知道的事情”中，介紹了幾個(gè)案例來說明攻擊者試圖尋找的有價(jià)值的信息類型。其中一個(gè)例子是一名沮喪的員工在自己的Twitter賬號(hào)上抱怨其公司保安總是遲到：“我討厭等這個(gè)總是遲到的保安!”攻擊者可能利用這種信息來了解員工日程和工作時(shí)間，從而更容易侵入企業(yè)，選擇保安不在值班的時(shí)候。

除了上述危害，在網(wǎng)上發(fā)布的信息還可能暴露關(guān)于企業(yè)地點(diǎn)和正在使用的技術(shù)的信息。這種泄露的信息往往是元數(shù)據(jù)形式，即關(guān)于文件內(nèi)數(shù)據(jù)的信息以及嵌入到文件本身的信息。元數(shù)據(jù)可能包括(但肯定不限于)地理位置信息、擁有者/作者/用戶名、計(jì)算機(jī)名、網(wǎng)絡(luò)共享、IP地址和應(yīng)用程序版本。