社交媒體過度分享給公司帶來網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
我們分享的每一條數(shù)據(jù)都像是一塊拼圖碎片,領(lǐng)英會(huì)透露職位頭銜,F(xiàn)acebook和Instagram會(huì)提供我們生活中的日常細(xì)節(jié),而X則提供實(shí)時(shí)洞察。這些信息碎片拼湊在一起,能為網(wǎng)絡(luò)犯罪分子繪制出一條行動(dòng)路線,并有助于他們發(fā)起高度精準(zhǔn)的釣魚攻擊。
AI的成熟提高了這一過程的效率。據(jù)Ivanti稱,GenAI在提升這些攻擊的有效性的同時(shí),也降低了它們的成本。通過分析社交媒體活動(dòng)的模式,AI可以制作出高度個(gè)性化、具有說服力的釣魚郵件。
在社交媒體上過度分享信息為網(wǎng)絡(luò)犯罪分子收集詳細(xì)的個(gè)人資料提供了機(jī)會(huì),這可能包括分享的愛好、度假計(jì)劃、家庭細(xì)節(jié),甚至與工作相關(guān)的成就。
這些信息可以讓攻擊者冒充員工或制作利用這些信息的郵件,誘使收件人點(diǎn)擊惡意鏈接或打開惡意附件。
網(wǎng)絡(luò)犯罪分子可以使用社交媒體與員工建立關(guān)系,并操縱他們執(zhí)行危害公司安全的行為。他們可以冒充同事、商業(yè)伙伴,甚至高管,利用從社交媒體上獲得的信息讓自己聽起來更可信。
Gen最近的一份報(bào)告顯示,社交媒體平臺(tái)已成為網(wǎng)絡(luò)犯罪分子的主要目標(biāo),其中Facebook占已識(shí)別威脅的56%,YouTube緊隨其后,占24%,X占10%,Reddit和Instagram各占3%。
許多員工為個(gè)人社交媒體賬戶和工作賬戶設(shè)置相同的密碼,使公司數(shù)據(jù)面臨風(fēng)險(xiǎn)。雖然這樣做很方便,但如果個(gè)人賬戶遭到攻擊,攻擊者也可能獲得訪問與工作相關(guān)的系統(tǒng)的權(quán)限。
2023年,伊朗威脅行為體TA455通過在領(lǐng)英上冒充招聘人員,瞄準(zhǔn)了航空航天行業(yè)的員工,誘使他們?cè)L問分發(fā)SnailResin惡意軟件的惡意網(wǎng)站,以建立持久的后門訪問。
CISO必須關(guān)注員工在社交媒體上的行為
CISO現(xiàn)在必須考慮防火墻之外的員工行為。攻擊面不再局限于公司終端,而是延伸到領(lǐng)英的個(gè)人資料、照片墻上的度假帖子和隨意的推文。
公司應(yīng)制定關(guān)于員工可以在社交媒體上發(fā)布什么內(nèi)容的政策,特別是關(guān)于他們的工作和工作場所的內(nèi)容。這些政策應(yīng)包括禁止分享敏感信息,如:
正在進(jìn)行的工作項(xiàng)目:員工應(yīng)避免發(fā)布有關(guān)正在進(jìn)行的項(xiàng)目、即將推出的產(chǎn)品或可能用于網(wǎng)絡(luò)攻擊的內(nèi)部運(yùn)營的信息。
工作關(guān)系:鼓勵(lì)員工不要分享有關(guān)同事、上司或商業(yè)伙伴的詳細(xì)信息,以避免社交攻擊。
職位和職責(zé):明確規(guī)定員工應(yīng)避免發(fā)布有關(guān)其職位、職責(zé)和工作地點(diǎn)的敏感詳細(xì)信息,這些信息可能會(huì)被攻擊者用來制作有針對(duì)性的釣魚郵件或冒充他們。
社交媒體帖子的問題是,隱私和公司安全之間只有一線之隔。CISO必須在這一細(xì)線上行走,在確保公司安全的同時(shí),不過度干涉員工在業(yè)余時(shí)間的行為。
這就是為什么隱私意識(shí)培訓(xùn)應(yīng)與網(wǎng)絡(luò)安全政策相結(jié)合。這不是關(guān)于控制,而是關(guān)于明確性。CISO不能只是強(qiáng)加規(guī)定,他們需要讓員工能夠就他們?cè)诰W(wǎng)上分享什么內(nèi)容做出明智的決定,在個(gè)人自由和公司安全之間取得平衡。
企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,旗下運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。旗下運(yùn)營19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)