人人都在用社交媒体的时代，我们该如何应对攻击者的威胁？

社交媒体绝对可谓是有史以来最大的攻击界面——Facebook拥有约20亿用户；推特用户量也高达数亿。商业环境下很难再找出不使用社交媒体的人。通过社交媒体入侵企业网络也成为黑客最惯用的手段，而员工不良的网络习惯正在加剧这种趋势。

社交媒体正改变网络安全格局

ZeroFOX联合创始人兼首席执行官Evan Blair表示，很多人没有认识到社交媒体的内在危害。他们信任像Facebook这样的平台，因为他们这些工具建立了人与人之间沟通的桥梁，为他们打开来“新视界”的大门。但是同时也为恶意攻击者们敞开了“大门”。

黑客利用社交媒体对企业网络安全造成威胁主要体现在以下三个方面：

社交媒体让企业网络更为脆弱

社交媒体上提供了更多的敏感信息，从而使数据泄漏的潜在风险持续攀升，企业网络正在承受着比以往更为严峻的安全威胁。如“浏览器中间人”攻击快速成长为一种常见的攻击手段。它通过社交媒体站点感染企业员工的计算机，在其浏览器中建立隧道，进而窃取企业相关的登录证书、帐户密码及其他金融信息。

社交媒体将成为网络攻击的跳板

黑客正在通过植入新的恶意软件，将社交平台变成自己新的武器。他们以这些站点作为攻击的跳板，指挥和控制服务器来感染用户终端的系统并发动后续的攻击。

社交媒体让黑客组织走向国际化和公开化

社交媒体也为黑客组织提供了更为广阔的交流空间。它不仅为分布在全球的黑客们搭建起沟通的桥梁，还让黑客们被大众所知，方便被雇佣并获取利益，从而迅速成长为跨国的黑客机构。去年这类网络攻击数量的激增已经充分说明，社交媒体已成为全世界网络罪犯交流的主要平台。

随着网络安全意识的普及，大家很少会去访问他们认为可疑的电子邮件或是网站。这种行为会黑客提供了很多机会，他们开始利用受众的信任心理发起一次又一次成功的攻击案件。

Blair说，“我们已经看到了很多利用信任心理发起的攻击事件，但是它们都只在设备层面。现在我们看到这种方式已经发展到了人类层面，由此带来的安全风险会更大，因为人类才是网络杀伤链中最薄弱的环节。”

WatchGuardTechnologies公司信息安全威胁分析师Marc Laliberte称，现在这种威胁正在加剧。2016年早期这种攻击还不常见，像是通过Facebook传播恶意软件，但是一年后的今天这种威胁正在加剧。社交媒体威胁将从我们目前面临的“地毯式轰炸”攻击时代演变成更为复杂和令人信服（利用信任心理诱使受害者上当）的攻击。

以下罗列的几种员工社交媒体行为会将企业置身危险之中。下面我们就一起看看安全专家总结的最常见的社交媒体“坏习惯”有哪些？会造成这样的危险？以及我们应该怎么去做呢？

1.   过度分享敏感信息

Laliberte说，大多数人在公开提供个人隐私信息时都不会三思而后行。社交媒体账户是存储出生日期、教育背景以及家庭关系的“宝库”。这些数据通常在密码恢复过程中被设置为安全检查的选项。

他解释称，“一旦分享个人数据，攻击者在试图访问你的电子邮箱账户时就能很轻易地猜中答案。如你最好的朋友是谁？你出生的城市是哪里等等。而这些问题的答案都赤裸裸地躺在你的Facebook或LinkedIn的个人公开资料中。”

Blair还解释了为何有权访问客户和合作伙伴敏感信息的企业高管和特权员工会沦为黑客的重点目标。此外管理员也是主要攻击目标，因为他们管理着企业高管的账户而且也是黑客入侵企业的“切入口”。虽然这些特权用户通常都具备最安全的意识，但是他们也是最大的安全风险。

Blair进一步补充道，过度分享还可能导致个人人身安全风险，这一问题企业的高层领导需要格外注意。因为恶意攻击者可以从Facebook帖子或推文中很轻松地识别某一人的地理位置。

他告诫称，“如果你是一家大企业的CEO，这种行为将使你置身不可思议的危险境地。”

2.   随意点击链接

Blair说，在社交平台上公开参与的项目是另一个非常重大的隐患。同样是利用用户的信任心理，在社交媒体上，人们更有可能会点开在电子邮件中坚决避免的不明链接。

Blair解释称，“没有关于社交媒体安全意识的文化。”他用欺诈性新闻如何在社交平台上传播的例子证明了这种风险。用户通常在没有阅读这些文章内容的情况下，自动点击“分享”就将未验证的链接发送出去了，进而感染了数百万用户。正是这种心理推动了恶意软件和勒索软件的快速传播。

Laliberte说，“如果你的朋友创建了一个社交媒体帖子，说‘嗨，点击看看这个网站’，你点进去访问的概率一定比点击邮箱中一封附带链接地址的概率大。”例如，用户可能会收到这样的通知，说一个朋友在评论中提到了他们。当他们点击该通知时，他们的电脑可能已经下载了恶意软件。

越来越多的网络犯罪分子开始使用Facebook这样的社交平台，通过网络钓鱼活动传播恶意软件，并劫持账户来传播勒索软件和恶意浏览器拓展等。如果攻击者可以访问用户的账号，他们就可以利用它针对用户的好友列表发起进一步的诈骗活动。

3.   发表有争议的帖子

有些人喜欢频繁地在论坛和社交网络上发布和评论一些有争议的话题。Laliberte认为，不管他们的政治观点是什么，他们的行为都可能使其沦为黑客的攻击目标。

他解释称，“像匿名者这类黑客组织，特别喜欢针对发表有争议性社会和政治观点的个人和组织。”

想要通过在公共论坛和社交媒体上发表有争议性的意见而博得关注的员工，可能会触发网络犯罪分子的攻击行为。如果有人利用公司IP或账户在推特上发表有争议性的言论，那么他们的雇主公司就很可能会沦为黑客的攻击目标。

Blair重申了在公开平台发布言论的重要性，他告诫称，“没有任何东西是私有的，你所做的一切都将作为证据永远存留在社交媒体上。”

4.   滥用企业社交工具

Blair表示，内部合作平台（如Slack、Hipchat以及Google Hangouts）的兴起为企业社交媒体风险带来了有趣的转变。这种商业友好型社交媒体的浪潮与Facebook或Twitter一样存在风险。

他解释称，大多数普通员工不会通过分享信息将自己置身网络攻击的风险中。对他们来说，最大的风险是无意中分享了会对公司业务造成损失的信息。

这种风险主要是员工利用以业务为中心（business-focused）的社交协作平台造成的，他们在其中公开并分享很多敏感信息。例如，在Slack上，用户可以将第三方添加到群组中，因为他们正在处理同一个项目并希望合作伙伴参与其中。这样一来，业务群中的外部人员也能够访问敏感数据，这就成了一个考验安全的大问题了。

Blair说，这些员工在开一些玩笑（内容可能敏感或违法等）却将他们的企业置于责任方时也是一个非常大的风险。

他解释称，“人们可能不会在电子邮件中写一些东西，但是他们会在Slack、Hipchat或是Hangouts中表达，而这些都可以被作为证据。”

5.   重复使用密码

如果你没有为每个社交媒体账号设置不同的密码，一次攻击就可能导致它们全部沦陷。网络犯罪分子经常针对社交媒体发起攻击，因为它们包含大量敏感信息。而人们通常会把与社交媒体账号一样的密码，用在其他存储更多敏感数据的地方，如在线银行等。

Laliberte举了LinkedIn2016年的数据泄漏案为例，这次泄漏事件危及超过1亿个用户账号。通过这些泄漏数据，攻击者成功获取了一名DropBox员工的登录凭证，并由此泄漏了6000多万个用户凭证，因为他／她们没有为账户设置不同的密码。

6.   根本就没有账户

通过社交媒体攻击的潜在成本可能超过其收益。那么既然风险这么大，为什么还要使用Facebook、Twitter或是Instagram呢？

没有账户或是不在社交媒体上声明企业名称仍然存在风险。这种做法可能会使你面临被劫持的风险，在这种类型的攻击活动中，攻击者会创建一个社交媒体账号或博客来模仿一种特定的业务。他们可以从中分享一些与业务价值冲突的信息。此外，他们还可以申请一个与公司品牌匹配的用户名，并以官方来源的名义伪造信息。

安全建议：最佳实践方案

社交媒体安全是安全管理人员最棘手的问题之一，因为无法做到跟踪每个用户的社交行为。然而，如果员工遵循基本的网络安全实践，那么大部分的安全风险是可以缓解的，例如，使用不同的密码来减少数据库“撞库”行为；或是警惕朋友发布的不明链接等。

首先，为了应对威胁，各企业单位必须充分意识到社交媒体的客观存在性。即使有的公司已通过实施站点过滤及代理策略来禁止员工访问社交网站，但并不能控制员工自己带到公司的个人终端上的网络行为。在BYOD发展的大趋势下，企业通过单一的过滤机制来保护网络变得越来越困难。

与其徒劳的加以限制，不如开展适当的培训，并通过制定相应的企业规章制度同时结合适当的奖罚措施，教育员工在公司必须谨慎使用社交工具，不要轻易点击陌生人发送的链接。

其次，由于执行规章制度和员工素质培训所起到的作用有限，企业还需要认真对待社交媒体可能带来的更多威胁，并确保相关防御体系落实到位，采用相关技术防止信息外泄。例如可以通过防火墙对应用进行细粒度的控制，设置网站过滤，限制对社交网站的访问，或是采用数据外泄防范解決方案等。

对于大多数企业而言，实际情况是，社交媒体并不会消失，而且它正在以惊人的速度持续发展和扩大。消费者越来越多地通过社交媒体渠道发现企业并与企业沟通，同样重要的是，很多企业的员工也因为Twitter和LinkedIn等社交媒体提高了工作效率。

企业不应该因为担心合规问题而阻止社交媒体的使用，企业应该专注于所有适用的法规，并部署合适的管理流程来遵守这些法规。正在思考和应对这些问题的企业将很快可以获得商业利益，避免未来公司不必要的风险。