人人都在用社交媒體的時代,我們該如何應對攻擊者的威脅?
社交媒體絕對可謂是有史以來最大的攻擊界面——Facebook擁有約20億用戶;推特用戶量也高達數億。商業環境下很難再找出不使用社交媒體的人。通過社交媒體入侵企業網路也成為黑客最慣用的手段,而員工不良的網路習慣正在加劇這種趨勢。
社交媒體正改變網路安全格局
ZeroFOX聯合創始人兼首席執行官Evan Blair表示,很多人沒有認識到社交媒體的內在危害。他們信任像Facebook這樣的平台,因為他們這些工具建立了人與人之間溝通的橋樑,為他們打開來「新視界」的大門。但是同時也為惡意攻擊者們敞開了「大門」。
黑客利用社交媒體對企業網路安全造成威脅主要體現在以下三個方面:
社交媒體讓企業網路更為脆弱
社交媒體上提供了更多的敏感信息,從而使數據泄漏的潛在風險持續攀升,企業網路正在承受著比以往更為嚴峻的安全威脅。如「瀏覽器中間人」攻擊快速成長為一種常見的攻擊手段。它通過社交媒體站點感染企業員工的計算機,在其瀏覽器中建立隧道,進而竊取企業相關的登錄證書、帳戶密碼及其他金融信息。
社交媒體將成為網路攻擊的跳板
黑客正在通過植入新的惡意軟體,將社交平台變成自己新的武器。他們以這些站點作為攻擊的跳板,指揮和控制伺服器來感染用戶終端的系統並發動後續的攻擊。
社交媒體讓黑客組織走向國際化和公開化
社交媒體也為黑客組織提供了更為廣闊的交流空間。它不僅為分布在全球的黑客們搭建起溝通的橋樑,還讓黑客們被大眾所知,方便被僱傭並獲取利益,從而迅速成長為跨國的黑客機構。去年這類網路攻擊數量的激增已經充分說明,社交媒體已成為全世界網路罪犯交流的主要平台。
隨著網路安全意識的普及,大家很少會去訪問他們認為可疑的電子郵件或是網站。這種行為會黑客提供了很多機會,他們開始利用受眾的信任心理發起一次又一次成功的攻擊案件。
Blair說,「我們已經看到了很多利用信任心理發起的攻擊事件,但是它們都只在設備層面。現在我們看到這種方式已經發展到了人類層面,由此帶來的安全風險會更大,因為人類才是網路殺傷鏈中最薄弱的環節。」
WatchGuardTechnologies公司信息安全威脅分析師Marc Laliberte稱,現在這種威脅正在加劇。2016年早期這種攻擊還不常見,像是通過Facebook傳播惡意軟體,但是一年後的今天這種威脅正在加劇。社交媒體威脅將從我們目前面臨的「地毯式轟炸」攻擊時代演變成更為複雜和令人信服(利用信任心理誘使受害者上當)的攻擊。
以下羅列的幾種員工社交媒體行為會將企業置身危險之中。下面我們就一起看看安全專家總結的最常見的社交媒體「壞習慣」有哪些?會造成這樣的危險?以及我們應該怎麼去做呢?
1. 過度分享敏感信息
Laliberte說,大多數人在公開提供個人隱私信息時都不會三思而後行。社交媒體賬戶是存儲出生日期、教育背景以及家庭關係的「寶庫」。這些數據通常在密碼恢復過程中被設置為安全檢查的選項。
他解釋稱,「一旦分享個人數據,攻擊者在試圖訪問你的電子郵箱賬戶時就能很輕易地猜中答案。如你最好的朋友是誰?你出生的城市是哪裡等等。而這些問題的答案都赤裸裸地躺在你的Facebook或LinkedIn的個人公開資料中。」
Blair還解釋了為何有權訪問客戶和合作夥伴敏感信息的企業高管和特權員工會淪為黑客的重點目標。此外管理員也是主要攻擊目標,因為他們管理著企業高管的賬戶而且也是黑客入侵企業的「切入口」。雖然這些特權用戶通常都具備最安全的意識,但是他們也是最大的安全風險。
Blair進一步補充道,過度分享還可能導致個人人身安全風險,這一問題企業的高層領導需要格外注意。因為惡意攻擊者可以從Facebook帖子或推文中很輕鬆地識別某一人的地理位置。
他告誡稱,「如果你是一家大企業的CEO,這種行為將使你置身不可思議的危險境地。」
2. 隨意點擊鏈接
Blair說,在社交平台上公開參與的項目是另一個非常重大的隱患。同樣是利用用戶的信任心理,在社交媒體上,人們更有可能會點開在電子郵件中堅決避免的不明鏈接。
Blair解釋稱,「沒有關於社交媒體安全意識的文化。」他用欺詐性新聞如何在社交平台上傳播的例子證明了這種風險。用戶通常在沒有閱讀這些文章內容的情況下,自動點擊「分享」就將未驗證的鏈接發送出去了,進而感染了數百萬用戶。正是這種心理推動了惡意軟體和勒索軟體的快速傳播。
Laliberte說,「如果你的朋友創建了一個社交媒體帖子,說『嗨,點擊看看這個網站』,你點進去訪問的概率一定比點擊郵箱中一封附帶鏈接地址的概率大。」例如,用戶可能會收到這樣的通知,說一個朋友在評論中提到了他們。當他們點擊該通知時,他們的電腦可能已經下載了惡意軟體。
越來越多的網路犯罪分子開始使用Facebook這樣的社交平台,通過網路釣魚活動傳播惡意軟體,並劫持賬戶來傳播勒索軟體和惡意瀏覽器拓展等。如果攻擊者可以訪問用戶的賬號,他們就可以利用它針對用戶的好友列表發起進一步的詐騙活動。
3. 發表有爭議的帖子
有些人喜歡頻繁地在論壇和社交網路上發布和評論一些有爭議的話題。Laliberte認為,不管他們的政治觀點是什麼,他們的行為都可能使其淪為黑客的攻擊目標。他解釋稱,「像匿名者這類黑客組織,特別喜歡針對發表有爭議性社會和政治觀點的個人和組織。」
想要通過在公共論壇和社交媒體上發表有爭議性的意見而博得關注的員工,可能會觸發網路犯罪分子的攻擊行為。如果有人利用公司IP或賬戶在推特上發表有爭議性的言論,那麼他們的僱主公司就很可能會淪為黑客的攻擊目標。
Blair重申了在公開平台發布言論的重要性,他告誡稱,「沒有任何東西是私有的,你所做的一切都將作為證據永遠存留在社交媒體上。」
4. 濫用企業社交工具
Blair表示,內部合作平台(如Slack、Hipchat以及Google Hangouts)的興起為企業社交媒體風險帶來了有趣的轉變。這種商業友好型社交媒體的浪潮與Facebook或Twitter一樣存在風險。
他解釋稱,大多數普通員工不會通過分享信息將自己置身網路攻擊的風險中。對他們來說,最大的風險是無意中分享了會對公司業務造成損失的信息。
這種風險主要是員工利用以業務為中心(business-focused)的社交協作平台造成的,他們在其中公開並分享很多敏感信息。例如,在Slack上,用戶可以將第三方添加到群組中,因為他們正在處理同一個項目並希望合作夥伴參與其中。這樣一來,業務群中的外部人員也能夠訪問敏感數據,這就成了一個考驗安全的大問題了。
Blair說,這些員工在開一些玩笑(內容可能敏感或違法等)卻將他們的企業置於責任方時也是一個非常大的風險。
他解釋稱,「人們可能不會在電子郵件中寫一些東西,但是他們會在Slack、Hipchat或是Hangouts中表達,而這些都可以被作為證據。」
5. 重複使用密碼
如果你沒有為每個社交媒體賬號設置不同的密碼,一次攻擊就可能導致它們全部淪陷。網路犯罪分子經常針對社交媒體發起攻擊,因為它們包含大量敏感信息。而人們通常會把與社交媒體賬號一樣的密碼,用在其他存儲更多敏感數據的地方,如在線銀行等。
Laliberte舉了LinkedIn2016年的數據泄漏案為例,這次泄漏事件危及超過1億個用戶賬號。通過這些泄漏數據,攻擊者成功獲取了一名DropBox員工的登錄憑證,並由此泄漏了6000多萬個用戶憑證,因為他/她們沒有為賬戶設置不同的密碼。
6. 根本就沒有賬戶
通過社交媒體攻擊的潛在成本可能超過其收益。那麼既然風險這麼大,為什麼還要使用Facebook、Twitter或是Instagram呢?
沒有賬戶或是不在社交媒體上聲明企業名稱仍然存在風險。這種做法可能會使你面臨被劫持的風險,在這種類型的攻擊活動中,攻擊者會創建一個社交媒體賬號或博客來模仿一種特定的業務。他們可以從中分享一些與業務價值衝突的信息。此外,他們還可以申請一個與公司品牌匹配的用戶名,並以官方來源的名義偽造信息。
安全建議:最佳實踐方案
社交媒體安全是安全管理人員最棘手的問題之一,因為無法做到跟蹤每個用戶的社交行為。然而,如果員工遵循基本的網路安全實踐,那麼大部分的安全風險是可以緩解的,例如,使用不同的密碼來減少資料庫「撞庫」行為;或是警惕朋友發布的不明鏈接等。
首先,為了應對威脅,各企業單位必須充分意識到社交媒體的客觀存在性。即使有的公司已通過實施站點過濾及代理策略來禁止員工訪問社交網站,但並不能控制員工自己帶到公司的個人終端上的網路行為。在BYOD發展的大趨勢下,企業通過單一的過濾機制來保護網路變得越來越困難。
與其徒勞的加以限制,不如開展適當的培訓,並通過制定相應的企業規章制度同時結合適當的獎罰措施,教育員工在公司必須謹慎使用社交工具,不要輕易點擊陌生人發送的鏈接。
其次,由於執行規章制度和員工素質培訓所起到的作用有限,企業還需要認真對待社交媒體可能帶來的更多威脅,並確保相關防禦體系落實到位,採用相關技術防止信息外泄。例如可以通過防火牆對應用進行細粒度的控制,設置網站過濾,限制對社交網站的訪問,或是採用數據外泄防範解決方案等。對於大多數企業而言,實際情況是,社交媒體並不會消失,而且它正在以驚人的速度持續發展和擴大。消費者越來越多地通過社交媒體渠道發現企業並與企業溝通,同樣重要的是,很多企業的員工也因為Twitter和LinkedIn等社交媒體提高了工作效率。
企業不應該因為擔心合規問題而阻止社交媒體的使用,企業應該專註於所有適用的法規,並部署合適的管理流程來遵守這些法規。正在思考和應對這些問題的企業將很快可以獲得商業利益,避免未來公司不必要的風險。
推薦閱讀:
※勒索軟體武器庫「再添新軍」,Windows Server Web伺服器安全成災
※小米IoT開發者大會 | 開發者和安全從業者同台交流,能碰出怎樣的火花呢?
※5500個 WordPress站點感染Keylogger,可竊取用戶名密碼和信用卡數據
※Metasploit域滲透測試全程實錄(終結篇)
※如何利用Windows Defender ATP檢測反射型DLL載入