Ryan+Francis

社交媒體已經(jīng)成為新的網(wǎng)絡(luò)戰(zhàn)場。它快速上升的使用程度說明了，數(shù)字世界中任何地方都存在著非常活躍、非結(jié)構(gòu)化和未受監(jiān)管的“數(shù)字群體”。

令人震驚的是，緊隨社交媒體革命之后，網(wǎng)絡(luò)犯罪分子破解了大量企業(yè)的防御系統(tǒng)，大規(guī)模地侵入企業(yè)及其客戶，并且使40%的企業(yè)成為社交網(wǎng)絡(luò)釣魚的受害者。目前，通過社交媒體進(jìn)行的網(wǎng)絡(luò)破壞活動(dòng)超過了所有其他基于網(wǎng)絡(luò)的攻擊（例如，是電子郵件的10倍）。有調(diào)查顯示，企業(yè)在社交媒體上的受到的攻擊比其做出補(bǔ)救要快75%，而且，企業(yè)最高層的賬戶往往是最先受到攻擊的目標(biāo)。

近日，社交風(fēng)險(xiǎn)管理公司 ZeroFOX通過專業(yè)的調(diào)查評估，列出了7種提高網(wǎng)絡(luò)安全的方式，希望能幫助企業(yè)在社交媒體環(huán)境下獲得更安全的生存和發(fā)展。

教育員工

企業(yè)通常非常強(qiáng)調(diào)SaaS（軟件服務(wù)）解決方案和高科技工具以保護(hù)企業(yè)安全，反而忘記了教育員工提高網(wǎng)絡(luò)安全防范意識才是解決問題的最根本做法。

社交媒體已經(jīng)發(fā)展成為連接社會(huì)的一種平臺，是數(shù)字時(shí)代非常普及的商業(yè)通信工具。用戶和平臺之間有一定程度的信任，自認(rèn)為通過社交平臺共享的所有信息都是安全的。員工最容易受到網(wǎng)絡(luò)威脅的攻擊，因此，他們特別要注意每一條“推文”、“貼子”和“點(diǎn)擊”背后潛在的風(fēng)險(xiǎn)。

解決問題的辦法是，通過各種學(xué)習(xí)和觀摩，讓員工知道如何識破攻擊者的障眼法。這不僅可以幫助改觀企業(yè)的整體安全態(tài)勢，而且還能夠在業(yè)務(wù)層面提升整體安全意識。

讓員工定期更改密碼

雖然在多個(gè)社交媒體帳戶上使用同一個(gè)密碼很方便，但對于員工和公司的安全而言卻隱藏巨大的威脅。一旦黑客破解了公司的“常用”密碼，他們就可以輕松地使用它來訪問其他平臺和帳戶。

解決問題的辦法是，要鼓勵(lì)員工盡量使其社交平臺的密碼多樣化，這樣黑客很難破解賬戶。

使用雙重身份驗(yàn)證

所有企業(yè)帳戶在員工登陸時(shí)，需使用雙重身份驗(yàn)證。這需要密碼、用戶名以及只有用戶才能識別或知道的唯一的信息。

許多較大的社交媒體需要使用者提供雙重身份驗(yàn)證才能登錄。常見的方式是，每當(dāng)新設(shè)備或?yàn)g覽器嘗試登錄賬戶時(shí)，向登錄者的電子郵箱發(fā)送驗(yàn)證碼，來確保登陸者的身份是合法的。

將此作為第二層保護(hù)，使攻擊者的活動(dòng)難以實(shí)現(xiàn)，減少了攻擊漏洞。

避免使用可疑內(nèi)容

網(wǎng)絡(luò)犯罪分子通常會(huì)發(fā)送與真實(shí)地址非常相似的鏈接，不易被人察覺的添加、減掉或者改寫了部分拼寫。

社交網(wǎng)絡(luò)URL（統(tǒng)一資源定位符）縮寫平臺讓這種情況更混亂。當(dāng)人們快速瀏覽時(shí)，如果不仔細(xì)查看，很難確發(fā)現(xiàn)鏈接是否安全。

另一種常見的危險(xiǎn)做法是，用戶通過官方商店（例如蘋果應(yīng)用商店或者谷歌Play）之外的社交媒體鏈接下載應(yīng)用程序。在工作設(shè)備上下載第三方應(yīng)用程序從來不是什么好主意，員工應(yīng)該知道其危險(xiǎn)性，特別是不熟悉的來源，這會(huì)讓公司很容易受到攻擊。

安全的做法是，在點(diǎn)擊之前仔細(xì)查看URL鏈接，確定公司和網(wǎng)站名稱拼寫是正確的。在當(dāng)今的數(shù)字化威脅情形下，一般原則是，如果鏈接或網(wǎng)站看起來可疑，那就不要點(diǎn)擊它。

小心不明“朋友”的請求

許多黑客通過創(chuàng)建欺詐帳戶并與“同事”聯(lián)系來獲取公司信息。員工可能會(huì)接受這種請求，而沒有審查其合法性，最終成為受害者。

解決之道是，公司應(yīng)提醒員工在點(diǎn)擊“接受”之前，仔仔細(xì)細(xì)地審查“朋友”請求，看看其他同事是否也與該帳戶有聯(lián)系。

如果帳戶看起來可疑，或者您不知道這個(gè)人，那么應(yīng)忽略或者舉報(bào)用戶，不要點(diǎn)擊他們已經(jīng)發(fā)送的任何鏈接。

安裝防病毒和安全軟件

這是企業(yè)在社交媒體中獲得安全發(fā)展最重要，但卻經(jīng)常被忽視的一個(gè)做法。

無論用戶多么小心，始終存在不小心與惡意鏈接打交道的風(fēng)險(xiǎn)——一次不幸的點(diǎn)擊就可能導(dǎo)致幾個(gè)月的恢復(fù)時(shí)間。

防止惡意軟件破壞企業(yè)系統(tǒng)最重要的解決方案就是安裝防病毒軟件。安裝了防病毒軟件之后，就必須提醒員工經(jīng)常更新，以防止新的、不斷變化的威脅攻擊。

驗(yàn)證和確認(rèn)

一種常見的黑客技術(shù)是以撒網(wǎng)的方式來搜尋攻擊的目標(biāo)。例如，黑客可能發(fā)布一張莫名其妙的圖像，許多人都被標(biāo)記或者提及。在點(diǎn)擊之前，員工必須記住去驗(yàn)證標(biāo)記或提及他們的某個(gè)人的真實(shí)性，確保這個(gè)人是值得信賴的朋友或者同事。

同樣，黑客往往會(huì)建立帳戶冒充名人、政治家或者大公司。

較大的社交網(wǎng)絡(luò)添加了“已確認(rèn)帳戶”，帶有一個(gè)對勾，以注明其合法性。然而，許多公司還沒有進(jìn)行這種驗(yàn)證。

如果員工收到請求，重要的是他們應(yīng)做好功課，在網(wǎng)絡(luò)上搜索這個(gè)人或者公司。如果發(fā)現(xiàn)經(jīng)過確認(rèn)的帳戶與請求不匹配，則很可能是假冒的。如果發(fā)生這種情況，員工應(yīng)該馬上向內(nèi)部IT部門報(bào)告該帳戶，以便其他同事及時(shí)了解情況，避免與其進(jìn)行任何交互。

（作者Ryan Francis在技術(shù)出版領(lǐng)域有15年的工作經(jīng)驗(yàn)，現(xiàn)任《首席安全官》和《網(wǎng)絡(luò)世界》執(zhí)行總編輯）

原文鏈接

http：//www.computerworld.com/article/3149579/social-media/7-ways-to-tighten-enterprise-social-media-security.html