社交网络工具:业务强化还是安全梦魇

导言

　　社交网络是一个意义广泛的术语，指的是基于共同兴趣和爱好的网络在线社区。最开始是作为“结交朋友和偶遇浪漫对象”的网络，而现在这种社交网络开始进入商业世界，很多公司积极推动员工参与社交网络并提高他们对产品和服务的认识，保持与现有和潜在客户的联系。但是在企业推行这种新型技术之前，最好考虑一下相应的安全问题。本文中，我们将解析在商业环境使用流行社交网络工具(Fackbook、Linkedin和Twitter等)好处和坏处。

　　社交网络的发展

　　仅看名字，你可能会认为社交网络是一种休闲的非商业活动，当然，如果你指的是最广泛的意义(在线社区)的话，可以这么理解，互联网本身就是社会网络。对于该社区更加狭窄的定义则侧重于共同的兴趣或者爱好活动，虽然这种定义只是最近才开始流行，其实早在商业网络出现的时候社交网络就已经出现了，不过是以新闻群、聊天室和网上论坛的形式来专门从事某些特定领域的话题讨论等活动。

　　现在的社交网络服务一般是基于网络的，在Myspace、Facebook或者Linkedin注册帐户必须事先拥有一个电子邮件地址，与通过社交网络关注朋友近况的青少年不同的是，很多企业通过社交网站与各类注册的专业人士以及潜在客户保持联系。

　　虽然很多公司认为社交网络完全是浪费时间，并且完全阻止员工使用社交网络，不过也有越来越多的公司开始意识到社交网络作为市场营销和协作工具的价值。有些公司(如英特尔等)积极鼓励员工参与自己公司的社交媒体活动。

　　所有这些社交方式可能对企业是有利的，但是对网络呢?最近出现很多关于流行社交网络的安全问题，并且也有相关安全漏洞的报道，让我们来看看主要有哪些风险，怎样做能够减轻这些风险。

　　风险

　　在2008年1月份，Government Technology网站警告说社交网络(当时有人称之为web2.0)非常吸引黑客，邀请用户参与的活动很可能让用户感染恶意软件(如蠕虫病毒等)从而影响整个企业网络，或者感染能够窃取公司数据的间谍软件和键盘记录器。

　　社交网络相关的风险可以分为以下几类：

　　1. 社会网络帐户本身被窃取的风险

　　2. 通过社交网络用户感染恶意软件的风险

　　3. 黑客可能通过社交网络获取让其攻击用户公司网络的信息的风险

　　社交网络账户信息被窃取的风险

　　今年1月份时，黑客获取了一名Twitter员工的管理帐户信息，并能够使用其管理工具来重置其他用户的密码，该黑客将很多名人的twitter帐户密码公布在论坛上，该帐户密码事件受害者甚至包括了美国新任总统奥巴马。随后发生的事情更让人惊讶，Twitter员工的帐户被黑客使用简单的密码猜测方法被盗取，Twitter根本没有使用帐户锁定系统以防止黑客使用字典攻击。

　　Twitter的案例说明社交媒体使用不严谨的安全政策的风险，不管用户的密码强度多么强，如果控制管理权的管理员的密码不是那么严谨，用户帐户也会被盗取。

　　那么被盗的Twitter帐户会怎样影响到公司呢?假设Apple公司的某执行官的帐户被盗，并在其博客上表示Apple公司的Steve Jobs已经去世，那么苹果公司的股票必然受到巨大影响。

　　其他社交媒体(如Facebook、 MySpace、LinkedIn等)也是同样道理，如果员工拥有代表公司的信息，那么如果该信息被盗窃，尤其是被竞争对手获取，公司的名誉等必将受到严重影响。

　　通过社交网络感染恶意软件的风险

　　社会网络网站和任何其他网站一样，可能作为恶意软件的传播途径，你的员工可能知道不要点击未知地址的电子邮件信息，但是如果信息是来自社交网站某个朋友，结果就很难想象了。这很可能导致恶意软件在公司网络内部的散播。

　　很多社交网络网站的问题就是，默认设置很容易让用户受到威胁，很多用户并没有相关技术知识，不知道需要更改设置来保护自己。例如，在默认情况下，网站可允许HTML出现在评论中，这使用户更加容易在社交网络用户间共享链接或者插入图片等，但同时也是黑客更容易在连接中插入恶意代码或者链接到包含恶意软件的网站。

　　社会工程风险

　　Kevin Mitnick在多年前就指出，与此花时间破解用户密码，还不如骗取用户向你提供密码或者其他可以用来登录其帐户的信息。也就是说，人类漏洞比软件漏洞更加容易攻破。在社交网络中，黑客很容易利用用户对其朋友或者是同事的信任而实施社会工程学攻击。

　　不幸的是，大多数社交网站不会对注册帐户的用户进行身份验证，用户可以在Facebook或者Twitter上随意创建任何名字的帐户，或者可以假冒在某公司工作。虽然服务条款(ToS)一般禁止提供虚假信息，但是用处不大。

　　因此，很容易创建个人档案并声称自己是某大型公司(如微软或者英特尔)的员工，然后找寻“同事”(使用网站的关键字搜索)成为朋友。这样社会工程师就能访问这些人的网站，获取各种各样的信息以侵入该公司网络。当然，这种方式在小型公司并不管用，因为大家互相都认识，而拥有多个网站的大型公司面临的威胁比较大。

　　一旦假冒员工与公司内部员工成为“朋友”，就可以开始与他们聊天并收集有关该公司的内幕消息，或者攻击者可以建立一个假的网站(钓鱼网站)直接让真正员工点击，这样就能收集员工登录该公司网站的密码。

　　额外风险

　　即使没有黑客公然试图获取员工信息，也会有使用社交网络的员工无意中泄漏关键数据，通过张贴文件、照片、视频或者录音的形式。

　　社交网络网站的附加应用程序可能为自己带来额外风险，当你下载这些小型应用程序时，你必须检查复选框，确保没有勾选允许应用程序的开发者访问你个人信息(联络信息以外的信息)。用户的信息可能被攻击者用来针对性的广告或者其他目的。

　　为社交媒体建立使用政策

　　公司们可以通过使用社交网络作为商业工具来受益，不过要想避免不必要的风险，可以制定政策和准则，帮助员工以最安全的方式参与社交网络。政策中应该以最直接的方式明确哪些是不可以接受的行为。