Социальные сети: последний, лучший бизнес-инструмент или кошмар безопасности?
Введение
Социальные сети — это широкий термин, который относится к созданию онлайн-сообществ на основе общих интересов и деятельности. То, что начиналось как способ использования «Сети, чтобы подружиться и встретить романтических партнеров», перешло в мир бизнеса, и некоторые компании активно поощряют участие сотрудников, чтобы повысить осведомленность о своих продуктах или услугах и поддерживать связь друг с другом и с существующими партнерами. или потенциальных клиентов. Но прежде чем ваша организация примет новую технологию, вы должны знать о последствиях для безопасности, которые она несет с собой. В этой статье мы рассмотрим плюсы, минусы и минусы использования популярных инструментов социальных сетей (Facebook, Linkedin, Twitter и т. д.) в бизнес-среде.
Эволюция социальных сетей
Судя по названию, можно подумать, что социальные сети — это досуг, не связанный с бизнесом. Конечно, если вы согласны с самым широким определением («онлайн-сообщества людей»), Интернет сам по себе является конечной социальной сетью. Более узкое определение фокусируется на общих интересах или деятельности. Хотя этот термин стал популярным совсем недавно, социальные сети, безусловно, существуют с первых дней коммерческого доступа в Интернет в виде групп новостей, чатов и веб-форумов, посвященных конкретным областям интересов.
Сегодняшние службы социальных сетей, как правило, основаны на Интернете, и наличие учетной записи на MySpace, Facebook или LinkedIn стало почти таким же ожидаемым, как наличие адреса электронной почты. И дело уже не только в том, что подростки следят за тем, чем занимаются их друзья; многие предприятия теперь представлены в социальных сетях, и профессионалы всех типов регистрируются, чтобы общаться с коллегами и потенциальными клиентами.
Хотя некоторые компании рассматривают социальные сети как пустую трату времени и полностью блокируют их, все больше и больше компаний осознают их ценность как инструментов маркетинга и совместной работы. Некоторые компании, такие как Intel, активно поощряют своих сотрудников к участию в социальных сетях от имени компании (нажмите здесь для получения дополнительной информации).
Все это общение может быть полезно для бизнеса, но хорошо ли это для вашей сети? Был поднят ряд проблем с безопасностью в отношении популярных сайтов социальных сетей, и сообщалось о нарушениях безопасности. Давайте посмотрим, каковы риски, и что вы можете сделать, чтобы улучшить их.
Риски
В январе 2008 года веб-сайт Government Technology предупредил, что сайты социальных сетей — часть того, что тогда провозглашалось Web 2.0 — чрезвычайно привлекательны для хакеров и что «те же технологии, которые предполагают участие пользователей, также облегчают их повреждение с помощью вредоносных программ, таких как черви, которые могут отключить корпоративные сети, или программы-шпионы и регистраторы нажатий клавиш, которые могут украсть данные компании».
Риски, связанные с социальными сетями, можно разделить на несколько широких категорий:
- Риск взлома самой учетной записи социальной сети.
- Риск того, что пользователи подхватят вредоносное ПО через сайт социальной сети.
- Риск того, что хакер получит через сайт социальной сети информацию, которая позволит ему/ей атаковать сеть вашей компании (социальная инженерия).
Риски взломанной учетной записи социальной сети
В январе хакер получил доступ к административной учетной записи сотрудника Twitter и смог использовать инструменты администратора для сброса паролей в учетных записях других пользователей. Затем эти пароли от аккаунтов ряда знаменитостей (включая Барака Обаму) были опубликованы на хакерском форуме. Впоследствии на этих аккаунтах были размещены сообщения неуполномоченными лицами. Позже выяснилось, что сотрудник Twitter, чья учетная запись была взломана, использовал простой для угадывания пароль и что Twitter не использовал политику блокировки учетной записи, чтобы предотвратить использование хакером атак по словарю. Это позволяло хакеру продолжать попытки, пока пароль не был взломан. Смотрите полную историю здесь.
Спустя месяц, в феврале, аккаунт Майли Сайрус в Твиттере был взломан, и в ее адрес были размещены оскорбительные сообщения.
Случай с Twitter иллюстрирует опасность использования социальных сетей со слабой политикой безопасности. Независимо от того, насколько надежный пароль вы, пользователь, установили для своей учетной записи, если кто-то с административными привилегиями не будет так усерден, ваша учетная запись может быть скомпрометирована.
Как скомпрометированный аккаунт в Твиттере может навредить вашей компании? Представьте, например, что кто-то взламывает учетную запись руководителя Apple и публикует сообщение о смерти Стива Джобса. Что это может сделать с акциями Apple? См. мой пост в блоге «Почему Twitter должен быть более безопасным».
То же самое относится и к другим социальным сетям, таким как Facebook, MySpace, LinkedIn и так далее. Если у ваших сотрудников есть общедоступные профили, в которых они представляют вашу компанию, компрометация их учетных записей — особенно конкурентом — может обрушить на вашу компанию поток плохого пиара.
Риски заражения вредоносным ПО через сайты социальных сетей
Сайты социальных сетей, как и любые другие веб-сайты, могут быть каналами распространения вредоносного программного обеспечения. Ваши сотрудники могут знать, что нельзя щелкать ссылку в сообщении электронной почты из неизвестного источника, но если эта ссылка появляется в сообщении от «друга» в социальной сети или в твите от кого-то, на кого подписан сотрудник, это может быть совсем другая история.. И это может привести к загрузке вредоносного ПО на компьютер в сети вашей компании.
Проблема со многими сайтами социальных сетей заключается в том, что настройки по умолчанию делают пользователей уязвимыми, и те, кто технически не подкован, могут не знать, что им нужно изменить настройки, чтобы защитить себя. Например, по умолчанию сайты могут разрешать использование HTML в комментариях. Это упрощает для пользователей социальных сетей обмен ссылками, вставку изображений и т. д., но также облегчает злоумышленнику внедрение вредоносного кода или ссылки на стороннее содержимое, содержащее вредоносное ПО.
Риски социальной инженерии
Кевин Митник несколько лет назад заметил, что проще обманом заставить кого-то дать вам пароль или другую информацию, которую вы можете использовать для взлома системы, чем потратить свое время на попытки взломать ее. То есть легче использовать человеческие уязвимости, чем уязвимости программного обеспечения. Социальные сети представляют собой еще одно очень зрелое место для социальной инженерии, основанной на доверии людей к тем, кто представляет себя друзьями или коллегами.
К сожалению, большинство сайтов социальных сетей не проверяют личность или учетные данные тех, кто регистрируется. Вы можете создать учетную запись Facebook или Twitter, используя любое имя, которое вы хотите, или вы можете заявить, что работаете в компании, когда вы этого не делаете. Хотя Условия обслуживания (ToS) обычно запрещают предоставление ложной информации, маловероятно, что последствия того, что вас поймают, будут выходить за рамки потери доступа к сайту.
Примечание:
В 2008 году Лори Дрю была осуждена в Лос-Анджелесе за несанкционированный доступ к MySpace, частично основанный на предоставлении ложной регистрационной информации (дело о «киберзапугивании»). Это создало прецедент, предусматривающий уголовную ответственность за использование ложного имени в Интернете, но присяжные отклонили обвинения прокуратуры в федеральных уголовных преступлениях и признали ее виновной только в проступках. Проверьте полную историю здесь.
Таким образом, кому-то легко создать профиль, заявив, что он сотрудник крупной компании, такой как Microsoft или Intel, а затем найти «коллег» (используя поиск по ключевым словам на сайте), чтобы подружиться. Это дает социальному инженеру доступ к сайтам этих людей, где он может получить всевозможную информацию, которая может быть полезна для взлома сети компании. Это не сработает в малом бизнесе, где все друг друга знают, но любая крупная компания с несколькими сайтами уязвима.
Как только фальшивый сотрудник завел «друзей» внутри компании, он может начать с ними общаться и собирать инсайдерскую информацию о компании. Или он мог создать фальшивый «фирменный» сайт (фишинговый сайт) и направить на него настоящих сотрудников, где он собирает их пароли к сети компании.
Дополнительные риски
Даже если хакеры не пытаются открыто получить информацию, сотрудники, использующие социальные сети, могут непреднамеренно утечь конфиденциальные данные в виде текстовых сообщений, фотографий, видео или аудиозаписей. На прошлогодней конференции BlackHat в Лас-Вегасе (август 2008 г.) Натан Хамиэль и Шон Мойер сделали презентацию о том, как злоумышленники могут манипулировать личными данными на сайтах социальных сетей.
Дополнительные приложения, расширяющие возможности сайтов социальных сетей, сами по себе могут создавать дополнительные риски. Когда вы загружаете эти мини-приложения, вы должны установить флажок, который разрешает разработчикам приложения доступ к информации вашего профиля (за исключением контактной информации). Затем эта информация может быть использована для целевой рекламы или других целей. Нажмите здесь, чтобы узнать больше.
Разработка политики использования социальных сетей
Компании могут извлечь выгоду из разумного использования социальных сетей в качестве бизнес-инструмента, не подвергая себя неоправданному риску, путем разработки политик и руководств, помогающих сотрудникам участвовать максимально безопасным образом. Политики должны быть написаны простым языком, определяющим, что является приемлемым поведением, а что нет.
Хорошим примером компании, серьезно относящейся к социальным сетям, является Intel. Они проводят обучение сотрудников использованию социальных сетей и обнародовали Правила взаимодействия, которым, как они ожидают, сотрудники будут следовать при ведении блогов, твиттеров, фейсбуков, ссылок или иного участия в социальных сетях от имени компании. Вы можете прочитать их рекомендации по работе с социальными сетями здесь.