在本篇文章中，我們將探討工作場所使用社交網(wǎng)絡帶來的安全問題，以及如何解決這些問題。

五年前，對于企業(yè)來說，設計網(wǎng)站并不是一個大問題。以前員工使用社交網(wǎng)站主要用于個人目的，IT很容易創(chuàng)建政策和安全控制來防止員工在企業(yè)系統(tǒng)和網(wǎng)絡訪問社交網(wǎng)絡。

然而，在企業(yè)開始使用社交網(wǎng)絡用于業(yè)務目的(包括銷售、營銷和客戶服務)后，這一切都改變了。事實上，曾經(jīng)被視為是浪費時間的社交網(wǎng)絡活動現(xiàn)在已經(jīng)成為很多企業(yè)的主要營銷方式。

曾經(jīng)阻止社交媒體的企業(yè)現(xiàn)在開始為企業(yè)內(nèi)的某些用戶和組放寬這種限制。然而，企業(yè)管理和IT面臨的挑戰(zhàn)是，如何控制對社交網(wǎng)絡的使用，以平衡安全性和靈活性。

這個問題的部分原因是，很多企業(yè)并不了解真正的核心問題：并不是攻擊者在濫用社交網(wǎng)絡發(fā)布的信息，或者他們在使用這些網(wǎng)站來發(fā)動攻擊，而是員工不了解他們在網(wǎng)上發(fā)布信息涉及的風險，并且，他們沒有意識到成功的攻擊可能帶來的損害程度。

這方面有幾個關(guān)鍵問題需要考慮。首先是社交網(wǎng)絡的本質(zhì)，社交網(wǎng)絡是一個平臺，用戶可以協(xié)作和共享—主要是出于個人目的(至少在初期階段是這樣)。問題是，員工并沒有意識到他們在這些環(huán)節(jié)中公開發(fā)布的信息可以被用于社會工程共計，或者用于重設這些網(wǎng)站的密碼。他們的公開檔案讓攻擊者可以很容易識別員工，他們通常能夠獲取足夠的信息來發(fā)動有效的魚叉式釣魚攻擊。

另一個因素是年齡。員工的年齡在很大程度上影響著共享的信息量和對社交網(wǎng)絡的理解度。老員工并不會排斥社交媒體，在另一方面，工作十年左右的員工是伴隨著Facebook成長起來的，當他們到達餐廳或者在Instagram發(fā)布其朋友和同事的照片時，他們并不會過多考慮。

這也許并不令人驚訝，即當在涉及社交媒體使用的危險性和安全性時，員工和IT并不是很了解。員工能難理解攻擊者如何利用最平淡無奇的信息來攻擊他們或者他們的企業(yè)。然而，他們必須意識到的是，幾乎一切信息都可以用來攻擊他們，從幫助臺的員工信息和銷售團隊信息，到企業(yè)野餐的地點，甚至佩戴公司徽章的員工照片都可能被攻擊者利用。

在數(shù)字防御報告“社交媒體的危害：每個‘社交媒體交際花’都應該知道的事情”中，介紹了幾個案例來說明攻擊者試圖尋找的有價值的信息類型。其中一個例子是一名沮喪的員工在自己的Twitter賬號上抱怨其公司保安總是遲到：“我討厭等這個總是遲到的保安!”攻擊者可能利用這種信息來了解員工日程和工作時間，從而更容易侵入企業(yè)，選擇保安不在值班的時候。

除了上述危害，在網(wǎng)上發(fā)布的信息還可能暴露關(guān)于企業(yè)地點和正在使用的技術(shù)的信息。這種泄露的信息往往是元數(shù)據(jù)形式，即關(guān)于文件內(nèi)數(shù)據(jù)的信息以及嵌入到文件本身的信息。元數(shù)據(jù)可能包括(但肯定不限于)地理位置信息、擁有者/作者/用戶名、計算機名、網(wǎng)絡共享、IP地址和應用程序版本。