從心理學(xué)角度來看，我們都渴望得到關(guān)注，點(diǎn)贊和評論滿足了這種需求，鼓勵我們在社交媒體上分享更多內(nèi)容。在企業(yè)界，這種風(fēng)險(xiǎn)呈指數(shù)級增長，因?yàn)樯婕暗牟粌H僅是個人的信息安全，而且是整個公司的安全。

社交媒體過度分享給公司帶來網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

我們分享的每一條數(shù)據(jù)都像是一塊拼圖碎片，領(lǐng)英會透露職位頭銜，F(xiàn)acebook和Instagram會提供我們生活中的日常細(xì)節(jié)，而X則提供實(shí)時洞察。這些信息碎片拼湊在一起，能為網(wǎng)絡(luò)犯罪分子繪制出一條行動路線，并有助于他們發(fā)起高度精準(zhǔn)的釣魚攻擊。

AI的成熟提高了這一過程的效率。據(jù)Ivanti稱，GenAI在提升這些攻擊的有效性的同時，也降低了它們的成本。通過分析社交媒體活動的模式，AI可以制作出高度個性化、具有說服力的釣魚郵件。

在社交媒體上過度分享信息為網(wǎng)絡(luò)犯罪分子收集詳細(xì)的個人資料提供了機(jī)會，這可能包括分享的愛好、度假計(jì)劃、家庭細(xì)節(jié)，甚至與工作相關(guān)的成就。

這些信息可以讓攻擊者冒充員工或制作利用這些信息的郵件，誘使收件人點(diǎn)擊惡意鏈接或打開惡意附件。

網(wǎng)絡(luò)犯罪分子可以使用社交媒體與員工建立關(guān)系，并操縱他們執(zhí)行危害公司安全的行為。他們可以冒充同事、商業(yè)伙伴，甚至高管，利用從社交媒體上獲得的信息讓自己聽起來更可信。

Gen最近的一份報(bào)告顯示，社交媒體平臺已成為網(wǎng)絡(luò)犯罪分子的主要目標(biāo)，其中Facebook占已識別威脅的56%，YouTube緊隨其后，占24%，X占10%，Reddit和Instagram各占3%。

許多員工為個人社交媒體賬戶和工作賬戶設(shè)置相同的密碼，使公司數(shù)據(jù)面臨風(fēng)險(xiǎn)。雖然這樣做很方便，但如果個人賬戶遭到攻擊，攻擊者也可能獲得訪問與工作相關(guān)的系統(tǒng)的權(quán)限。

2023年，伊朗威脅行為體TA455通過在領(lǐng)英上冒充招聘人員，瞄準(zhǔn)了航空航天行業(yè)的員工，誘使他們訪問分發(fā)SnailResin惡意軟件的惡意網(wǎng)站，以建立持久的后門訪問。

CISO必須關(guān)注員工在社交媒體上的行為

CISO現(xiàn)在必須考慮防火墻之外的員工行為。攻擊面不再局限于公司終端，而是延伸到領(lǐng)英的個人資料、照片墻上的度假帖子和隨意的推文。

公司應(yīng)制定關(guān)于員工可以在社交媒體上發(fā)布什么內(nèi)容的政策，特別是關(guān)于他們的工作和工作場所的內(nèi)容。這些政策應(yīng)包括禁止分享敏感信息，如：

• 正在進(jìn)行的工作項(xiàng)目：員工應(yīng)避免發(fā)布有關(guān)正在進(jìn)行的項(xiàng)目、即將推出的產(chǎn)品或可能用于網(wǎng)絡(luò)攻擊的內(nèi)部運(yùn)營的信息。
• 工作關(guān)系：鼓勵員工不要分享有關(guān)同事、上司或商業(yè)伙伴的詳細(xì)信息，以避免社交攻擊。
• 職位和職責(zé)：明確規(guī)定員工應(yīng)避免發(fā)布有關(guān)其職位、職責(zé)和工作地點(diǎn)的敏感詳細(xì)信息，這些信息可能會被攻擊者用來制作有針對性的釣魚郵件或冒充他們。

社交媒體帖子的問題是，隱私和公司安全之間只有一線之隔。CISO必須在這一細(xì)線上行走，在確保公司安全的同時，不過度干涉員工在業(yè)余時間的行為。

這就是為什么隱私意識培訓(xùn)應(yīng)與網(wǎng)絡(luò)安全政策相結(jié)合。這不是關(guān)于控制，而是關(guān)于明確性。CISO不能只是強(qiáng)加規(guī)定，他們需要讓員工能夠就他們在網(wǎng)上分享什么內(nèi)容做出明智的決定，在個人自由和公司安全之間取得平衡。