企业如何制定Twitter策略 防止来自社交网络的威胁

日期: 2009-09-15 作者:Michael Cobb翻译:Sean 来源:TechTarget中国 英文

在短短三年时间里,Twitter已经成为数百万人的“互联网短信服务(SMS)”。许多人也发现这种方式非常有利于生产和交流,但最近针对此服务的攻击,以及来自一些用户声明已显示Twitter和其他的此类社交网站存在着潜在的危险。而Twitter的这些安全威胁对于企业将会影响更甚。它们不仅需要面对生产效率降低和相关隐私泄露的问题,甚至有许多直接的安全威胁。

  不幸的是,诸如Twitter此类微博客网站的成功依赖的是人类的本性,特别是利用人类愿意分享和接触我们所信任的人的这些天性。这和许多基于社会工程学的攻击具有相同点。   大多数人都知道不要点击陌生人发给你电子邮件中的链接和附件,然而,由于Twi……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

在短短三年时间里,Twitter已经成为数百万人的“互联网短信服务(SMS)”。许多人也发现这种方式非常有利于生产和交流,但最近针对此服务的攻击,以及来自一些用户声明已显示Twitter和其他的此类社交网站存在着潜在的危险。而Twitter的这些安全威胁对于企业将会影响更甚。它们不仅需要面对生产效率降低和相关隐私泄露的问题,甚至有许多直接的安全威胁。

  不幸的是,诸如Twitter此类微博客网站的成功依赖的是人类的本性,特别是利用人类愿意分享和接触我们所信任的人的这些天性。这和许多基于社会工程学的攻击具有相同点。

  大多数人都知道不要点击陌生人发给你电子邮件中的链接和附件,然而,由于Twitter是一个友好的、以组为基础的服务,许多人会毫不犹豫地打开一个Twitter消息中的简写链接,甚至完全不知道这个链接会将他们带向何处。

  这种自然而然的信任使Twitter特别吸引那些恶意用户,他们可以使用这些服务来发动攻击,其中最常用的攻击方式就是利用网络诈骗来安装恶意软件,例如一种Koobface恶意软件的变种,当被感染的用户登录Twitter时,会接收到该病毒发送的假消息或是一个Twitter留言,内容大多是一个恶意网站链接,该网站提示您下载并更新您的Adobe Flash播放器,但实际上下载的是一些恶意软件。Twitter消息中简写网址的服务还增加了其他的攻击方式,如在DNS查找服务器上添加恶意网址和域名之间的转换。

  创建企业的Twitter策略

  Twitter的部分吸引力在于它的方便和容易交互,但代价的往往是安全性的缺失。企业管理者必须知道“免费在线服务不一定能够提供符合系统需要的安全标准”,我们还要知道Twitter没有服务水平协议来应对你所面临的问题。说到这你可能觉得我们需要将Twitter的使用全面禁止,但是这可能不切实际,即使你所在的行业是银行或医学也不行。当然,并不是你的每一位员工都需要访问Twitter,有时市场营销或人力资源部门的员工可能需要使用他们,甚至在英国的政府部门,也已经被要求使用更多的微博客工具。

  降低使用Twitter时存在风险的关键,就是通过技术或培训来形成一个有效而敏感地策略保障。而确保这种方法的成功最好的办法是让你的员工同意接受此策略,并且必须严格的执行。一般来说当雇员理解了那些与公司整体的Twitter政策有关的规定和限制时,他们是不太可能试图绕过这些的,他们也不会再有借口说不知道什么可以在Twitter上说或做。为了保证政策执行应该部署Web监控工具,例如Websense公司的Web Security Gateway或McAfee公司的Secure Web Gateway,以确保有违反纪律的事件发生时可被检测到,以便可以采取相应的处分措施。

  由于存在许多基于社会工程学的攻击,而这些攻击方式也在不断发生巧妙变化,因此提醒那些经常登陆社交网络站点的工作人员安全风险的存在就显得非常重要。例如什么类型的内容和要求,应被视为可疑,还要加强诸如不能点击社交网络的横幅广告此类的指示,因为横幅广告常被用来传播恶意软件。对于其他新兴的攻击媒介,例如虚假的更新通知,也要提高警觉,也可以实施新的限制以防止他们。当然,强大并定期更改密码是非常必须的,并且Twitter密码应和用于访问内部网络和服务的密码不同。

  很明显,那些可以应对基于Twitter攻击的防御技术包括了传统的反恶意软件扫描功能,可以用来检测甚至是防止感染。公司的Twitter策略也应该决定防火墙规则控制什么人可以在什么时候访问。信息被允许进入公司网络之前,考虑使用网络访问控制(NAC)进行审批。还应该通过链接检查或网站过滤清除那些已知的恶意网页。我还建议使用OpenDNS,因为它有免费的内容过滤服务,以此可以来阻止网络用户访问不良内容以及钓鱼网站。如果你的组织使用的是Firefox,Twitter的网址缩短服务提供了一个Firefox插件,它使用户能够看到那些简写网址链接的全貌,包括网站的页面标题。

  企业面临的挑战是防止那些来自社交网络的攻击,同时又不会失去通过使用社交网络所带来的潜在利益。

  任何组织,如果不能列出具体政策,或在Twitter上不能按照该政策来要求员工安全而警觉的使用基础设施和资源,就会让组织面临更多的以Twitter作为媒介的攻击。如果企业不制定安全策略,而是让他们的员工自由的使用Twitter,这毫无疑问会使他们的系统和数据存在安全隐患。

翻译

Sean
Sean

相关推荐