面對社群網站資安威脅 與其禁用,不如有效管理
- 企業IT編輯部
-
前言:
社群網站具備互動特性,儘管有利於企業行銷,但同時也是駭客攻擊的新目標,隨著使用人數愈來愈多,社群網站已逐漸取代E-mail或即時通訊,成為傳播惡意軟體的溫床,在可預見的未來,社群網站將持續出現各種創新攻擊方式,攻擊頻率也會愈來愈高,企業應及早做好防範措施,而非一味禁止員工使用,以管理取代禁止,才能真正避免社群網站的資安威脅。
本文:
社群網站當紅,隨著使用人數成長,虛擬社群成為駭客的最佳練兵場,根據 Cellopoint Global Anti-spam Center最新的監控數據顯示,駭客攻擊對象逐漸從傳統的電子郵件轉移至社群網站,目前最受歡迎的Facebook、Twitter、噗浪(Plurk)等網站,自然成為頭號攻擊目標,至於攻擊手法,通常結合木馬病毒、惡意程式、殭屍網路、社交工程及郵件釣魚技術。
社群網站當紅 駭客攻擊不斷
事實上,攻擊社群網站的手法不算新,然而在使用者警覺性不夠的情況下,變得特別容易上當。就目前已知的攻擊方式來看,主要分成以下3種:
1、假造社群網站通知信竊取資料
這是最常見的攻擊手法,駭客以社群網站的名義寄發帳號更新通知信,誘使收件人點擊E-mail中的惡意連結或釣魚網站,2009年時,Facebook至少有數萬名會員因點選惡意連結,而造成個人資料外流。
2、將社群網站當作垃圾訊息跳板
當駭客取得社群網站使用者的帳號密碼後,就等於取得此帳號的內容控制權,可將假造的電子郵件,大量發送至該帳號的社群朋友信箱中,社群網站因而變成駭客發送垃圾訊?惡意網址連結的跳板。
3、在社群網站上張貼有病毒的訊息
在社群網站的資料驗證機制尚有漏洞的情況下,駭客可將惡意連結隱藏在訊息中,再利用各種聳動標題吸引使用者點閱,2010年9月下旬,Twitter便遭受駭客攻擊,散發所謂的「滑鼠移上病毒」(Mouseover Bug),該病毒並非為了竊取使用者的帳號資料,而是使瀏覽器不斷彈跳出視窗,導引使用者連結至色情網站,甚至自動利用帳號發出簡短推文(tweet),目前這種攻擊方式仍以英文居多,不過,隨著華人圈社群網站使用人數快速增加,未來中文化攻擊也可能增多。
除了網站本身成為駭客攻擊的目標,社群網站中大量的開放應用程式(API),更讓駭客有機可乘,舉例來說,Facebook最受歡迎的互動遊戲「開心農場」,就曾被駭客盯上,以免費贈送農民幣為誘餌,吸引玩家下載惡意程式,進而竊取帳號密碼資料。
賽門鐵克(Symantec)在2010年網路安全半年報中,提出4大網路威脅現象,其中之一就是社交網站的第3方應用程式已淪為詐騙目標。該報告指出,社群網站的詐騙威脅愈來愈多,以賽門鐵克代管服務Web Security Service為例,在2010年攔阻經由社群網站而來的惡意內容,從平均每451筆即有1筆,攀升至每301筆即有1筆,顯見那些由第3方廠商所開發的應用程式介面,已成為駭客的最新攻擊目標。
行銷效益與資安危機 社群網站令企業又愛又怕
社群網站的資安問題不只影響個人,也影響企業,有愈來愈多企業利用社群網站推廣業務、招攬會員、進行行銷或宣傳,甚至將社群概念與工具導入企業內部,進一步提升執行業務的效率,萬寶華《駕馭社群媒體新勢力》白皮書指出,企業可利用社群網站的連結力量達成提升生產力、知識管理、招募員工、促進行銷品牌或公共關係等效益。
應用社群行銷最成功的,莫過於戴爾(Dell),戴爾從2007年開始應用Twitter進行促銷活動,於2009年宣布透過Twitter共創造超過300萬美元(約新台幣1億元)的業績,這個數字足以證明社群網站的影響力,如果企業仿照戴爾的作法,將社群網站列為行銷工具之一,就不能不注意與之相關的種種駭客攻擊方式,否則,在還沒嚐到社群行銷效益之前,就得先面對機密資料外流的危機。
就算企業沒有透過社群網站做行銷的計畫,也別以為不必擔心來自社群網站的資安威脅,員工的使用行為正是造成風險的主要原因。
趨勢科技在2010年公布企業使用者調查,總共訪問美國、英國、德國與日本共1,600位終端使用者,結果顯示,全球員工在辦公室使用社交網站的比例緩步上揚,從 2008年的19%,上升至2010年的24%,其中,經常在公司外部連網的筆記型電腦使用者,比固定在公司內部的網路使用者更容易透過即時通訊(IM)、網頁式郵件及社交媒體傳送機密資訊,這樣的情形在德國和日本尤其普遍。
由以上數字可知,社群網站如同IM一樣,已跨越公私領域的界線,太多人在虛擬世界裡經營人際關係,虛擬社群裡的好友名單不只是私人朋友,還有很多工作關係上的伙伴,員工在上班時間,透過社群網站與工作伙伴(或私人朋友)互動,或許會因為不小心而洩露企業機密資料,也或許導致公司電腦被植入木馬程式,讓駭客有機會入侵企業其他IT系統竊取資料。
之前曾經有某醫院的實習醫生,將病人履歷貼在Facebook上,其原意只是分享給同組報告的同學,省去用E-mail寄送的程序,卻沒想到這樣的舉動已經洩露病人隱私。社群網站對企業資安的影響,不只是帳號密碼被竊如此簡單,更嚴重者,是資料外洩、影響營運,然而多數企業至今仍未體認到這點,對社群網站的顧慮依舊停留在降低生產力上,忽略了資安的重要性。
趨勢科技技術總監戴燊曾經指出,社交網路是拓展個人及職場人脈極重要的一項工具。多數企業反對員工在上班時間上社交網站,皆著眼於員工生產力可能因此損失,殊不知這些社交網站大多以互動式技術為基礎,這些技術可讓網路犯罪者有各種機會入侵使用者電腦、竊取個人身分和企業資料,並利用惡意程式破壞企業網路,因此,企業應該儘早正視社群網站的資安問題,並思考防範之道。
適度管理取代全面禁止 才能有效降低社群危機
所謂的防範之道,並不等於全面禁止,對企業來說,禁止員工在辦公室使用社交網站,有可能帶來反效果,因為使用者會想盡辦法避開安全防護,反而提高企業曝露在社群網站威脅下的機會。
企業應針對內部IT架構進行資訊安全檢查,確認較易遭受惡意攻擊及資料外洩的高風險族群,再進一步規劃相關安全措施與社交網站使用規範,例如:特定部門開放使用(如業務部、行銷部)、部分時段開放使用(如早上8點以前或下午6點以後)、不限制使用時段但僅開放部分功能(如可留言但不能玩遊戲),戴燊認為,只要擁有良好的管理規則,允許員工上社交網站並不會為企業帶來太大的風險。
此外,對使用者進行資安教育也是必要的,多數使用者對社群網站有1種錯誤的認知,他們認為只要做好系統設定,就能保持資訊的私密性,亦即只有自己和好友看得到社群網站上所輸入的資訊,因此,在提供資訊時往往不會多加思考,連不能公開的資訊也一併放在社群網站上,卻忽略所有網路資訊都有被公開的可能性。
無論使用者有心或無意,任何不應該被公開的資訊,都不能放在社群網站中,但多數使用者卻忽略這點,前述提及的實習醫生將病人履歷貼在Facebook上,便是最好的例子。而企業若要解決這個問題,除了透過教育訓練,為員工建立資安意識,讓員工瞭解哪些屬於企業機密資料、不能輕易洩露,還可透過IT工具落實管理規範,現今最熱門的就是防制資料外洩(Data Loss Prevention;DLP)軟體,這是應用關鍵字或內容感知技術,辨識員工透過網路傳輸的內容,是否含有機密資訊,倘若偵測出機密資訊,系統就會禁止傳輸並通知管理者。
上述訂定使用規範與資安教育的做法,乃是為了避免員工在使用社群網站時,無意(或有意)洩露重要資訊,至於外部駭客的攻擊,最好的解決方式仍是導入各種資安軟硬體設備,除了傳統的防毒軟體或防火牆外,企業也可以考慮具有網頁過濾分析功能的資安設備,例如防毒軟體、閘道防毒設備、WebFilter、整合式威脅管理(Unified Threat Management;UTM)設備等,避免使用者受駭客欺騙,而點取惡意連結,造成公司電腦中毒。
為強化網路惡意程式的防護,許多資安廠商也開始善用雲端技術,將網站信譽評等資料庫放在雲端,一旦偵測到可疑網址,就會與雲端資料庫相互比對,確認其是否為惡意連結。由於惡意連結增加速度太快,有些廠商甚至在資料庫內增加1個可疑網址的分類選項,將可能暗藏風險的新網址暫時評定為「可疑」,直到確認其是否包含惡意程式,再進一步歸類。另外,有些廠商則是改變傳統signature-base及anti-virus的作法,改用內容分析與行為分析技術,來判斷網站是否包含惡意程式。
總結來說,社群網站對企業的威脅同時來自外部與內部,外部駭客的攻擊,可透過資安設備防堵,至於內部使用者的資料外洩風險,反而不易掌控,即便企業訂定使用規範、導入IT工具落實管理政策,也無法保證使用者不會外洩重要資訊,因此,企業MIS惟有保持警覺、持續觀察使用行為,並做好資安宣導訓練,才能有效控制伴隨社群網站而來的資安風險。
------------------------------------------------------------------------------------
BOX:企業避免社群網站攻擊的3大管理規範
1、訂定明確的社群網站使用規則。
2、定期進行教育訓練,建立員工的資安意識。
3、透過應用資安軟硬體設備補強安全漏洞,尤其是具備網頁過濾分析功能的產品。
------------------------------------------------------------------------------------
