This page looks plain and unstyled because you're using a non-standard compliant browser. To see it in its best form, please visit upgrade to a browser that supports web standards. It's free and painless.

雲端運算與網路安全趨勢 會員登入 會員註冊

« 上一篇 | 下一篇 »

 

龐大到媒體帝國,平民至便利商店,每家公司都紛紛將自己推到網路上,用最快也最具成本效益的方式來接觸他們的客戶。這是社群網路所帶來的好處,也是企業們駐足的地方。但你知道社群網路對企業來說是有風險的嗎?不管它們的規模大小。

關於社群網路,中小企業應該知道的五件事
關於社群網路,中小企業應該知道的五件事

事實一

各種規模、類型的企業都正在採用社群媒體。

並不是只有大型企業才會使用社群媒體,小型企業也會。在美國,大多數(58%)中小企業主會在社群媒體管道上發展網路及進行互動。註1

Facebook上的公司網頁對中小企業來說是排名最高的社群媒體管道(29%),其次是在Facebook社團上互動或張貼消息(23%),然後是在產業相關社群上互動(19%)。這不難知道原因,因為這些基本上都是免費的行銷,只需要有電腦跟網路就可以了。

中小企業肯定能夠透過社群媒體來接觸到大量的消費者。跟據ComScore統計,全球的網路人口中有84%會使用社群網站。註2 大多數人會花費五分之一的網路時間在社群網站上。在美國,社群網路的使用量幾乎增加了一倍,而在中國也增加了一半(53%)。註3

事實二

越來越多人在工作時瀏覽社群網站。

Salary.com最近一項關於浪費工作時間的全球性調查中發現,幾乎有三分之二的人(64%)承認自己在工作時連上與工作無關的網站。在這些網站中,Facebook是最受歡迎的虛擬聚會場所(41%),其次是LinkedIn(37%)。註4

這消息其實並不令人驚訝。事實上,一項趨勢科技在美國針對709名受訪者所做的IT資安人員問卷調查中發現,有54%的員工在工作時因為個人因素而使用社群媒體。而中小型企業的員工中有超過五分之三這樣做。註5

圖一、使用者會否因為個人因素而在工作時使用社群媒體的比例
圖一、使用者會否因為個人因素而在工作時使用社群媒體的比例

46%的人:在工作時不會因為個人因素使用社群媒體

54%的人:在工作時會因為個人因素使用社群媒體

事實三

社群網路威脅即使對小型企業也是一視同仁。

中小企業應該要知道,不管是大是小,它們也不能倖免於社群媒體威脅。中小企業員工就跟其他多數使用者一樣,也會落入社群媒體上的惡意陷阱。

假WhatsApp Facebook網頁>詐騙訊息顯示其他應該是WhatsApp的使用者>網頁導向偽造的星巴克行銷網頁>假Facebook版WhatsApp網頁

舉例來說,二〇一二年八月在Facebook上流傳的偽裝的WhatsApp應用程式。註6 這個特定攻擊會將受害者導到一個假造的WhatsApp Facebook網頁,並要求授權給應用程式。一旦使用者開放權限,網頁會出現其他應該是WhatsApp應用程式的使用者,並重新導到使用者協議網頁。就跟山寨版Instagram和Angry Birds Space憤怒鳥等應用程式一樣,這威脅似乎是針對行動用戶。

另一個相關的威脅,我們也看到有偽WhatsApp Messenger會存取使用者的好友聯絡資料。這詐騙攻擊最終會將自身散播到受害者的朋友。

員工們不一定要瀏覽社群網站才會成為社群媒體攻擊下的犧牲品。一個出現在二〇一二年九月的類似攻擊,會誘騙垃圾郵件(SPAM)收件者點入假造的LinkedIn邀請連結,將他們導到藏有黑洞漏洞攻擊包(Blackhole Exploit Kit)的網站。註7 黑洞漏洞攻擊包被用在全世界的垃圾郵件攻擊裡,而且以可以針對電腦上有弱點的程式來客製化攻擊而著稱。

事實四

網路犯罪分子可以透過社群媒體來收集企業及其員工的敏感資訊。

如前所述,越來越多員工會在工作時使用社群網站。而網路犯罪分子也會利用一個現象,就是企業會利用社群媒體跟客戶還有潛在客戶溝通。

只要簡單地追蹤公司和其員工在社群網路上的習慣,網路犯罪分子就能夠輕易地收集組織想要保持機密的資訊。註8 只要匯集Twitter上的推文、部落格文章還有粗心大意員工的狀態更新,就可以整理出不經意流露出的公司機密,像是關鍵人物的身份,甚至是財務狀況和內部問題。

事實上,趨勢科技的問卷調查顯示,有57%的中小企業員工會在社群網路上透露公司問題。註9 除非去採取動作,不然公司員工可能會將機密資料洩漏給幾乎任何人,包括網路犯罪份子,僅僅只是因為發布狀態更新這動作。

事實五

工作時使用社群網路應加以規範,以保護你的企業免受攻擊。

社群網路會讓中小企業暴露出特定的弱點。因此,必須採取特殊措施來確保關鍵業務資料不被外洩。中小企業無論大小,都必須制定在工作場所使用社群媒體的正式政策。

然而僅僅制定政策是不夠的,還需要嚴格執行。員工們必須了解使用社群媒體的最佳作法,以及如果不當使用的可能後果。註10

必須制定清楚簡潔的準則,沒有絲毫疑問或錯誤的空間。請記住,就算只是在任何社群網站犯下小小的錯誤,都會讓企業容易遭受攻擊,也可能導致聲譽受損。

你要如何保護你的業務?

社群網路如FacebookTwitterLinkedIn就在那裡。想要保護好你的業務,你所該做的就是讓你的員工了解最佳作法和準則,以最小化社群媒體所帶來的風險:

  • 了解員工使用社群網路的狀況。根據趨勢科技的研究指出,有55%的中小企業員工認為瀏覽網路是沒有限制的。註11 利用中小企業趨勢科技Worry-Free Business Security來管理員工的網路使用狀況,可以防止員工瀏覽不適當的網站和下載惡意檔案。它同時也可以監控員工在每天特定時刻的網路使用狀況。

  • 提供員工易於遵循的準則。不管是不是允許在工作時間使用社群網路,員工都需要知道哪些關於公司的消息是可以發表的,以及誰可以發表什麼樣的消息。當你建立你們公司的社群媒體準則時,請注意以下幾點:
    • 保持道德準則,提醒員工他們是由公司僱用或付薪水的。
    • 提醒客戶只能透過電子郵件或個人訊息來分享個人資訊。讓他們知道,如果他們有關於洩漏機密資訊的問題時,可以到哪得到幫助。
    • 聰明地參與社群網路。只發表適合廣泛散播,符合業務目標的資訊。同時也提醒你的員工不要在網路上分享過多個人資訊。
    • 提醒員工不要點入他們不認識的人所分享的可疑連結
    • 定義什麼是機密。在你的資安政策裡,機密商業資訊的保密協議必須要涵蓋社群網站如FacebookLinkedInTwitter等等

原文來源:

http://www.trendmicro.com/cloud-content/us/pdfs/business/tlp-likes-links-and-lessons-learned.pdf

 

註解:

  1. http://www.smb-gr.com/wp-content/uploads/2012/pdfs/2012_Impact_of_Social_Business_Study_Marketing_Overview.pdf
  2. http://www.comscore.com/Insights/Presentations_and_Whitepapers/2012/Social_Networking_Key_Trends_in_France_and_Worldwide_in_2012
  3. http://www.brandchannel.com/images/papers/534_comscore_wp_social_media_report_1212.pdf
  4. http://www.salary.com/wasting-time-at-work-2012/slide/3/
  5. http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt_trend-micro_ ponemon-survey-2012.pdf
  6. http://blog.trendmicro.com/trendlabs-security-intelligence/scam-disguised-as-whatsapp-for-facebook/
  7. http://about-threats.trendmicro.com/us/spam/398/blackhole%20exploit%20kit%20spam%20run%20using%20linkedin
  8. http://about-threats.trendmicro.com/us/webattack/75/spam%20scams%20and%20other%20social%20media%20threats
  9. http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt_trend-micro_ ponemon-survey-2012.pdf
  10. http://about-threats.trendmicro.com/ebooks/socialmedia-101/#/1/

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt_trend-micro_ponemon-survey-2012.pdf

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

◎延伸閱讀

(雲端相關)

五個給小型企業關於雲端運算的迷思與事實

《趨勢專家談雲端運算》VMworld的熱門話題:為什麼安全團隊喜歡虛擬化桌面架構

八個令人無法苟同的雲端迷思

小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事

小型企業的雲端之路,到頭來還是回到原點

超神準的算命大師如何用雲端展開讀心術?!(影片)

保護您邁向雲端之路的 10 個步驟

巨量資料分析和主動式雲端截毒技術

關於雲端之旅的六個好處和風險(2012年趨勢科技雲端安全調查)

 

虛擬化的無代理防護也適用於雲端嗎?

會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut)

Cirsis/MORCUT 惡意軟體掛載虛擬機器

《趨勢專家談雲端運算》軟體定義網路重新洗牌:VMware收購Nicira,Oracle收購Xsigo

《趨勢專家談雲端運算》墮入虛擬化相關威脅的深淵

 

(APT相關)

@延伸閱讀
什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?

《APT 攻擊》退信和讀取回條自動回覆的風險

APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具,自我更新更厲”駭”

木馬專門竊取圖檔/影像檔案,得手資料傳送遠端 FTP,可能為APT 攻擊布局

《APT進階持續性威脅~主要目標攻擊侵入點:eMail》63%產品規劃藍圖 ,76%預算計畫經由 email 傳送

《APT進階持續性威脅》APT 攻擊常用的三種電子郵件掩護潛入技巧(含多則中英文信件樣本)

淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例

《APT 威脅》神不知鬼不覺的APT攻擊 — 多則APT 真實案件分享(含網路釣魚信件樣本)

《趨勢專家談雲端運算》目標攻擊在Web 3.0的演變

《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊

「李宗瑞影片,趕快下載呦!」從公僕誤開測試信,看好奇心所付出的資安代價(含APT 目標式電子郵件攻擊實際案例)

進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

APT 進階持續性滲透攻擊研究報告10個懶人包

從實體到雲端,重重風險怎把關 ?

惡意PowerPoint文件夾帶漏洞攻擊及後門程式

[圖表] APT攻擊的 5 個迷思與挑戰

< APT 目標攻擊 >知名韓國企業收到量身訂製的社交工程信件,員工開啟後遭遠端控制竊取個資

<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動

《APT攻擊 》另一起電子郵件目標攻擊利用研究單位做掩護

《APT 攻擊》下載藏文輸入法至Apple iOS,竟引狼入室

《APT /MAC 攻擊》另一起和西藏相關的攻擊活動針對Windows和Mac系統

微軟控告殭屍網路ZeuS、SpyEye和Ice IX幕後黑手

(中小企業資安)

◎延伸閱讀


勒索軟體偽裝成Java零時差漏洞修補程式

企業郵件伺服器處理電子郵件自動回覆的四個小提醒

五個給小型企業關於雲端運算的迷思與事實

小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事

小型企業的雲端之路,到頭來還是回到原點

自帶設備(BYOD):企業用戶的安全缺口?

《資料外洩》十大員工危險行為 ~員工行動化可能帶來的資料防護災難 [含資料圖表]

員工可能是最大的安全威脅?! 五個建議幫助員工避免網路風險

小型企業所該了解的關於網站威脅和網路犯罪的五件事

資料防護對中小企業來說比對大型企業還重要

是時候回收舊電腦和手機,但裡面的資料要清除乾淨了嗎?

員工可能是最大的安全威脅?! 五個建議幫助員工避免網路風險

APT 攻擊

 

◎即刻加入趨勢科技社群網站,精彩不漏網
    
發表回應