從心理學角度來看，我們都渴望得到關注，點贊和評論滿足了這種需求，鼓勵我們在社交媒體上分享更多內容。在企業界，這種風險呈指數級增長，因為涉及的不僅僅是個人的信息安全，而且是整個公司的安全。

社交媒體過度分享給公司帶來網絡安全風險

我們分享的每一條數據都像是一塊拼圖碎片，領英會透露職位頭銜，Facebook和Instagram會提供我們生活中的日常細節，而X則提供實時洞察。這些信息碎片拼湊在一起，能為網絡犯罪分子繪制出一條行動路線，并有助于他們發起高度精準的釣魚攻擊。

AI的成熟提高了這一過程的效率。據Ivanti稱，GenAI在提升這些攻擊的有效性的同時，也降低了它們的成本。通過分析社交媒體活動的模式，AI可以制作出高度個性化、具有說服力的釣魚郵件。

在社交媒體上過度分享信息為網絡犯罪分子收集詳細的個人資料提供了機會，這可能包括分享的愛好、度假計劃、家庭細節，甚至與工作相關的成就。

這些信息可以讓攻擊者冒充員工或制作利用這些信息的郵件，誘使收件人點擊惡意鏈接或打開惡意附件。

網絡犯罪分子可以使用社交媒體與員工建立關系，并操縱他們執行危害公司安全的行為。他們可以冒充同事、商業伙伴，甚至高管，利用從社交媒體上獲得的信息讓自己聽起來更可信。

Gen最近的一份報告顯示，社交媒體平臺已成為網絡犯罪分子的主要目標，其中Facebook占已識別威脅的56%，YouTube緊隨其后，占24%，X占10%，Reddit和Instagram各占3%。

許多員工為個人社交媒體賬戶和工作賬戶設置相同的密碼，使公司數據面臨風險。雖然這樣做很方便，但如果個人賬戶遭到攻擊，攻擊者也可能獲得訪問與工作相關的系統的權限。

2023年，伊朗威脅行為體TA455通過在領英上冒充招聘人員，瞄準了航空航天行業的員工，誘使他們訪問分發SnailResin惡意軟件的惡意網站，以建立持久的后門訪問。

CISO必須關注員工在社交媒體上的行為

CISO現在必須考慮防火墻之外的員工行為。攻擊面不再局限于公司終端，而是延伸到領英的個人資料、照片墻上的度假帖子和隨意的推文。

公司應制定關于員工可以在社交媒體上發布什么內容的政策，特別是關于他們的工作和工作場所的內容。這些政策應包括禁止分享敏感信息，如：

• 正在進行的工作項目：員工應避免發布有關正在進行的項目、即將推出的產品或可能用于網絡攻擊的內部運營的信息。
• 工作關系：鼓勵員工不要分享有關同事、上司或商業伙伴的詳細信息，以避免社交攻擊。
• 職位和職責：明確規定員工應避免發布有關其職位、職責和工作地點的敏感詳細信息，這些信息可能會被攻擊者用來制作有針對性的釣魚郵件或冒充他們。

社交媒體帖子的問題是，隱私和公司安全之間只有一線之隔。CISO必須在這一細線上行走，在確保公司安全的同時，不過度干涉員工在業余時間的行為。

這就是為什么隱私意識培訓應與網絡安全政策相結合。這不是關于控制，而是關于明確性。CISO不能只是強加規定，他們需要讓員工能夠就他們在網上分享什么內容做出明智的決定，在個人自由和公司安全之間取得平衡。