Согласно данным экспертов по информационной безопасности компании WatchGuard Technologies, наиболее быстро растущей угрозой для корпоративных сетей являются Web-сервисы и приложения, распространяемые через социальные сети. Данные приложения могут создавать серьёзную угрозу безопасности корпоративной сети, подвергая риску сохранность конфиденциальных данных. При этом снижается производительность труда сотрудников компании.
Существует множество причин, по которым приложения Web 2.0, распространяемые через социальные сети, представляют угрозу для любых предприятий. Вот некоторые из них.
Снижение производительности труда сотрудников
Множество научно-исследовательских организаций пришли к выводу, что компании ежегодно теряют миллиарды долларов из-за снижения производительности труда сотрудников, активно использующих приложения и сервисы социальных сетей. С одной стороны, социальные сети можно использовать для обеспечения совместной работы и формирования деловых связей, но с другой — ИТ-администраторы часто не имеют возможности контролировать Web-приложения и сервисы в социальных сетях и управлять ими.
Утечки данных
У многих компаний все большую обеспокоенность вызывает проблема утраты важной и конфиденциальной информации. Имея средства контроля Web-приложений и сервисов, ИТ-администраторы могут снизить риски, связанные как со случайной, так и со злонамеренной утечкой данных.
Атаки и вредоносные программы
Специалисты компании WatchGuard Technologies утверждают, что в течение следующих трёх лет социальные сети станут главным источником вредоносных программ, и называют причины этого.
1. Общение в социальных сетях способствует повышению взаимного доверия между пользователями
Основной функцией социальных сетей является взаимодействие пользователей друг с другом. Как правило, общение с людьми, внесенными в группу “Друзья”, бывает доверительным. Но в то же время социальные сайты не имеют технических средств для проверки и подтверждения того, что пользователи, с которыми вы общаетесь в социальной сети, действительно являются теми людьми, за которых себя выдают. Таким образом, атмосфера доверия создает идеальные условия для реализации атак с использованием методик социальной инженерии.
2. Технологии приложений социальных сетей имеют множество уязвимостей
Несмотря на то что использование технологий Web 2.0 дает компаниям множество преимуществ, подобные средства грешат серьёзными уязвимостями с точки зрения безопасности. Разработка приложений Web 2.0 очень сложна, в силу чего их программный код имеет массу недоработок. В результате возникают такие уязвимости, как SQL-инъекции и атаки с использованием XSS (cross-site scripting — межсайтовые сценарии). Это значит, что социальные сети подвергнуты Web-уязвимостям и атакам гораздо в большей степени, чем более простые и менее интерактивные интернет-ресурсы.
3. Чрезвычайная популярность
Социальная сеть Facebook в настоящее время занимает второе место по посещаемости после Google. Ненамного от них отстают и другие ресурсы этого типа, такие как Twitter и YouTube. В свою очередь растущая популярность социальных сетей вызывает все больший интерес со стороны злоумышленников.
По данным исследования, проведенного экспертами компании WatchGuard Technologies, наиболее опасными являются следующие Web-ресурсы:
Facebook. Уровень опасности самой широкоиспользуемой социальной сети напрямую связан с ее высокой популярностью. Более 500 миллионов пользователей Facebook предоставляют хакерам огромные возможности для реализации атак. Добавьте к этому вероятность технических проблем, обусловленную недоработкой программного кода сервисов и приложений, открытостью и ненадёжностью используемых API, — этого достаточно, чтобы в сети возникла чрезвычайно опасная ситуация;
Twitter. Существует опрометчивое предположение, что 140 символов, содержащихся в одном сообщении Twitter, не создадут большой угрозы безопасности сети. Напротив, в некоторых случаях краткая форма сообщений приводит к появлению новых уязвимостей, таких как URL shorteners (маскирование полного пути доступа к Web-ресурсу с помощью отображения гиперссылки). Данная функция помогает пользователям сэкономить место при написании сообщений Twitter, но в то же время, используя URL shorteners, хакеры могут скрыть за гиперссылкой путь к вредоносным ресурсам. Кроме того, Twitter имеет множество других уязвимостей, связанных с технологиями Web 2.0 и API-интерфейсами, которые позволяют осуществлять различные виды атак и даже способствуют распространению сетевых “червей” среди пользователей Twitter;
YouTube. Поскольку YouTube является одним из самых популярных сайтов размещения и просмотра видео в режиме онлайн, злоумышленников очень привлекает возможность проведения атак с использованием ресурсов этого сервиса. Киберпреступники довольно часто создают вредоносные Web-страницы, которые маскируют под страницы YouTube. Кроме того, хакеры нередко используют раздел комментариев к видео для размещения вредоносных ссылок;
LinkedIn. LinkedIn является бизнес-ориентированной сетью с высокой посещаемостью и, как следствие, имеет большую нагрузку. Более того, деловой характер ресурса подразумевает высокую степень доверия между пользователями. Оба этих фактора делают сеть LinkedIn привлекательной мишенью для злоумышленников. Поскольку большинство пользователей используют сеть LinkedIn для формирования деловых отношений или поиска работы, то зачастую они размещают на ресурсе личную и конфиденциальную информацию;
4chan — популярная общедоступная социальная сеть, где пользователи размещают фотографии и графические изображения, а также оставляют свои комментарии. Пользовательские страницы в сети 4chan могут даже содержать непристойный контент. Злоумышленники часто размещают большое количество вредоносных ссылок на страницах форума 4chan;
Chatroulette. Это многообещающий и быстро развивающийся ресурс, который позволяет общаться с помощью Web-камеры. При этом пользователи выбираются случайно, таким образом общение в сети происходит между незнакомыми людьми. Механизм работы данной системы анонимного общения вызывает повышенный интерес злоумышленников.
Статья подготовлена специалистами компании Rainbow Security.