从心理学角度来看，我们都渴望得到关注，点赞和评论满足了这种需求，鼓励我们在社交媒体上分享更多内容。在企业界，这种风险呈指数级增长，因为涉及的不仅仅是个人的信息安全，而且是整个公司的安全。

社交媒体过度分享给公司带来网络安全风险

我们分享的每一条数据都像是一块拼图碎片，领英会透露职位头衔，Facebook和Instagram会提供我们生活中的日常细节，而X则提供实时洞察。这些信息碎片拼凑在一起，能为网络犯罪分子绘制出一条行动路线，并有助于他们发起高度精准的钓鱼攻击。

AI的成熟提高了这一过程的效率。据Ivanti称，GenAI在提升这些攻击的有效性的同时，也降低了它们的成本。通过分析社交媒体活动的模式，AI可以制作出高度个性化、具有说服力的钓鱼邮件。

在社交媒体上过度分享信息为网络犯罪分子收集详细的个人资料提供了机会，这可能包括分享的爱好、度假计划、家庭细节，甚至与工作相关的成就。

这些信息可以让攻击者冒充员工或制作利用这些信息的邮件，诱使收件人点击恶意链接或打开恶意附件。

网络犯罪分子可以使用社交媒体与员工建立关系，并操纵他们执行危害公司安全的行为。他们可以冒充同事、商业伙伴，甚至高管，利用从社交媒体上获得的信息让自己听起来更可信。

Gen最近的一份报告显示，社交媒体平台已成为网络犯罪分子的主要目标，其中Facebook占已识别威胁的56%，YouTube紧随其后，占24%，X占10%，Reddit和Instagram各占3%。

许多员工为个人社交媒体账户和工作账户设置相同的密码，使公司数据面临风险。虽然这样做很方便，但如果个人账户遭到攻击，攻击者也可能获得访问与工作相关的系统的权限。

2023年，伊朗威胁行为体TA455通过在领英上冒充招聘人员，瞄准了航空航天行业的员工，诱使他们访问分发SnailResin恶意软件的恶意网站，以建立持久的后门访问。

CISO必须关注员工在社交媒体上的行为

CISO现在必须考虑防火墙之外的员工行为。攻击面不再局限于公司终端，而是延伸到领英的个人资料、照片墙上的度假帖子和随意的推文。

公司应制定关于员工可以在社交媒体上发布什么内容的政策，特别是关于他们的工作和工作场所的内容。这些政策应包括禁止分享敏感信息，如：

正在进行的工作项目：员工应避免发布有关正在进行的项目、即将推出的产品或可能用于网络攻击的内部运营的信息。

工作关系：鼓励员工不要分享有关同事、上司或商业伙伴的详细信息，以避免社交攻击。

职位和职责：明确规定员工应避免发布有关其职位、职责和工作地点的敏感详细信息，这些信息可能会被攻击者用来制作有针对性的钓鱼邮件或冒充他们。

社交媒体帖子的问题是，隐私和公司安全之间只有一线之隔。CISO必须在这一细线上行走，在确保公司安全的同时，不过度干涉员工在业余时间的行为。

这就是为什么隐私意识培训应与网络安全政策相结合。这不是关于控制，而是关于明确性。CISO不能只是强加规定，他们需要让员工能够就他们在网上分享什么内容做出明智的决定，在个人自由和公司安全之间取得平衡。