马萨诸塞州坎布里奇。——美国财富100强公司的高管们将接受PiiQ媒体的网络安全风险评估。评估是使用PiiQ Media的威胁情报软件进行的，自动化风险分析和在顶级社交媒体平台上对暴露的PII进行评分。这一结果突显出个人社交媒体、电子邮件和密码安全方面的极端弱点。这些漏洞的影响对公司风险和企业数据安全无论大小公司都具有毁灭性的影响。#f100网络安全白皮书PiiQ Media为美国价值最高的公司对高管进行了全面的信息安全评估。前提是，即使是拥有最大安全预算和安全团队的公司，也可能没有采取有效措施改善员工的人身安全，因此在公司安全方面存在盲点。结果比我们预期的更令人吃惊。总的来说，我们有一个严重的问题。当今被犯罪分子利用的最大的企业攻击面是通过网络钓鱼和鱼叉式网络钓鱼攻击的社会工程员工。鱼叉式网络钓鱼攻击的成功率最高，这是由于攻击的个人性质，通常是模仿熟悉的人或组织向目标提供相关内容。允许犯罪分子建立有针对性的鱼叉式网络钓鱼攻击的信息来源是通过社交媒体和其他在线服务暴露出来的。更复杂的是，基于社会工程的攻击正在变得越来越复杂，使用人工智能来自动收集PII（侦察）和受害者参与（目标锁定）。当前的反网络钓鱼解决方案往往侧重于目标端，寻找可能表明电子邮件可疑的标记。这些类型的检测技术在检测不使用常用标记的更高级的网络钓鱼或鱼叉式网络钓鱼攻击时经常失败。PiiQ Media致力于提供软件和解决方案，以减轻侦察阶段收集到的PII暴露的未回答风险，识别并减轻暴露的个人识别信息（PII），以及电子邮件安全性的妥协和保护，从而帮助组织减少今天的成功攻击以及明天更复杂的攻击！我们鼓励认识到这些漏洞的公司采用更详细、更具可操作性的企业社交媒体使用政策，详细说明员工为提高电子邮件和社交媒体安全性可以采取的步骤。PiiQ Media有一个免费使用的企业社交媒体使用政策和个人清单，可以在这里下载。网络犯罪分子越来越倾向于利用人而不是系统。企业网络安全团队面临的挑战是，如何有效保护越来越多的员工在工作时使用个人设备（BYOD），同时使用相同的设备访问个人在线社交媒体平台和服务。此外，为响应COVID-19，采用在家工作（WFH）商业模式的趋势降低了对员工数字安全的可见性和控制力，从而增加了个人和公司被利用的风险。仅基于COVID19的网络钓鱼攻击在20201年3月就增长了667%。网络钓鱼攻击占报告的安全事件的80%以上2，美国公司平均损失1145万美元3。由于通过社交媒体和其他在线平台和服务在网上公开的大量个人身份信息（PII），网络犯罪分子越来越成功地锁定和利用特定的个人。PQ风险CXO评分社交媒体PII曝光和风险点击此处观看PiiQ讲解员视频率先上市-PQ-RISK CXO提供了一个网络安全SaaS解决方案，成功地聚合了主要社交媒体平台上的公开可用的个人资料数据，并能够根据分析的PII和评估结果自动将独特的鱼叉式网络钓鱼电子邮件上下文化。它确定了个人数据在哪些地方为犯罪分子提供了潜在的侵入，通过家人、朋友、兴趣、短信签到或电子邮件/域安全性来利用个人或公司的攻击表面。PiiQ Media在财富100强社会工程风险评估中首次展示了高管的风险敞口通过这一分析，PiiQ Media基于500名高管，创建了风险趋势分析和风险敞口报告。分析中确定的一些关键趋势；61%的高管拥有可发现的个人电子邮件地址，98%的高管拥有可发现的商业电子邮件地址。61%的高管拥有三个或三个以上的社交媒体档案，很容易被发现。32%的高管拥有未设置正确的DMARC/DKIM/SPF记录的电子邮件帐户，这使得攻击者能够更容易地模拟有效的电子邮件帐户23%的高管拥有与个人社交媒体账户相关的商务电子邮件地址。F100评估突出了罪犯和黑客所掌握的大量公开信息。这些漏洞存在于美国价值最高的公司的高管中，这表明其他公司的平均个人所得税风险敞口可能很大。暴露的PII允许犯罪分子培养家庭幻影身份和内容，从而增加有针对性的鱼叉钓鱼攻击的成功率。不良行为者获得的数据越多，"钩子"或"长矛"的穿透就越有针对性和合理性。在这样的努力中，语境是最重要的。F100评估报告分为10个可识别的PII暴露点、相关风险以及在幸运的100名高管中发现存在风险的高管的百分比。表1。PiiQ媒体财富100强高管评估横截面图暴露的PII相关风险%暴露关系泄露共享就业个人关系可以公开关键的个人属性，也可以提供上下文。这使得攻击者能够冒充某人，并有必要的上下文来愚弄受害者。99%数据泄露时暴露的密码包含密码的违规行为会给个人和公司带来严重的风险，这主要是由于跨服务的密码重用造成的44%与个人社交媒体帐户关联的商业电子邮件帐户一封商业电子邮件不应该与个人互联网服务（如社交媒体）相关联。它通过需要监管的商务电子邮件打开了一个更大范围的回复。23%最重要的是电子邮件安全协议和遵守情况。将商业电子邮件映射到个人网络的能力为不良行为者渗透商业网络提供了一条明确的途径，应该不惜一切代价加以避免。密码暴露同样是一个重要的网络安全问题，原因非常明显。F100评估继续列出其他此类风险敞口领域，并详细说明其存在风险的原因。亚伦·巴尔长官，我们不能把所有的东西都移走。对于许多专业人士来说，社交媒体中的自我推销与促进和建立公司业务是同步进行的，因此在社交媒体（尤其是Linkedin）中受到鼓励。重要的是要清楚地理解和制定程序，以便有效地将社交媒体用于个人和职业追求，同时限制暴露和妥协的风险。有效管理社交媒体信息对个人和职业安全至关重要"。如果你从这项研究中得到了什么，它是4个立即改善你的个人和公司安全的小贴士。商务电子邮件只用于商务！大多数商务电子邮件地址结构都很容易猜测。FN.LN.公司@公司网站. 限制通信类型，以便更容易区分合法通信和非法通信。因为它涉及到个人电子邮件，每个人至少应该有3个；一个用于垃圾邮件，一个用于社交媒体和其他在线服务类型平台，最后一个用于金融和个人。保护您的财务和个人电子邮件地址像'黄金'！如果你做得对，你最受保护的电子邮件帐户永远不会收到垃圾邮件。说到密码-长度和唯一性是经验法则。不要重复使用密码，并确保长度至少超过10个字符。一种技术是开发密码短语库，但是使用添加到短语库中的字符、数字和特殊字符的独特组合来使密码唯一。如果需要，请使用密码管理器，但不要重复使用密码。不幸的是，人们经常在社交媒体账户和银行重复使用相同的电子邮件地址和密码。那是灾难的秘诀。凭证填充正在增加，根据我们的研究，在世界上最好的组织中，91%的高级管理人员的电子邮件被泄露，他们知道44%的人的密码是完全可见的——这应该是不言而喻的。定期查看你的社交媒体档案和公开的信息。不要使用与电子邮件地址相同的用户名。每个平台使用不同的侧面照片，避免使用个人照片是最佳选择。不要让攻击者轻易发现你的所有个人资料，并仔细阅读可以用来对付你的个人信息。关于PiiQ MediaMA PiiQ Media总部位于剑桥，是一家私人投资、种子期后、系列a前的数据科学和社交媒体分析公司，专注于SaaS和网络安全解决方案，同时还提供咨询服务。欲全面回顾《财富》100强企业高管评估，请点击此处。要获得您自己的企业网络安全PII风险评估，请联系Alanna Nardella Frost，alanna@piiqmedia.com。***预防是新发现***_______________________________________1"冠状病毒相关矛