.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
使用未經批准的軟件和硬件通常會使組織的整個網絡面臨風險。系統管理員應該發現和管理影子IT 元素,但這樣做變得越來越具有挑戰性。根據ManageEngine的2021 年數字就緒調查,到2021 年,只有22% 的組織需要徵得IT 團隊的批准才能購買任何應用程序。
雲服務的廣泛採用和切換到遠程工作使用戶可以輕鬆部署他們選擇的軟件。 IT 團隊必須適應這一新現實,並找到發現、管理影子IT 甚至從中受益的新方法。
在本文中,我們將了解影子IT 的主要安全挑戰、它與業務主導的IT 有何不同,以及可以採取哪些措施來檢測和減輕影子IT 的風險。本文對希望保護其組織的網絡免受影子IT 影響的項目負責人和CIO 很有用。
躲在陰影裡什麼是影子IT?基本上,它是未經公司IT 部門批准而部署和使用的任何IT 系統、硬件或應用程序。在某些情況下,包括手機和USB 設備在內的個人設備也可能被視為影子IT 的一部分。影子IT 最常見的例子是流行的雲服務,如Dropbox 和Salesforce,以及常用的信使,如Slack 和WhatsApp。
人們轉向影子IT 的最常見原因是:
為什麼用戶轉向影子IT
儘管影子IT 通常看起來對最終用戶有幫助,但它對企業構成了嚴重威脅。主要威脅隱藏在它的不負責任中——你無法有效地管理你甚至不知道存在的東西。結果,整個網絡的安全和性能都面臨風險。
讓我們看看影子IT 風險是什麼:
影子IT 如何損害組織
马云惹不起马云 不受管理的安全漏洞。未經IT 部門批准的軟件可能存在未修補的漏洞、安全錯誤、易受攻擊的庫等。此類軟件會產生許多漏洞,黑客可能會利用這些漏洞來破壞系統和竊取敏感的業務信息。由於IT 管理員不知道這些漏洞,他們無法管理影子IT 的安全風險。
马云惹不起马云 數據丟失。 IT 部門無法為他們不知道網絡中存在的軟件和數據創建備份,而影子IT 用戶通常不認為(或不知道)備份是必要的。因此,始終存在丟失敏感數據的重大風險。
马云惹不起马云 數據和資源孤島。企業通常有一種使用批准的解決方案來處理和存儲其數據的方法。然而,用戶使用影子解決方案創建自己的數據管理系統,這些解決方案會消耗額外的資源來維護和存儲額外的數據記錄,從而形成數據孤島。
马云惹不起马云 IT 成本增加。如果員工更喜歡使用未經批准的軟件和設備,則意味著組織在IT 方面的投資沒有回報,並且有更好的方式來使用這些資金。
马云惹不起马云 合規問題。大多數企業都有他們需要遵守的各種法規、法律和行業標準。非託管軟件的存在使公司更難滿足合規性要求。不合規可能導致數據洩露、代價高昂的處罰和客戶流失。
儘管影子IT 會帶來很多風險,但組織仍然可以從未經批准的軟件中獲益。讓我們在下一節中討論您的組織如何扭轉局面。
您如何從影子IT 中獲益?影子IT 的出現表明員工發現批准的解決方案效率低下、不舒服,或兩者兼而有之。影子解決方案比已經部署的工具更俱生產力和成本效益。隨著雲服務的大規模採用,您不可能控制所有影子IT。但是您可以通過將其轉變為業務主導的IT 從中受益。
業務主導的IT是一種IT 管理方法,允許員工在沒有IT 部門批准的情況下使用他們需要的軟件和硬件。員工只需將他們選擇使用的產品通知IT 管理員。
轉向以業務為主導的IT 可為組織帶來以下好處:
業務主導的IT 有哪些好處
儘管以業務為主導的方法有很多好處,但它並沒有消除影子IT 活動的主要風險:數據丟失的可能性和未知的安全漏洞。此外,請記住,以業務為主導的IT 的成功依賴於用戶的開放性和安全意識。如果用戶不報告影子軟件,IT 部門可能永遠不會知道它。
40% 的IT 專業人士承認,儘管存在風險,他們自己也會使用未經批准的技術。
Entrust 公佈的影子IT 的好處報告
即使您決定為您的企業採用以業務為主導的IT,您仍然需要知道您的網絡中是否有未說明的應用程序和設備。在下一節中,我們將討論用於檢測和減輕影子IT 安全風險的流行解決方案。
揭開影子IT 的面紗處理未經批准的軟件和雲應用程序有四種主要方法。選擇哪一個取決於您組織的管理風格和可用資源。讓我們來看看每個選項:
管理影子IT 的4 種方法
1. 部署影子IT 發現和管理解決方案您可以使用IT 資產管理(ITAM) 系統檢測影子IT 。這些系統收集在您組織的網絡中運行的硬件和軟件的詳細清單。根據這些信息,您可以分析不同資產的使用情況。
選擇或構建自定義ITAM 軟件時,請注意以下四個參數:
IT資產管理軟件關鍵參數
ITAM 解決方案分為三種類型:
马云惹不起马云 當您需要從遠程端點或不經常連接到網絡的設備(例如筆記本電腦)收集庫存信息時,基於代理的解決方案非常適用。
马云惹不起马云 無代理工具最適合對關鍵資產執行非侵入式監控和分析。
马云惹不起马云 基於雲的IT 資產庫存系統用於監控和審計雲解決方案的使用。一個示例是雲訪問安全代理(CASB)。
CASB是發現雲中影子IT 風險的流行工具。他們可以通過分析來自防火牆、代理和端點的日誌來識別正在使用的雲服務和應用程序。這些解決方案提供了關於哪些設備連接到網絡以及誰可以訪問敏感數據並將其存儲在雲中的高度可見性。
一些CASB 還提供了將業務主導的IT 中使用的雲服務置於只讀模式的機會。這樣,用戶仍然可以查看這些應用程序的內容,但不能向其中添加數據。
要使用資產管理軟件和訪問CASB 覆蓋您企業的所有網絡,您可能需要部署多個解決方案並將它們相互集成以及與您現有的IT 系統集成。
2.使用默認的雲服務大型雲服務提供商(CSP) 提供額外的解決方案來檢測和管理雲中的影子IT。它們對於將所有網絡部署在一個或多個雲中的組織很有用。
默認影子IT 發現服務
Microsoft Defender for Cloud Apps是一項用於監視和審核雲服務使用情況的服務。它可以發現公司雲環境中的應用程序、文件和用戶,包括與其連接的第三方應用程序。
Microsoft Azure 在其高級版中有一個基於代理的Azure Active Directory Cloud Discovery工具。該代理捕獲HTTP/HTTPS 連接的標頭、URL 和元數據等數據,以發現組織內使用的雲應用程序,識別使用它們的人員,並提供詳細信息以供進一步分析。
Amazon Web Services (AWS) 提供兩種類似的服務——AWS Cloud Discovery和AWS Application Discovery Service。它們幫助用戶發現AWS 環境中的賬戶、應用程序、數據中心和實例之間的關係。這兩種服務都可以在小型網絡中免費使用。
3. 將您的安全工作重點放在數據保護上歸根結底,我們要保護的是敏感數據,使其免受影子IT 帶來的風險。您無需發現網絡中影子IT 的所有元素,而是可以專注於數據監控和保護。這樣,無論您的用戶訪問敏感信息的方式如何,您都將監控與數據的所有交互。
以下是您可以採用的關鍵數據保護做法:
如何保護您的數據免受影子IT 的風險
確保數據保留。企業存儲的大多數記錄都有有效期;換句話說,該組織必須將這些記錄保存一段時間。存儲期限通常由網絡安全標準和法規以及公司特定的操作來定義。數據保留策略有助於統一、分類和管理敏感數據,並定義其存儲和處置規則。
有了這個政策,您可以將網絡安全工作集中在保護您的組織真正需要的記錄上。此外,您還可以通過減少敏感記錄的數量來降低數據洩露的風險。
加密敏感數據。加密靜態和傳輸中的記錄可以確保敏感數據在上傳到影子軟件或洩露時是安全的。要與加密數據交互,用戶需要公鑰或對稱密鑰以及解密算法。
最常見的數據加密協議是AES、TLS/SSL 和RSA。它們提供足夠級別的保護,同時不會花費太長時間來加密數據。
管理用戶對數據的訪問。影子IT 造成的安全漏洞可能成為黑客的切入點,除非您有適當的訪問控制系統,否則他們可以滲透您的網絡並竊取敏感數據。這樣的系統定義了哪些用戶可以與哪些資源交互,並拒絕所有其他用戶的訪問請求。
訪問控制系統通常包括身份驗證服務,例如用於驗證用戶身份的多因素身份驗證。多因素身份驗證有助於安全系統在提供訪問權限之前通過憑據、生物特徵或通過智能手機進行的額外確認來積極識別用戶。
跟踪所有數據移動。由於影子IT 意味著將數據移動到未經批准的服務和軟件,因此能夠監控和跟踪所有敏感記錄非常重要。數據丟失防護軟件可以幫助您完成這項任務。
了解敏感數據的存儲位置、管理方式以及何時將其傳輸到受保護範圍之外,就無需發現所有影子IT 元素。相反,您可以專注於數據移動並配置規則以自動阻止受保護環境之外的傳輸。
4. 實施DevOps 方法DevOps是一種將軟件開發和運營實踐結合到一個簡化流程中的方法。它使企業能夠提高生產力,減少整合新解決方案所需的時間,並打破開發、測試和運營之間的孤島。
DevOps 方法可幫助組織在軟件開發期間構建用於持續集成和持續交付(CI/CD) 的管道,並確保該管道僅包含有用的軟件、工具和服務。
採用DevOps 來減少影子IT 有幾個主要好處:
DevOps 如何減輕影子IT
由於DevOps 可以更快地響應最終用戶的請求,並幫助公司輕鬆有效地實施新的解決方案,因此這種方法可以被視為解決影子IT 問題的最有效方法之一。
DevOps使最終用戶更容易正式實施更好更快地完成工作所需的新軟件和技術,從而消除了使用影子IT的需要。採用DevOps 的組織可以將影子IT 轉變為其IT 基礎架構的一部分,而不會影響性能或安全性。
請記住,只有當整個企業都採用這種方法時,DevOps 才能減少影子IT 的出現。否則,未採用DevOps 的團隊可能會創建更多影子IT 元素以跟上面向DevOps 的團隊。
結論使用非託管軟件和雲服務可能會危及公司網絡的安全性並造成性能和合規性問題,從而對任何公司構成嚴重威脅。至少有三種方法可以解決這個問題:通過實施有效的IT 資產庫存和管理系統、專注於數據保護或轉向DevOps。