影子IT是系统的使用, 设备, 软件, 应用程序, 和服务,没有明确的IT批准. 的确,根据这份来自 美国国家标准与技术研究所, 当企业提供的系统和过程被视为累赘或妨碍工作时,或者当企业未能提供必要的系统时,员工通常开始使用“影子IT系统”.”
影子IT的一个很好的例子是,公司的员工将未经审查或未经批准的消费产品连接到公司网络上,因为设备有可能被泄露, 假设, 帮助他们更快地完成工作. 从历史上看, 添加基础设施资源需要一个集中的IT团队的审查和批准——他们最终对是否可以提供某些东西有最终决定权.
从那以后,云基础设施将资源的所有权民主化到整个组织的团队, 大多数组织不再要求他们的开发团队以相同的方式请求资源. 而不是, 开发人员被授权提供他们完成工作所需的资源,并有效地发布代码.
这种动态对于实现云基础设施和云计算所承诺的速度和效率至关重要 DevSecOps 提供. 然而,这里的权衡是控制. 这种模式的转变意味着开发团队可能会在安全团队不知情的情况下经常消耗资源.
在新的设备或系统类别和新的/现有的/旧的策略之间, 身份实践很快就会变得难以驾驭. 让我们来看看一些清晰的影子IT示例,使其更易于理解.
这些设备本身并不是每个组织都不允许使用的. 而是它们的使用方式和/或使用不当 身份和访问管理(IAM) 软件. 大多数公司都允许使用个人设备, 但通常会有关于安全或身份应用程序类型的规则,必须实现它们的持续使用.
这类设备的例子包括一系列常见的可疑设备:智能手机, 笔记本电脑, 和平板电脑. 物联网(IoT)设备也占了这一类别的很大一部分:智能手表, 蓝牙耳机/耳塞, 健身追踪器, 和流媒体电视设备.
想想企业用来完成工作的所有软件应用程序:项目管理, 即时消息, 视频会议, 内容营销自动化, 社交媒体, 个人电子邮件, 和更多的. 这取决于团队的需要, 在一个给定的类别中可能有多个工具正在使用,并且只有一个被批准.
这里需要注意的是,一个网络的强大程度取决于它的政策. 业务规模,IT和 网络安全 组织也需要考虑. 如果一家公司是中小型的, 可能没有足够大的团队来创建和执行有规律的IT策略, 因此,由于未经批准的设备数量的增加,企业的网络变得越来越多孔.
有很多原因会促使员工利用IT组织批准使用的应用程序和软件之外的应用程序和软件. 其中一些用例比其他用例更容易被原谅, 但这并不意味着所有的情况最终都不应该成为一个教训,即它们如何使网络更容易受到攻击. 让我们考虑几个场景:
你可能会问,像影子IT这样有风险的东西有什么好处? 信不信由你, 允许未经授权的设备访问企业网络有一点好处.
事实上, 开放或松散的影子IT政策存在风险, 所以最好找到一个中间地带. 这可能意味着IT会扫描未经授权的应用程序,而不会对任何具有强大安全性的知名应用程序或设备采取行动,这些应用程序或设备可能在给定时间内未被授权在网络上.
我们已经详细讨论过了, 存在许多与之相关的安全风险, 有意或无意, 允许影子IT在企业环境中以任何程度运行.
每个人都可能有满负荷的工作, 但是,如果不制定政策来阻止攻击者利用漏洞并损害公司声誉,那么日常工作将毫无意义. 它们可能包括:
由于安全团队不知道影子IT资产, 漏洞 不可避免地得不到解决. 开发团队可能不理解—或者可能只是选择忽略—的重要性 云安全 这些类型资产的更新或补丁.
云资源被非法用户访问, 网络资产中的漏洞可能无法得到缓解,并可能使企业面临数据泄露或泄露的风险. 另外, 这些数据很可能没有受到集中备份的保护, 即使不是不可能,也很难恢复.
大多数 云合规 法规要求处理、存储和保护客户数据. 因为企业无法监督存储在影子IT资产上的数据, 这可能很快就会成为一个问题.
什么, 然后, 对于影子IT在网络上猖獗的可能性,安全组织该怎么做? 一个好的起点是实现 云的风险 合规管理平台可以持续评估整个云环境,以检测任何变化——比如新资产上线.
只要有新设备登录或在DevOps流程中启动了新资源, 这种类型的平台应该能够实时检测它,并自动识别它是否符合企业策略.