影子 IT 产生的结构性原因
影子 IT 是指在业务运营中使用组织 IT 部门未识别或未批准的硬件、软件或云服务。将工作文件保存到个人 Dropbox、使用未经批准的 SaaS 工具管理项目、在个人智能手机上访问公司邮件,这些都是影子 IT 的典型例子。
影子 IT 并非源于员工的疏忽或恶意。在大多数情况下,它是官方 IT 采购流程过慢、已批准的工具无法满足业务需求或优先考虑一线生产力的合理结果。然而,这些"合理的决定"在整个组织中打开了严重的安全漏洞。
影子 IT 的 5 大安全风险
1. 数据泄漏途径扩大
当业务数据存储在未经批准的云存储或文件共享服务中时,IT 部门甚至无法知道这些数据的存在。离职员工账户中残留的敏感数据、意外设置为公开的共享链接、通过服务提供商自身的数据泄露而泄漏的业务数据,所有这些都是 IT 无法检测或应对的"隐形泄漏"。
根据 Gartner 的研究,约三分之一的企业数据泄露估计源自影子 IT。
2. 认证和访问控制缺口
官方业务系统应用了单点登录 (SSO)、多因素认证和基于角色的访问控制。然而,影子 IT 服务存在于这些控制之外。
3. 合规违规
根据行业不同,严格的法规规定了数据存储位置、加密方法和访问日志保留期限。无法保证影子 IT 服务满足这些要求。
- GDPR:欧盟公民的个人数据可能存储在欧盟以外的服务器上
- HIPAA:医疗信息存储在没有 BAA (商业伙伴协议) 的服务中
- PCI DSS:信用卡信息在不合规的环境中处理
- 个人信息保护法:个人数据处理可能不符合分包商管理要求
当发现合规违规时,"员工自行使用的"不是可接受的辩护。组织要承担管理责任。
4. 恶意软件入口
未经批准的软件和浏览器扩展未经过 IT 部门的安全扫描。伪装成合法工具的勒索软件或信息窃取恶意软件通过影子 IT 进入企业网络并不罕见。
从供应链攻击的角度来看,未经审查的第三方工具构成重大风险。如果工具本身已被入侵,它可以成为损害蔓延到整个组织的起点。
5. 事件响应盲区
当安全事件发生时,IT 部门会调查受管系统的日志。然而,他们无法访问影子 IT 服务的日志,使得无法掌握攻击的全部范围。如果无法确定泄露的程度,就无法进行适当的遏制和恢复。
如何发现影子 IT
你无法保护你看不到的东西。第一步是让组织内正在使用的影子 IT 变得可见。
网络流量分析
分析防火墙和代理服务器日志,检测到未经批准的云服务的流量。CASB (云访问安全代理) 工具可以自动化此分析并在仪表板上可视化影子 IT 的使用情况。
终端审计
定期收集员工设备上安装的软件列表,并与批准列表进行比较。使用 MDM (移动设备管理) 工具,也可以审计移动设备上的应用。
费用报告数据分析
员工可能使用个人信用卡订阅 SaaS 服务并提交费用报告。费用系统数据有时可以揭示 IT 部门不知道的服务。
DNS 查询监控
监控企业网络上的 DNS 查询,检测对未经批准的云服务域名的访问。像 IP 确认这样的 IP 地址检查工具也可以帮助了解企业流量的路由情况。
管理影子 IT,而非试图消除它
试图完全禁止影子 IT 几乎注定会失败。员工会找到完成工作所需的工具。禁令执行得越严格,隐藏就越巧妙。
有效的方法是解决影子 IT 的根本原因,同时将风险保持在可管理的水平。
简化 IT 采购
当从新工具申请到批准需要数周时间时,一线人员等不起。通过维护一个满足安全要求的"已批准目录"工具,并使目录工具可以立即使用,你可以减少诉诸影子 IT 的动机。
采用零信任架构
基于零信任原则,根据身份和设备可信度而非网络边界来控制访问。这使得即使对通过影子 IT 服务的数据访问也能实现一定程度的治理。
部署 DLP (数据防泄漏)
部署 DLP 工具来检测和阻止敏感数据上传到未经批准的服务。完全预防很困难,但可以显著降低最关键数据泄漏的风险。
提高安全意识
用具体的例子向员工说明影子 IT 的风险。"这是风险所在,请使用这个工具代替"这种建设性的信息比"禁止使用"更有效。结合社会工程学意识培训有助于提高整体安全意识。
总结 - 可见性和替代方案是关键
影子 IT 不可避免地产生于组织 IT 治理与一线生产力需求之间的差距。与其禁止,不如采取可见性 (了解正在使用什么)、提供替代方案 (用已批准的工具满足业务需求) 和风险管理 (通过 DLP 和零信任进行治理) 的三层方法,这更为现实。
首先分析你组织的网络流量,了解正在使用哪些未经批准的服务。在 IP 确认上检查基本的网络连接信息并了解你的通信环境,也是提高安全意识的第一步。