虽然乍一看相对无害,但影子 IT 会给公司带来重大风险。2022 年,十分之七的组织因员工使用未经批准的硬件或软件而发生安全事件。除了安全问题之外,影子 IT 也是应用程序蔓延、运营效率低下和合规违规的主要原因之一。本文解释了影子 IT 的危险及其对安全状况和底线的潜在破坏性影响。我们将带您了解关于这个普遍存在的问题所需了解的所有信息,并介绍将影子 IT 保持在最低限度的最有效方法。
什么是影子 IT?
影子 IT 是指员工在公司安全部门不知情的情况下使用的任何未经授权的设备、IT 服务或应用程序。当安全团队不知道某个应用程序或硬件时,组织无法支持该技术或确保其安全。
员工通常会因为方便或当应用程序提供比公司批准使用的功能更好的功能时转向影子 IT。虽然对员工来说很方便,但影子 IT 会给组织带来一些相当大的风险,包括:
- 安全漏洞(配置错误、密码容易破解的帐户、受恶意软件感染的设备等)。
- 违规行为(例如,有人将敏感的客户数据保存在个人 Dropbox 帐户中)。
- 组织内部效率低下(例如,团队使用不同的工具来完成相同的任务或未优化的应用程序占用过多的网络带宽)。
以下是一些显示影子 IT 有多普遍的统计数据:
- 超过 80% 的员工经常依赖某种形式的影子 IT。
- 超过 50% 的员工至少使用一款未经授权的应用程序。
- 几乎 81% 的 IT 领导者认为员工将流氓云资产引入了环境。
- 平均一家公司使用大约 1,220 项云服务。其中只有 7% 完全符合安全和合规要求。
- 超过 35% 的员工认为他们必须解决安全措施或协议才能有效履行职责。
- 近 63% 的员工定期将与工作相关的文件发送到个人电子邮件中。
- 大约 32% 的员工使用未经批准的通信和协作工具。
近年来影子 IT 失控的原因有几个:
- 由于 COVID-19 的限制,远程工作的兴起。
- 按需云服务,使技术知识有限的任何人都可以部署高级系统和平台。
- 鼓励团队尽快工作的DevOps 原则越来越受欢迎。
- 更多地依赖自带设备 (BYOD) 硬件。
影子 IT 的例子
以下是一些最常见的影子 IT 示例:
- 未经 IT 部门明确批准,使用个人设备(智能手机、平板电脑、笔记本电脑等)访问公司数据或服务。
- 未经公司批准安装未经批准的软件,例如第三方工具或社交媒体平台。
- 使用个人帐户创建云工作负载。
- 设置流氓服务器或网络基础设施来支持工作。
- 使用个人存储设备(如 USB 或便携式硬盘)存储和共享公司数据。
- 通过社交媒体资料共享公司数据或与同事协作。
- 从家庭网络或公共 Wi-Fi 上的 BYOD 设备访问公司数据或网站后端。
- 出于测试目的秘密部署流氓云环境。
- 未经InfoSec团队批准使用 SaaS 应用程序(文件共享服务、协作工具、项目管理软件等)。
- 使用未经授权的即时消息或聊天应用程序与同事、客户或供应商通信(例如,当公司要求所有通信都通过 Skype 时,使用 Viber 聊天)。
- 创建自主开发的Excel电子表格,并使用它们来存储和共享公司数据。
- 在安全部门不知情的情况下将物联网设备(如智能扬声器或手表)连接到公司网络。
- 在个人 Dropbox 帐户上共享工作文件或将数据发送到私人电子邮件。
- 尽管公司希望其员工使用 Microsoft Teams,但仍打开一个秘密的 Slack 频道。
- 在同一个应用程序中登录个人和企业帐户,并使用两个配置文件来管理公司资产。
- 秘密使用未经批准的工作流程或生产力应用程序(例如 Trello 或 Asana)。
- 使用商业设备进行在线游戏。
影子 IT 的缺点是什么?
影子 IT 的使用很少有恶意,但这种做法往往会导致严重后果,包括:
- 安全漏洞:安全人员无法保护他们不知道存在的系统和应用程序。引入流氓硬件和软件会产生漏洞,恶意行为者可以利用这些漏洞进行多种类型的网络攻击。
- 数据泄露:员工通过不安全的影子 IT 设备和应用程序存储、共享和访问敏感数据,增加了数据泄露的攻击面。
- 缺乏标准化:每当团队使用不同的工具和系统来完成相同的任务时,就会增加不兼容的可能性。团队使用非官方、无效或过时数据的风险也会增加。
- 数据泄露:员工在未经授权的应用程序或私人设备上共享公司数据通常会导致数据泄露(意外地将数据泄露给未经授权的接收者)。
- 更高的成本:影子资产通常会导致意外开支和预算超支,从而增加IT 成本。例如,有人扩展以满足企业级需求的个人云存储的成本效益远低于企业使用的服务。
- 合规风险:团队可能秘密使用不符合监管要求(例如GDPR或HIPAA强加的要求)的技术或数据存储。即使员工在未经公司同意的情况下这样做,组织仍需承担违规罚款。
- 应用程序蔓延:影子 IT 是应用程序蔓延(应用程序过度扩散)的主要原因。当团队购买和部署太多程序而没有适当考虑价值、适合性或功能时,就会发生蔓延。
- 性能瓶颈:在现有系统之上添加额外的程序和应用程序通常会导致性能问题。
- 有风险的数据孤岛:公司内的其他人无法访问未经授权或个人设备上存储的任何文件。如果员工离开公司,您将无法访问该数据。
影子 IT 有什么好处吗?
虽然缺点远远超过其优点,但影子 IT 也有一些优点。最显着的好处是:
- 当团队可以自由选择软件时,他们会变得更加敏捷。
- 做出特别的 IT 决策有时可以让团队更快地响应变化和威胁。
- 选择首选应用程序和设备的能力鼓励员工进行创新。团队尝试新技术和工具,这为组织带来了轻微的竞争优势。
- 一些影子 IT 回旋余地使团队能够快速测试新工具,这些工具可能比当前解决方案更适合或更具成本效益。
- 使用首选应用程序的团队更有可能投入到他们的工作中。这种士气提升有助于提高员工满意度和保留率。
由于大多数公司认为影子 IT 是不可避免的,因此许多组织现在正试图通过安全协议来控制这种做法。如果您选择该路线,则有一些强制性预防措施,例如:
- 攻击面管理 (ASM) 工具:这些平台持续监控所有面向互联网的资产,以识别影子 IT 的迹象。一旦出现新资产,ASM 工具会自动评估潜在缺陷并帮助消除威胁。
- 云资产安全代理 (CASB):这些平台确保员工与他们使用的任何云资产(已知或未知)之间的安全连接。CASB 发现所有影子云服务并实施额外的安全措施(例如加密、访问控制策略和恶意软件检测)。
在快节奏的商业世界中,给员工一些解决问题和试验的自由是有利的。然而,让影子 IT 继续不受控制是一个巨大的错误,所以让我们看看公司如何控制这种做法。
您如何处理影子 IT?
以下是防止影子 IT 的最有效方法:
- 创建 IT 策略:创建详细的策略,概述组织内所有允许的软件、硬件和服务。政策还必须准确解释员工应如何使用授权技术,并说明违反规定的任何后果。
- 提供 IT 支持:确保所有团队都有足够的 IT 支持来解决他们的技术需求和问题。
- 鼓励沟通:鼓励 IT 和其他部门之间进行公开对话,以确保所有团队都对分配给他们的技术感到满意。开放的通信线路降低了任何人秘密使用未经授权技术的机会。
- 教育员工:定期组织意识培训,让团队了解影子 IT 的风险。确保每个人都理解为什么您坚持只使用经过批准的软件和硬件。
- 创建快速(但安全)的审批流程:如果您的团队中有人提议为操作添加新工具,则审批流程必须快速且安全。
- 进行定期工具审计:进行定期审计,跟踪不同部门使用哪些工具来执行他们的任务。
- 提高端点安全性:提高端点安全性,以防止员工在其设备上安装未经批准的应用程序(公司拥有的或作为 BYOD 策略的一部分)。
- 监控网络活动:您的安全团队必须监控网络活动以寻找未经授权的解决方案和服务的迹象。充分利用入侵检测系统和防火墙来分析流量和用户操作。
- 定期审查:定期审查和更新您的 IT 政策、审批流程和安全措施。确保您了解最新的技术趋势和安全威胁。
- CASB 和 ASM 工具:无论您是否选择容忍一定数量的影子 IT,上述 CASB 和 ASM 工具都是值得的投资。
将未经授权的应用程序和设备保持在最低限度
虽然影子 IT 提高了员工的工作效率并有助于推动创新,但不受控制地使用技术会带来潜在的破坏性风险。通过教育员工、制定有效的预防措施并鼓励团队公开其 IT 需求,将影子 IT 保持在最低限度。