影子 IT 的风险以及如何应对

使用未经批准的软件和硬件通常会使组织的整个网络面临风险。系统管理员应该发现和管理影子 IT 元素，但这样做变得越来越具有挑战性。根据ManageEngine的2021 年数字就绪调查，到 2021 年，只有 22% 的组织需要征得 IT 团队的批准才能购买任何应用程序。

云服务的广泛采用和切换到远程工作使用户可以轻松部署他们选择的软件。IT 团队必须适应这一新现实，并找到发现、管理影子 IT 甚至从中受益的新方法。

在本文中，我们将了解影子 IT 的主要安全挑战、它与业务主导的 IT 有何不同，以及可以采取哪些措施来检测和减轻影子 IT 的风险。本文对希望保护其组织的网络免受影子 IT 影响的项目负责人和 CIO 很有用。

躲在阴影里

什么是影子 IT？基本上，它是未经公司 IT 部门批准而部署和使用的任何 IT 系统、硬件或应用程序。在某些情况下，包括手机和 USB 设备在内的个人设备也可能被视为影子 IT 的一部分。影子 IT 最常见的例子是流行的云服务，如 Dropbox 和 Salesforce，以及常用的信使，如 Slack 和 WhatsApp。

人们转向影子 IT 的最常见原因是：

为什么用户转向影子 IT

尽管影子 IT 通常看起来对最终用户有帮助，但它对企业构成了严重威胁。主要威胁隐藏在它的不负责任中——你无法有效地管理你甚至不知道存在的东西。结果，整个网络的安全和性能都面临风险。

让我们看看影子 IT 风险是什么：

影子 IT 如何损害组织

· 不受管理的安全漏洞。未经 IT 部门批准的软件可能存在未修补的漏洞、安全错误、易受攻击的库等。此类软件会产生许多漏洞，黑客可能会利用这些漏洞来破坏系统和窃取敏感的业务信息。由于 IT 管理员不知道这些漏洞，他们无法管理影子 IT 的安全风险。

· 数据丢失。IT 部门无法为他们不知道网络中存在的软件和数据创建备份，而影子 IT 用户通常不认为（或不知道）备份是必要的。因此，始终存在丢失敏感数据的重大风险。

· 数据和资源孤岛。企业通常有一种使用批准的解决方案来处理和存储其数据的方法。然而，用户使用影子解决方案创建自己的数据管理系统，这些解决方案会消耗额外的资源来维护和存储额外的数据记录，从而形成数据孤岛。

· IT 成本增加。如果员工更喜欢使用未经批准的软件和设备，则意味着组织在 IT 方面的投资没有回报，并且有更好的方式来使用这些资金。

· 合规问题。大多数企业都有他们需要遵守的各种法规、法律和行业标准。非托管软件的存在使公司更难满足合规性要求。不合规可能导致数据泄露、代价高昂的处罚和客户流失。

尽管影子 IT 会带来很多风险，但组织仍然可以从未经批准的软件中获益。让我们在下一节中讨论您的组织如何扭转局面。

您如何从影子 IT 中获益？

影子 IT 的出现表明员工发现批准的解决方案效率低下、不舒服，或两者兼而有之。影子解决方案比已经部署的工具更具生产力和成本效益。随着云服务的大规模采用，您不可能控制所有影子 IT。但是您可以通过将其转变为业务主导的 IT 从中受益。

业务主导的 IT是一种 IT 管理方法，允许员工在没有 IT 部门批准的情况下使用他们需要的软件和硬件。员工只需将他们选择使用的产品通知 IT 管理员。

转向以业务为主导的 IT 可为组织带来以下好处：

业务主导的 IT 有哪些好处

尽管以业务为主导的方法有很多好处，但它并没有消除影子 IT 活动的主要风险：数据丢失的可能性和未知的安全漏洞。此外，请记住，以业务为主导的 IT 的成功依赖于用户的开放性和安全意识。如果用户不报告影子软件，IT 部门可能永远不会知道它。

40% 的 IT 专业人士承认，尽管存在风险，他们自己也会使用未经批准的技术。

Entrust 公布的影子 IT 的好处报告

即使您决定为您的企业采用以业务为主导的 IT，您仍然需要知道您的网络中是否有未说明的应用程序和设备。在下一节中，我们将讨论用于检测和减轻影子 IT 安全风险的流行解决方案。

揭开影子 IT 的面纱

处理未经批准的软件和云应用程序有四种主要方法。选择哪一个取决于您组织的管理风格和可用资源。让我们来看看每个选项：

管理影子 IT 的 4 种方法

1. 部署影子 IT 发现和管理解决方案

您可以使用IT 资产管理(ITAM) 系统检测影子 IT 。这些系统收集在您组织的网络中运行的硬件和软件的详细清单。根据这些信息，您可以分析不同资产的使用情况。

选择或构建自定义 ITAM 软件时，请注意以下四个参数：

IT资产管理软件关键参数

ITAM 解决方案分为三种类型：

· 当您需要从远程端点或不经常连接到网络的设备（例如笔记本电脑）收集库存信息时，基于代理的解决方案非常适用。

· 无代理工具最适合对关键资产执行非侵入式监控和分析。

· 基于云的 IT 资产库存系统用于监控和审计云解决方案的使用。一个示例是云访问安全代理 (CASB)。

CASB是发现云中影子 IT 风险的流行工具。他们可以通过分析来自防火墙、代理和端点的日志来识别正在使用的云服务和应用程序。这些解决方案提供了关于哪些设备连接到网络以及谁可以访问敏感数据并将其存储在云中的高度可见性。

一些 CASB 还提供了将业务主导的 IT 中使用的云服务置于只读模式的机会。这样，用户仍然可以查看这些应用程序的内容，但不能向其中添加数据。

要使用资产管理软件和访问 CASB 覆盖您企业的所有网络，您可能需要部署多个解决方案并将它们相互集成以及与您现有的 IT 系统集成。

2.使用默认的云服务

大型云服务提供商 (CSP) 提供额外的解决方案来检测和管理云中的影子 IT。它们对于将所有网络部署在一个或多个云中的组织很有用。

默认影子 IT 发现服务

Microsoft Defender for Cloud Apps是一项用于监视和审核云服务使用情况的服务。它可以发现公司云环境中的应用程序、文件和用户，包括与其连接的第三方应用程序。

Microsoft Azure 在其高级版中有一个基于代理的 Azure Active Directory Cloud Discovery工具。该代理捕获 HTTP/HTTPS 连接的标头、URL 和元数据等数据，以发现组织内使用的云应用程序，识别使用它们的人员，并提供详细信息以供进一步分析。

Amazon Web Services (AWS) 提供两种类似的服务——AWS Cloud Discovery和AWS Application Discovery Service。它们帮助用户发现 AWS 环境中的账户、应用程序、数据中心和实例之间的关系。这两种服务都可以在小型网络中免费使用。

3. 将您的安全工作重点放在数据保护上

归根结底，我们要保护的是敏感数据，使其免受影子 IT 带来的风险。您无需发现网络中影子 IT 的所有元素，而是可以专注于数据监控和保护。这样，无论您的用户访问敏感信息的方式如何，您都将监控与数据的所有交互。

以下是您可以采用的关键数据保护做法：

如何保护您的数据免受影子 IT 的风险

确保数据保留。企业存储的大多数记录都有有效期；换句话说，该组织必须将这些记录保存一段时间。存储期限通常由网络安全标准和法规以及公司特定的操作来定义。数据保留策略有助于统一、分类和管理敏感数据，并定义其存储和处置规则。

有了这个政策，您可以将网络安全工作集中在保护您的组织真正需要的记录上。此外，您还可以通过减少敏感记录的数量来降低数据泄露的风险。

加密敏感数据。加密静态和传输中的记录可以确保敏感数据在上传到影子软件或泄露时是安全的。要与加密数据交互，用户需要公钥或对称密钥以及解密算法。

最常见的数据加密协议是 AES、TLS/SSL 和 RSA。它们提供足够级别的保护，同时不会花费太长时间来加密数据。

管理用户对数据的访问。影子 IT 造成的安全漏洞可能成为黑客的切入点，除非您有适当的访问控制系统，否则他们可以渗透您的网络并窃取敏感数据。这样的系统定义了哪些用户可以与哪些资源交互，并拒绝所有其他用户的访问请求。

访问控制系统通常包括身份验证服务，例如用于验证用户身份的多因素身份验证。多因素身份验证有助于安全系统在提供访问权限之前通过凭据、生物特征或通过智能手机进行的额外确认来积极识别用户。

跟踪所有数据移动。由于影子 IT 意味着将数据移动到未经批准的服务和软件，因此能够监控和跟踪所有敏感记录非常重要。数据丢失防护软件可以帮助您完成这项任务。 

了解敏感数据的存储位置、管理方式以及何时将其传输到受保护范围之外，就无需发现所有影子 IT 元素。相反，您可以专注于数据移动并配置规则以自动阻止受保护环境之外的传输。

4. 实施 DevOps 方法

DevOps是一种将软件开发和运营实践结合到一个简化流程中的方法。它使企业能够提高生产力，减少整合新解决方案所需的时间，并打破开发、测试和运营之间的孤岛。

DevOps 方法可帮助组织在软件开发期间构建用于持续集成和持续交付 (CI/CD) 的管道，并确保该管道仅包含有用的软件、工具和服务。

采用 DevOps 来减少影子 IT 有几个主要好处：

DevOps 如何减轻影子 IT

由于 DevOps 可以更快地响应最终用户的请求，并帮助公司轻松有效地实施新的解决方案，因此这种方法可以被视为解决影子 IT 问题的最有效方法之一。

DevOps使最终用户更容易正式实施更好更快地完成工作所需的新软件和技术，从而消除了使用影子 IT的需要。采用 DevOps 的组织可以将影子 IT 转变为其 IT 基础架构的一部分，而不会影响性能或安全性。

请记住，只有当整个企业都采用这种方法时，DevOps 才能减少影子 IT 的出现。否则，未采用 DevOps 的团队可能会创建更多影子 IT 元素以跟上面向 DevOps 的团队。

结论

使用非托管软件和云服务可能会危及公司网络的安全性并造成性能和合规性问题，从而对任何公司构成严重威胁。至少有三种方法可以解决这个问题：通过实施有效的 IT 资产库存和管理系统、专注于数据保护或转向 DevOps。