什么是影子 IT?
影子 IT 是指员工或最终用户在没有 IT 部门批准或监督的情况下使用的任何 IT 资源。
Young student in eyeglasses typing information for course work on keyboard of modern laptop device using wireless internet in stylish flat, attractive woman chatting online via netbook at home; Shutterstock ID 1315235795; Job Number: 1727; Purchaser Name: drury; Project Name + Sub-project details: comp; Task Number:
什么是影子 IT?

影子 IT 是指在没有获得 IT 部门批准并且通常没有 IT 部门确认或监督的情况下,在企业网络中使用的任何软件、硬件或 IT 资源。 影子 IT 的例子包括:在个人 Dropbox 帐户或 U 盘中共享工作文件,在公司规定使用 WebEx 的情况下在 Skype 上开会,在没有 IT 批准的情况下启动群组 Slack。

影子 IT 不包括 恶意软件 或其他黑客植入的恶意资产。 它仅指网络中的授权最终用户部署的未经批准的资产。

最终用户和团队通常会采用影子 IT,因为这样无需等待 IT 批准即可开始使用,或者他们觉得影子 IT 的功能比 IT 提供的任何备用解决方案更能满足自己的目的。 尽管存在这些好处,但影子 IT 可能会带来严重的安全风险。 因为 IT 团队不了解影子 IT,所以他们不会监控这些资产,也不会保护这些资产或解决其中的安全漏洞。 影子 IT 特别容易被黑客利用。 根据 Randori 的 《2022 年攻击面管理状态》 报告,在去年,将近 70% 的组织经历过影子 IT 造成的危害。
使用影子 IT 的原因

根据 Cisco 的研究 , 80% 的企业员工使用影子 IT。 个人员工出于方便和提高工作效率的目的,经常采用影子 IT — 他们觉得通过使用个人设备和首选软件(而非公司批准的 IT 资源),可以更高效地开展工作。

随着 IT 使用量的增加,以及最近远程工作模式的兴起,影子 IT 只会越来越多。 通过使用软件即服务 (SaaS),任何人只要有信用卡,即使没什么技术知识也能轻松部署复杂的 IT 系统,用于开展协作、项目管理、内容创建等活动。 组织的“自带设备”(BYOD) 政策允许员工在企业网络上使用他们自己拥有的电脑和移动设备。 但即便实施了正式的“自带设备”计划,IT 团队通常也很难了解员工在 BYOD 硬件上使用的软件和服务,难以对员工的个人设备实施 IT 安全策略。

但是,影子 IT 并非始终是员工的个人行为 — 团队也会采用影子 IT 应用。 根据 Gartner 的报告,38% 的技术采购是由业务领导而非 IT 部门管理、定义和控制的。 团队希望采用新的云服务、SaaS 应用以及其他信息技术,但他们往往觉得 IT 部门和 CIO 实施的采购流程过于麻烦或耗时。 于是他们绕过 IT,自己获取所需的新技术。 例如,软件开发团队可能会在未征求 IT 部门意见的情况下采用新的集成开发环境 (IDE),因为正式的审批流程会延缓开发进度,导致企业错失市场商机。
影子 IT 的例子

未经批准的第三方软件、应用和服务可能是最普遍的影子 IT 形式。 一些常见的例子包括:

  • Trello 和 Asana 等生产力应用

  • 云存储、文件共享和文档编辑应用,例如 Dropbox、Google Docs 、Google Drive 和 Microsoft OneDrive

  • 通信和消息传递应用,包括 Skype、Slack、WhatsApp、Zoom、Signal、Telegram;以及个人电子邮件帐户

这些云服务和 SaaS 产品通常易于访问、直观明了而且可以免费或低价获得,团队可以根据自己的需要快速部署。 通常,由于已经在个人生活中使用这些影子 IT 应用,因此员工会将它们带到工作场所中。 员工也可能会接受客户、合作伙伴或服务提供商的邀请使用这些服务 — 例如,员工使用客户的生产力应用开展项目合作的情况并不少见。

员工的个人设备 — 智能手机、笔记本电脑和存储设备,例如 U 盘和移动硬盘驱动器,是影子 IT 的另一个常见来源。 员工可能会使用他们的设备远程访问、存储或传输网络资源;也可能作为正式的 BYOD 计划的一部分,在本地使用这些设备。 无论哪种形式,IT 部门通常都很难使用传统的资产管理系统来发现、监控和管理这些设备。
影子 IT 的风险

虽然员工采用影子 IT 通常可享受到一些众所周知的好处,但这些资产也会给组织带来潜在的安全风险。 这些风险包括:

  • 丧失 IT 可视性和控制:由于 IT 团队通常不了解特定的影子 IT 资产,因此这些资产中的安全漏洞无法得到解决。 根据 Randori 的《2022 年攻击面管理状态报告》,组织中暴露在风险中的资产比其资产管理计划所发现的资产平均要多出 30%。 最终用户或部门团队可能不了解针对这些资产的更新、补丁、许可权以及关键的安全和法规控制的重要性,从而进一步加剧了组织面临的风险程度。
  • 数据不安全:用户可能通过未受保护的影子 IT 设备和应用存储、访问或传输敏感数据,从而导致企业面临数据违规或数据泄露的风险。 正式批准的 IT 资源的备份过程不会涉及影子 IT 应用中存储的数据,因此这些数据在丢失后难以恢复。 影子 IT 还会造成数据不一致:如果数据分散在多个影子 IT 资产中,而没有集中式的管理,员工可能会使用非正式、无效或过时的信息。

  • 合规问题:《健康保险可移植性和责任法案》(HIPAA)、《支付卡行业数据安全标准》(PCI DSS) 以及《通用数据保护条例》(GDPR) 等法规对于个人身份信息的处理 (PII) 都有严格的要求。 由没有合规专业知识的员工和部门建立的影子 IT 解决方案可能不符合这些数据安全标准,可能导致组织遭受罚款或法律诉讼。

  • 影响企业效率:影子 IT 应用可能无法轻松地与经过批准的 IT 基础架构集成,从而妨碍依赖于共享信息或资产的工作流程。 IT 团队在为特定部门引入经过批准的新资产或配置 IT 基础架构时,不太可能考虑影子 IT 资源。 因此,IT 部门对网络或网络资源所做的变更可能会影响团队所依赖的影子 IT 资产的功能。
影子 IT 的好处

过去,组织通常靠完全禁止影子 IT 来消除这些风险。 然而,越来越多的 IT 领导承认影子 IT 已成为一种必然趋势,许多人已经开始接受影子 IT 给业务带来的好处。 这些好处包括:

  • 使团队能够更敏捷地应对业务领域的变化和新技术的发展演进

  • 使员工能够使用最适合自己工作的工具

  • 通过降低采购新 IT 资产所需的成本和资源,简化 IT 运营

为了缓解影子 IT 的风险,同时不影响它们所带来的好处,许多组织现在正努力使影子 IT 符合标准 IT 安全协议,而不是直接禁止使用。 为此,IT 团队通常实施各种网络安全技术,例如攻击面管理 (ASM) 工具,持续监控组织中面向互联网的 IT 资产,以便发现和识别被采用的影子 IT。 然后评估这些影子资产以发现漏洞并进行修复。 

组织还可以使用资产安全代理程序 (CASB) 软件,确保员工与他们使用的任何云资产(无论是已知的还是未知的资产)之间的连接是安全的。 CASB 能够发现影子云服务,并针对它们实施安全措施,比如加密、访问控制策略和恶意软件检测等。 
IBM 解决方案
网络安全解决方案

IBM Security® 提供一系列企业网络安全解决方案,帮助贵组织在充满不确定性的环境中快速发展。

探索网络安全解决方案
数据安全解决方案

保护多个环境中的企业数据,遵守隐私法规,降低运营复杂性。

探索数据安全
云安全解决方案

要管理统一的混合多云安全计划,需要建立可视性和控制力。 IBM Security 产品和专家可以帮助您整合相应的控制措施,统筹工作负载部署,建立高效的威胁管理机制。

探索云安全解决方案
资源 什么是网络安全?

网络安全技术和最佳实践可保护关键系统和敏感信息免遭不断增长且持续演变的威胁的破坏

 什么是攻击面管理?

攻击面管理可帮助组织发现网络攻击漏洞、确定其优先级并进行补救。

 什么是 IT 资产管理 (ITAM)?

ITAM 确保每项资产在其整个生命周期中都得到正确使用、维护、升级和处置。