什么是影子 IT?
影子 IT 是指在未经 IT 部门批准、了解或监督的情况下,在企业网络上使用的任何软件、硬件或信息技术 (IT) 资源。
影子 IT 的示例包括在个人云存储帐户上共享工作文件、在公司使用其他经批准的服务时通过未经授权的视频会议平台举行会议,或者未经 IT 部门批准创建非官方群聊。
影子 IT 不包括黑客植入的恶意软件或其他恶意资产。它仅指由网络的授权最终用户部署的未经批准的资产。
最终用户和团队通常采用影子 IT,因为他们可以无需等待 IT 部门的批准即开始使用,或者因为他们认为影子 IT 为他们的目的提供的功能比任何替代 IT 提供的功能都更好。但尽管有这些好处,影子 IT 仍可能带来重大安全风险。由于 IT 团队不知道影子 IT,因此其不会监控这些资产或处理其漏洞。影子 IT 特别容易受到黑客的利用。根据 ESG 的《2022 年攻击面管理状况》报告,2021 年至 2022 年期间,近 70% 的组织因影子 IT 受到过攻击。
了解最新的《数据泄露成本报告》,获取洞察分析,以便更好地管理数据泄露风险。
据 CISCO(ibm.com 外部链接)称,80% 的公司员工使用影子 IT。个别员工通常出于便利和工作效率的考虑而采用影子 IT,他们认为使用个人设备和首选软件而不是公司认可的 IT 资源可以更高效或更有效地工作。
随着 IT 的消费化以及最近远程办公的兴起,这种情况只会进一步增多。软件即服务 (SaaS) 使任何人只要有一张信用卡和最低限度的技术知识就可以部署复杂的 IT 系统,用于协作、项目管理、内容创建等。组织的自带设备 (BYOD) 政策允许员工在公司网络上使用自己的计算机和移动设备。但即使实施了正式的 BYOD 计划,IT 团队通常无法了解员工在 BYOD 硬件上使用的软件和服务,并且可能很难在员工的个人设备上执行 IT 安全策略。
但影子 IT 并不总是员工单独行动的结果,团队也会采用影子 IT 应用程序。据 Gartner 公司(ibm.com 外部链接)称,38% 的技术采购是由业务主管而非 IT 部门管理、定义和控制的。团队希望采用新的云服务、SaaS 应用程序和其他信息技术,但常常感觉 IT 部门和 CIO 实施的采购流程过于繁琐或缓慢。因此,他们绕过 IT 来获取他们想要的新技术。例如,软件开发团队可能会在未咨询 IT 部门的情况下采用新的集成开发环境,因为正式的批准流程会延迟开发并导致公司错失市场机会。
未经批准的第三方软件、应用程序和服务可能是影子 IT 最普遍的形式。常见示例包括:
Trello 和 Asana 等生产力应用程序
云存储、文件共享和文档编辑应用程序,例如 Dropbox、Google Docs、Google Drive 和 Microsoft OneDrive
通信和消息应用程序包括 Skype、Slack、WhatsApp、Zoom、Signal、Telegram 和个人电子邮件帐户
这些云服务和 SaaS 产品通常易于访问、使用直观且免费或成本极低,使团队能够根据需要快速部署。通常,员工会将这些影子 IT 应用程序带到工作场所,因为他们已经在个人生活中使用它们。客户、合作伙伴或服务提供商也可能邀请员工使用这些服务,例如,员工加入客户的生产力应用程序来协作开展项目的情况并不少见。
员工的个人设备(智能手机、笔记本电脑以及 USB 驱动器和外部硬盘等存储设备)是影子 IT 的另一个常见来源。员工可以使用其设备远程访问、存储或传输网络资源,也可以在本地使用这些设备作为正式 BYOD 计划的一部分。无论哪种方式,IT 部门通常都很难使用传统的资产管理系统来发现、监控和管理这些设备。
虽然员工采用影子 IT 通常是为了获得预期的好处,但影子 IT 资产会给组织带来潜在的安全风险。这些风险包括:
失去 IT 可见性和控制
由于 IT 团队通常不知道特定的影子 IT 资产,因此这些资产中的安全漏洞未得到解决。根据《IBM® Security Randori 2022 年攻击面管理现状》报告,组织的暴露资产平均比其资产管理计划确定的多 30%。最终用户或部门团队可能不了解这些资产的更新、补丁、配置、权限以及关键安全和监管控制的重要性,从而进一步加剧了组织的风险。
数据安全问题
敏感数据可能会存储在不安全的影子 IT 设备和应用程序上、被不安全的影子 IT 设备和应用程序访问或传输,从而使公司面临数据泄露的风险。在备份官方认可的 IT 资源期间,不会捕获影子 IT 应用程序中存储的数据,因此在数据丢失后很难恢复信息。影子 IT 也可能导致数据不一致:当数据分布在多个影子 IT 资产中而没有任何集中管理时,员工可能会处理非官方、无效或过时的信息。
合规问题
《健康保险流通和责任法案》、《支付卡行业数据安全标准》和《通用数据保护条例》等法规对处理个人身份信息有严格的要求。没有合规专业知识的员工和部门推出的影子 IT 解决方案可能不符合这些数据安全标准,从而导致组织面临罚款或法律诉讼。
业务效率低下
影子 IT 应用程序可能无法与经批准的 IT 基础架构轻松集成,从而阻碍依赖共享信息或资产的工作流程。在引入新的授权资产或为特定部门配置 IT 基础设施时,IT 团队不太可能考虑影子 IT 资源。因此,IT 部门可能会对网络或网络资源进行更改,从而破坏团队所依赖的影子 IT 资产的功能。
过去,组织通常试图通过完全禁止影子 IT 来降低这些风险。然而,IT 领导者越来越多地接受影子 IT 的必然性,并且许多人开始认同影子 IT 的业务益处。这些好处包括:
使团队能够更加灵活地应对业务环境的变化和新技术的发展
让员工使用最适合其工作的工具
减少采购新 IT 资产所需的成本和资源,从而简化 IT 运营
为了在不牺牲这些益处的情况下降低影子 IT 的风险,许多组织现在致力于将影子 IT 与标准 IT 安全协议统合,而不是完全禁止它。为此,IT 团队通常会实施网络安全技术,例如攻击面管理工具,这些工具会持续监控组织面向互联网的 IT 资产,以发现和识别被采用的影子 IT。然后就可以对这些影子资产的漏洞进行评估和补救。
组织还可以使用云资产安全代理 (CASB) 软件确保员工与其使用的任何云资产(包括已知和未知资产)之间的安全连接。CASB 可以发现影子云服务,并对其采取加密、访问控制策略和恶意软件检测等安全措施。
IBM 解决方案
利用 IBM Security 全面的网络安全软件,增强企业抵御不确定性的能力。
保护多个环境中的企业数据,遵守隐私法规并降低操作复杂性。
借助 IBM Security 产品和专业知识,为混合和多云安全项目集成控制、协调工作负载部署并有效管理威胁。
资源
网络安全技术和最佳实践可保护关键系统和敏感信息免受数量不断增加且不断演变的威胁的影响。
攻击面管理可帮助企业发现、优先处理和修复网络攻击漏洞。
ITAM 确保每项资产都得到正确使用、维护、升级,并在其生命周期结束时进行处置。
