Shadow IT(係指在安全團隊不知情的情況下被引進企業組織內的技術)仍然是一個安全威脅。透過提高警惕性並加強員工教育來管理可視性可以幫助緩解其危險。
文/Mary K. Pratt‧譯/酷魯
儘管實施了多年的現代化計畫,資安長(CISO)仍在與一個老問題進行鬥爭 ─ 「Shadow IT」(地下 IT),它指的是在企業內部運行未經正式批准或未被 IT 部門注意的技術而言。不論如何,未經檢查的軟體、服務和設備可能是安全團隊的夢魘,因為這可能會引入大量潛伏的安全漏洞、形成惡意攻擊者及惡意軟體的入侵點。
事實上,這是一個一如既往甚至可能會惡化的大問題。根據市場研究公司 Gartner 的資料顯示,2022 年有 41% 的員工在 IT 部門不可見的情況下獲取、修改或創建技術,預計到了 2027 年,此一比例將攀升至 75%。與此同時,技術評測平台 Capterra 所進行的《2023 Shadow IT 和專案管理大調查》(2023 shadow IT and project management survey)發現,57% 的中小型企業在其 IT 部門權限之外發生了具有高影響力的 Shadow IT 活動。
[ 推薦閱讀: ]
專家表示,Shadow IT 的組成和理應負責的管理者出現轉變,這也導致了這樣的統計數據出現。在早期階段,Shadow IT 可能是開發人員專為創新機密專案架設的未經授權伺服器。後來,它是由業務部門負責人在沒有 IT 參與的情況下所執行的系統,因為比起 IT 所部署和維護的系統,他們更喜歡某個特定的供應商或應用程式。
儘管那些早期形式的 Shadow IT 引發了安全風險,但是在這些案例中的主要擔憂莫過於額外的工作量以及企業組織技術帳單上新增額外系統的成本,甚至最終不可避免地將檯面下系統納進正式的 IT 部門資產組合中。
如今,Shadow IT 變得益加廣泛且普遍,越來越多的員工將其帶入組織,他們因此能夠快速輕鬆地推出技術產品和服務,以滿足他們的工作場所需求,而無需諮詢 IT 或安全團隊。
今天的 Shadow IT 就像「萬花齊放」
「Shadow IT 回來了,而且是大規模地回來了。但今天情況不同了。它成了個別員工為工作而創建、獲取和調適技術的法門。這些人已經成為技術專家,」Gartner 研究副總裁 Chris Mixter 指出。「現在 Shadow IT 的熱絡程度就好比萬花齊放一樣。你無法阻止它。你不能對員工說:『停止那樣做』,因為身為安全團隊成員的你甚至不知道他們在做什麼。」
當今的 Shadow IT 包含了各種技術產品和服務的組合。IT 仍然可以由一些隱藏在某處的未經授權伺服器組成,但是現代軟體的操作簡易性意味著它更有可能由更大規模且更普遍的技術部署組成。由業務部門甚至單一員工所設置基於雲端運算和軟體即服務(SaaS)的 App 成了常見的罪魁禍首。
「雲端使 Shadow IT 更容易存在,因為在過去,你必須購買硬體並知道如何連接網路的方法,這成了進入的最大門檻。」專業顧問服務公司 PwC 網路與隱私創新研究所(Cyber & Privacy Innovation Institute)負責人 Joe Nocera 表示。
物聯網介面和未記錄的 API 增加了 Shadow IT 的危險
當然,雲端並不是當今 Shadow IT 泛濫的唯一因素。部署物聯網(IoT)零組件和其他端點裝置的便利性也導致了這個問題。
未記錄的、未追蹤的第三方應用程式設計介面(API)則是另一種 Shadow IT,它在許多組織中已經變得很常見。網路安全科技公司 Cequence Security 在 2023 年 5 月的《API 防護報告》(API Protectoin Report)中發現,68% 的經分析的企業組織都曾遭遇過「地下 API」(Shadow API)風險。
存取雲端資源的便利性無疑是當今 Shadow IT 擴散的一個因素。IT 和網路安全服務公司 Triada Networks 執行長 Raffi Jamgotchian 表示:「你會發現很多這樣便利的雲端資源,只需要一張信用卡就可以輕鬆地部署他們,有時或者連信用卡都不需要,因為它們甚至是免費的。」然而,這種存取的便利性掩蓋了 Shadow IT 目前所帶來的重大風險。
[ 加入 與 ,與全球 CIO 同步獲取精華見解 ]
Jamgotchian 指出,員工通常不知道他們購買的應用程式是否或有什麼安全防護層,也不知道是否需要為應用程式添加任何東西來確保其安全性。然後,更糟糕的是,他們經常為了完成工作而將敏感性資料放進這些應用程式中。
工業型無線充電裝置、精密加工元件;貨櫃屋優勢特性有哪些?QR CODE 捲袋包裝機。幫你考照過關,堆高機裝卸操作教學影片大公開 !專業客製化禮物、贈品設計,辦公用品常見【L夾】搖身一變大受好評!如何利用一般常見的「L型資料夾」達到廣告宣傳效果?貨櫃屋設計,結合生活理念、發揮無限的創意及時尚的設計, Check AOI on tape components。真空封口機該不該買?使用心得分享!好的茗茶,更需要密封性高的茶葉罐,才能留住香氣!特殊造型滑鼠墊去哪買?金誠運用中古貨櫃屋,重新改造各式活動展場、代銷中心、旅遊渡假空間,皆可依顧客需求製作。實驗型均質機攻戰消費者第一視覺,包裝設計很重要!隨時健康喝好水,高品質飲水機,優質安全有把關。測試專家告訴你如何好好使用示波器。空壓機合理價格為您解決工作中需要。客製專屬滑鼠墊.防盜設備/系統;SPX,加強賣場防竊系統作業
因此,這些員工正在創建入侵點,駭客可以用來存取企業 IT 環境,發起各種攻擊。他們甚至讓專屬資料外洩與遭竊。在這個過程中,他們可能違反了資料安全和隱私監管要求。
Shadow IT 會增加合規和監管方面的問題
Jamgotchian 曾與一家曾被監管機構罰款的公司合作,該公司全因員工使用的應用程式沒有按照法律要求對資料進行足夠的安全保護和歸檔而遭到罰款;在那個案例中,該公司經理默許員工在 IT 部門(同時也是安全部門)的視線之外下載並執行應用程式,進而導致了違規行為。
此外,專家們表示,Shadow IT 大大增加了產品和服務以及銷售它們的供應商被排除在盡職調查審查之外的可能性,因為 IT 和安全在選擇過程裡完全被排除在外。邁阿密大學(Miami University)法默商學院(Farmer School of Business)資訊系統和分析學副教授 Joseph Nwankpa 表示:「這就是當人們在未經詢問是否來自可信賴供應商的情況下就使用這些應用程式時所面臨的挑戰之一。」
由此產生的網路安全風險是巨大的。Cequence Security 在 2022 年的一份報告中指出,在所觀察到的 167 億個惡意請求中,有 50 億個(占 31%)鎖定的是未知、未管理和未受保護的 API。至於 Capterra 則在前文提到的 2023 年研究中發現,有 76% 的受訪中小企業回報稱,Shadow IT 活動對其業務構成了中度到嚴重等級的網路安全威脅。
缺乏安全審查是 Shadow IT 最大的問題
Gartner 發現,創造和導入新技術的業務部門員工,也就是前文所謂的業務技術專家,在所有行為中表現出不安全的可能性是其他員工的 1.8 倍。
美國波士頓商業諮詢顧問公司 NeuEon 資安長、國際資訊系統安全協會(Information Systems Security Association,ISSA)主席 Candy Alexander 表示:「雲端運算使每個人都能很容易地獲得他們想要的工具,但真正糟糕的是沒有安全審查,因此帶給大多數企業巨大的安全風險,許多企業甚至不知道自己正身陷風險之中。」
為了最小化 Shadow IT 的風險,資安長需要首先瞭解企業內部情況的範圍。加拿大舍布魯克大學(Université de Sherbrooke)網路安全教授、資訊系統稽核暨控制協會(Information Systems Audit and Control Association,ISACA)新興趨勢工作小組成員 Pierre-Martin Tardif 表示:「你必須意識到 Shadow IT 在你的公司裡散布的數量及範疇。」諸如 SaaS 管理工具、資料外洩防護(Data Loss Prevention,DLP)解決方案和掃描功能等各項技術都有助於識別企業內未經批准的應用程式和裝置。
尋找指向未經授權技術使用的開支
非營利資訊安全培訓暨認證機構(ISC)² 資安長 Jon France 表示,他建議資安長也必須和組織內的採購團隊和財務部門合作,以便發現可能指向 Shadow IT 的不要必開支。他進一步指出,掃描員工花費報告對於發現 Shadow IT 特別有用,因為它有助於發現技術支出的報銷請求,這類開支的金額大小所以多半無需經過採購流程。
Mixter 指出,法國和其他國家的資安長還需要對員工進行有關 Shadow IT 可能帶來安全風險的教育,但對於這種安全意識訓練能對預防 Shadow IT 風險能有多大幫助的期望可能要放低一點。他並且表示,儘管大多數員工都明白自己正在產生安全風險,但他們仍然按計畫繼續進行:Gartner 研究顯示,有 69% 的員工在過去 12 個月裡故意繞過網路安全指導。
培訓員工如何導入新技術
Mixter 表示,部署 Shadow IT 的員工在他們的活動中並非出於惡意。相反的,他們試圖更有效率地完成工作,並尋找能幫助他們實現這一目標的工具。這就是為什麼除了安全意識的訓練之外,資安長還應該透過逐步增強他們的安全能力來賦與他們更多權限的理由。
Mixter 表示:「資安長需要協助員工轉變安全能力的構建,進而『讓我幫你找到安全完成工作的方法。』」根據 Mixter 的說法,這意味著:
- 制定針對業務技術專家的指導方針。
- 為業務技術專家提供能確保他們工作安全的選項。
- 協助業務技術專家取得相關的安全認證。
- 將網路安全解決方案整合到業務技術專家的工作流程中。
- 建立明確覆蓋業務技術專家活動的政策。
Mixte 指出:「資安長必須弄清楚他們需要多少安全技能,要明白他們自己不可能讓每個人都成為安全專家,所以他們必須確定他們所需最低程度的安全能力是什麼。」
他補充道,這種努力是有回報的。Gartner 發現,那些接受過針對其技術相關活動訓練的人,避免導致額外網路風險的可能性是沒有接受過此類訓練之業務技術專家的 2.5 倍,其行動速度是沒有接受過此類培訓之業務技術專家的兩倍多。
(本文授權非營利轉載,請註明出處:)
https://www.owlting.com/news/articles/395762