檢測和控制影子IT的5個步驟

伊元嘉

企業的員工通常希望使用最好的工具來完成他們的工作。對于大多數員工來說，這通常意味著使用在線SaaS應用程序，但這些應用程序和工具可能沒有得到企業IT部門的批準和許可。許多員工正在使用影子IT（業務主導的IT）來描述采用未經企業IT團隊批準的技術。隨著SaaS應用程序數量的增加，員工自然而然地采用了大量的在線工具，如今的大部分影子IT都是SaaS應用程序。盡管各行業的企業IT團隊盡了最大努力，但影子IT的應用不但沒有減少，而且一直在增加，并且接近合法化，可能最終成為一種能夠提供競爭優勢的可行IT戰略。

由于存在安全風險，企業采用的傳統策略通常是阻止員工采用各種形式的影子IT。然而，各種影子IT面臨的風險并不相同，而且企業對這些影子IT記錄在案的好處是，允許員工獲得他們認為是最佳工作工具的技術。因此，對于企業的首席信息官和首席信息安全官來說，與阻止影子IT的策略相比，更好的策略是對實施工具設置適當的安全護欄來控制它，以確保員工采用符合企業安全與合規政策的工具。

根據調查和研究，以下5個步驟在幫助企業創建安全可行的安全框架方面非常有效。

發現影子IT

控制影子IT的第一步是識別，以全面了解影子IT在企業中的流行程度。許多影子IT是一種服務，甚至硬件技術也幾乎總是采用SaaS組件來運行它。大多數企業將云訪問安全代理（CASB）用于SaaS發現和安全性，但經常收到員工的反饋，表示CASB干擾太大。它們在收集數據和識別誰去哪個網站方面做得很好，然而不擅長發現員工使用新的SaaS應用程序。數據可能在那里，但分析師通常必須做額外的工作來確定是否為已經創建的賬戶，特別是如果用戶使用的是本地用戶憑據而不是身份提供者。如果可以將相關數據呈現給分析師，他們只需要采取行動并實現所需的安全結果。

發現影子IT的解決方案是選擇一種自動化工具或方法并提供正確的觸發器，也就是使用其他身份和訪問管理（IAM）解決方案之外的業務憑證創建賬戶。將所有這些信息記錄在日志中或者定期合并數據，這種做法肯定是一個注定要失敗的過程。

優先考慮降低影子IT的風險

企業永遠不知道員工什么時候會獲得技術，會面臨哪些問題。可以確定的是，企業的員工將會獲得并使用不斷出現的新技術，根據企業的員工數量，它可以從每周幾個到幾十甚至幾百個不等。考慮到影子IT進入企業的數量和面臨不同的風險，優先級變得極為重要。

優先考慮是緩解風險的關鍵步驟。企業不能采取一些固定的模式和方法來降低影子IT的風險，因為它們也在不斷變化。有些技術對企業構成的風險程度超出了供應商是否獲得SOC2或ISO27001等行業認證，這些認證很常見，甚至初創公司也正在接受這些認證。與其關注供應商控制的風險，不如根據以下因素評估風險：

員工是否了解企業關于使用購買和使用技術、軟件或SaaS的安全和風險政策；

是否會使用敏感、機密或受監管的數據；

在業務組織中，是誰批準了該技術的使用；

該技術將與哪些系統集成；

任何非員工都會成為這項技術的用戶嗎；

企業里還有多少其他用戶。

保護影子IT賬戶

保護影子IT往往說起來容易做起來難。假設能夠在某個位置或網絡上找到物理設備，則很簡單，但軟件（幾乎都是SaaS）要困難得多，因為企業可以從托管設備或使用非托管設備從網絡不同位置訪問它。SaaS安全產品（例如CASB）應該可以控制網絡、身份或設備，但現實情況是可能無法控制其中的任何一個。

保護SaaS的最佳方法是在認為SaaS賬戶違反企業政策或員工不再在企業工作時鎖定SaaS賬戶本身。取消配置賬戶是可取的措施，但保護它以便沒有人可以訪問該賬戶是關鍵的第一步。

協調跨控制點的安全性，降低影子IT的風險

一旦影子技術得到保護，下一步就是通過其他安全點來協調對該應用程序的保護。例如，如果SaaS應用程序被認為風險太大，那么企業中這個應用程序的每個用戶都應該停止使用。作為額外的安全層，企業可能希望阻止訪問網絡上的SaaS站點或在每次有人創建新賬戶時設置警報。

當來自威脅情報源或第三方風險管理系統的數據表明SaaS應用程序已被破壞或已在市場上找到憑據時，協調也很重要。憑據被泄露的用戶應被迫檢查他們擁有的每個賬戶并重置密碼。盡管所有這些都可以通過現有工具以某種方式實現，但實際的工作流程通常沒有被設計出來。具有開箱即用自動化的SaaS安全產品在確保安全團隊統一控制點、分析、遙測和操作以保護和控制影子SaaS方面有很大的幫助。

接受影子IT

無論如何努力，影子SaaS都會繼續增長。在許多方面，這就像現在大多數企業自帶設備（BYOD）的發展趨勢一樣。隨著消費技術變得與企業產品一樣強大，工作人員發現使用消費設備工作變得更容易、更方便。企業最終會讓步，并且采用支持BYOD的產品，因為獲得的收益超過了成本。

同樣的事情也發生在影子IT上，更具體地說是SaaS。員工不再需要IT團隊的幫助或許可來購買功能更強大的應用程序。他們只需要一個電子郵件地址和自己的信用卡，使用可以升級的免費賬戶。IT和安全團隊需要承認這些好處并創建一個框架，讓員工在工作中使用正確的工具，同時對企業技術和數據進行更好地治理和控制。