检测和控制影子IT的5个步骤

2022-05-30 21:18伊元嘉
计算机与网络 2022年15期
关键词:应用程序账户影子

伊元嘉

企业的员工通常希望使用最好的工具来完成他们的工作。对于大多数员工来说,这通常意味着使用在线SaaS应用程序,但这些应用程序和工具可能没有得到企业IT部门的批准和许可。许多员工正在使用影子IT(业务主导的IT)来描述采用未经企业IT团队批准的技术。随着SaaS应用程序数量的增加,员工自然而然地采用了大量的在线工具,如今的大部分影子IT都是SaaS应用程序。尽管各行业的企业IT团队尽了最大努力,但影子IT的应用不但没有减少,而且一直在增加,并且接近合法化,可能最终成为一种能够提供竞争优势的可行IT战略。

由于存在安全风险,企业采用的传统策略通常是阻止员工采用各种形式的影子IT。然而,各种影子IT面临的风险并不相同,而且企业对这些影子IT记录在案的好处是,允許员工获得他们认为是最佳工作工具的技术。因此,对于企业的首席信息官和首席信息安全官来说,与阻止影子IT的策略相比,更好的策略是对实施工具设置适当的安全护栏来控制它,以确保员工采用符合企业安全与合规政策的工具。

根据调查和研究,以下5个步骤在帮助企业创建安全可行的安全框架方面非常有效。

发现影子IT

控制影子IT的第一步是识别,以全面了解影子IT在企业中的流行程度。许多影子IT是一种服务,甚至硬件技术也几乎总是采用SaaS组件来运行它。大多数企业将云访问安全代理(CASB)用于SaaS发现和安全性,但经常收到员工的反馈,表示CASB干扰太大。它们在收集数据和识别谁去哪个网站方面做得很好,然而不擅长发现员工使用新的SaaS应用程序。数据可能在那里,但分析师通常必须做额外的工作来确定是否为已经创建的账户,特别是如果用户使用的是本地用户凭据而不是身份提供者。如果可以将相关数据呈现给分析师,他们只需要采取行动并实现所需的安全结果。

发现影子IT的解决方案是选择一种自动化工具或方法并提供正确的触发器,也就是使用其他身份和访问管理(IAM)解决方案之外的业务凭证创建账户。将所有这些信息记录在日志中或者定期合并数据,这种做法肯定是一个注定要失败的过程。

优先考虑降低影子IT的风险

企业永远不知道员工什么时候会获得技术,会面临哪些问题。可以确定的是,企业的员工将会获得并使用不断出现的新技术,根据企业的员工数量,它可以从每周几个到几十甚至几百个不等。考虑到影子IT进入企业的数量和面临不同的风险,优先级变得极为重要。

优先考虑是缓解风险的关键步骤。企业不能采取一些固定的模式和方法来降低影子IT的风险,因为它们也在不断变化。有些技术对企业构成的风险程度超出了供应商是否获得SOC2或ISO27001等行业认证,这些认证很常见,甚至初创公司也正在接受这些认证。与其关注供应商控制的风险,不如根据以下因素评估风险:

员工是否了解企业关于使用购买和使用技术、软件或SaaS的安全和风险政策;

是否会使用敏感、机密或受监管的数据;

在业务组织中,是谁批准了该技术的使用;

该技术将与哪些系统集成;

任何非员工都会成为这项技术的用户吗;

企业里还有多少其他用户。

保护影子IT账户

保护影子IT往往说起来容易做起来难。假设能够在某个位置或网络上找到物理设备,则很简单,但软件(几乎都是SaaS)要困难得多,因为企业可以从托管设备或使用非托管设备从网络不同位置访问它。SaaS安全产品(例如CASB)应该可以控制网络、身份或设备,但现实情况是可能无法控制其中的任何一个。

保护SaaS的最佳方法是在认为SaaS账户违反企业政策或员工不再在企业工作时锁定SaaS账户本身。取消配置账户是可取的措施,但保护它以便没有人可以访问该账户是关键的第一步。

协调跨控制点的安全性,降低影子IT的风险

一旦影子技术得到保护,下一步就是通过其他安全点来协调对该应用程序的保护。例如,如果SaaS应用程序被认为风险太大,那么企业中这个应用程序的每个用户都应该停止使用。作为额外的安全层,企业可能希望阻止访问网络上的SaaS站点或在每次有人创建新账户时设置警报。

当来自威胁情报源或第三方风险管理系统的数据表明SaaS应用程序已被破坏或已在市场上找到凭据时,协调也很重要。凭据被泄露的用户应被迫检查他们拥有的每个账户并重置密码。尽管所有这些都可以通过现有工具以某种方式实现,但实际的工作流程通常没有被设计出来。具有开箱即用自动化的SaaS安全产品在确保安全团队统一控制点、分析、遥测和操作以保护和控制影子SaaS方面有很大的帮助。

接受影子IT

无论如何努力,影子SaaS都会继续增长。在许多方面,这就像现在大多数企业自带设备(BYOD)的发展趋势一样。随着消费技术变得与企业产品一样强大,工作人员发现使用消费设备工作变得更容易、更方便。企业最终会让步,并且采用支持BYOD的产品,因为获得的收益超过了成本。

同样的事情也发生在影子IT上,更具体地说是SaaS。员工不再需要IT团队的帮助或许可来购买功能更强大的应用程序。他们只需要一个电子邮件地址和自己的信用卡,使用可以升级的免费账户。IT和安全团队需要承认这些好处并创建一个框架,让员工在工作中使用正确的工具,同时对企业技术和数据进行更好地治理和控制。

猜你喜欢
应用程序账户影子
如何切换Windows 10本地账户与微软账户
探索自由贸易账户体系创新应用
删除Win10中自带的应用程序
外汇账户相关业务
谷歌禁止加密货币应用程序
父亲的股票账户
What a Nice Friend
和影子玩耍
不可思议的影子
谁不在谁不在