什麼是影子 IT?
「影子 IT」是指在組織內未經批准使用軟體、硬體或其他系統和服務,而該組織的資訊技術 (IT) 部門往往並不知情。與標準的 IT 基礎結構不同,影子 IT 並非由組織內部進行管理。
影子 IT 可能以不同的方式進入組織,但通常是透過下面兩個動作之一而發生:
- 使用未經核准的工具存取、儲存或共用公司資料。例如,如果一個組織僅核准了 Google Workspace 用於檔案共用,那麼員工可能會因選擇透過 Microsoft 365 共用檔案而將影子 IT 引入公司。
- 以未經授權的方式存取核准的工具。繼續上述範例,如果 IT 部門已核准透過公司管理的帳戶使用 Google Workspace,那麼員工可能因選擇透過未受管理的個人帳戶存取 Google Workspace 而將影子 IT 引入公司。
無論影子 IT 的採用是有意還是無意,它都會造成嚴重的安全問題和成本。它增加了資料外洩、竊取和其他網路攻擊的風險,同時阻止了 IT 團隊採取關鍵措施來減少這些可能造成的損害。
使用者為什麼要採用影子 IT?
鑑於影子 IT 帶來的大量安全風險,員工在採用新工具時選擇繞過 IT 部門核准的做法似乎很令人驚訝。他們這樣做的原因可能包括以下幾點:
- 員工沒有意識到影子 IT 固有的安全風險。員工可能不是故意要繞過其 IT 部門所實施的控制,而只是不知道他們的行為會損害敏感的企業資料,增加資料外洩和攻擊的風險。
- 員工更注重使用未經批准的工具所帶來的好處。最適合工作的工具可能不是組織的 IT 部門明確核准的工具。這往往促使員工採用其他服務,從而幫助他們滿足特定的業務需求,在市場上獲得競爭優勢,或更有效地進行協作。
- 員工使用未經核准的工具進行惡意活動。大多數影子 IT 不是為了惡意目的而採用的;然而,一些員工可能會選擇採用未經批准的應用程式和工具,以竊取資料、存取機密資訊或給組織帶來其他風險。
影子 IT 有哪些風險?
雖然影子 IT 可能會讓部分員工更易於完成工作,但它的弊端遠遠超過了它的好處。如果 IT 團隊無法追蹤工具和服務在整個組織中的使用情況,他們可能不知道影子 IT 的滲透程度,也不知道企業資料的存取、儲存和傳輸情況。
影子 IT 的使用還導致 IT 團隊失去對資料管理和移動的控制。當員工使用未經核准的服務或透過未經核准的方法在核准的服務中工作時,他們可能會在沒有 IT 部門適當監督的情況下檢視和移動敏感性資料。由於缺乏可見度和控制,影子 IT 可能會帶來額外的風險,包括以下方面:
- 敏感性資料可能被洩漏或竊取。攻擊者可以利用雲端託管服務中的設定錯誤和漏洞,為資料外洩和其他網路攻擊打開大門。IT 部門可能對此類攻擊並不知情,當攻擊針對未經批准(且可能不安全)的應用程式和工具時則尤為如此。而補救這些攻擊則可能代價昂貴:在 2020 年的一項研究中,IBM 估計,由雲端錯誤設定造成的資料外洩會帶來平均 441 萬美元的損失。
- 組織可能在無意識情況下違反資料合規性法律。對於需要遵守資料保護法規(例如,GDPR)的組織來說,他們必須有能力追蹤和控制資料的處理和共用方式。當員工使用未經授權的工具來處理敏感性資料時,他們可能會無意中使其組織面臨違反這些法律的風險,這可能會導致嚴重的處罰和罰款。
組織如何偵測和修復影子 IT?
IT 團隊可以採取幾個步驟來盡量減少影子 IT 在其組織內的影響:
- 實作影子 IT 偵測。使用影子 IT 探索工具可以協助 IT 團隊探索、追蹤和分析員工目前正在使用的所有系統和服務——包括已核准和未核准的系統和服務。然後,IT 團隊可以建立原則,根據需要允許、限製或封鎖使用這些工具。
- 使用雲端存取安全性代理程式 (CASB)。CASB 透過搭售的安全性技術,協助保護雲端託管應用程式和服務,這些技術包括影子 IT 探索、存取控制、資料丟失預防 (DLP)、瀏覽器隔離等。
- 加強對員工的風險管理培訓。員工可能沒有意識到影子 IT 的安全風險。對使用者進行最佳做法培訓:不使用個人電子郵件存取公司資源、公開任何未經批准的硬體和軟體使用情況、報告資料外洩等。這可以幫助避免資料洩露或被盜的可能性。
- 與員工就他們需要的工具進行溝通。員工通常知道什麼工具最適合他們的工作,但由於預算限製或其他顧慮,他們可能不願意請求 IT 部門的明確核准。開展此類對話並採取「無責」態度(對於那些可能已經採用影子 IT 的人)有助於培養更開放和更安全的工作環境。
什麼是影子 IT 原則?
影子 IT 原則有助於為組織內新硬體和軟體的採用、核准和管理確立協議。IT 部門建立這些原則,並可能根據不斷變化的安全性風險和公司需求對其進行調整。
影子 IT 原則是必須採取的步驟之一,有助於控制和管理組織內的系統和服務,同時避免引入任何未經批准的工具。然而,許多組織仍然沒有標準化的影子 IT 原則。在對 1000 名美國 IT 專業人士進行的調查中,Entrust 發現,37% 的受訪者表示他們的組織並沒有確立使用影子 IT 的明確後果。
Cloudflare 如何防範影子 IT?
Cloudflare 的 Zero Trust 安全性套件有助於 IT 部門輕鬆探索、編目和管理整個組織中未經批准的工具。詳細瞭解 Cloudflare 如何偵測影子 IT。