雖然乍一看相對無害，但影子 IT 會給公司帶來重大風(fēng)險(xiǎn)。2022 年，十分之七的組織因員工使用未經(jīng)批準(zhǔn)的硬件或軟件而發(fā)生安全事件。除了安全問題之外，影子 IT 也是應(yīng)用程序蔓延、運(yùn)營效率低下和合規(guī)違規(guī)的主要原因之一。本文解釋了影子 IT 的危險(xiǎn)及其對安全狀況和底線的潛在破壞性影響。我們將帶您了解關(guān)于這個(gè)普遍存在的問題所需了解的所有信息，并介紹將影子 IT 保持在最低限度的最有效方法。

什么是影子 IT？

影子 IT 是指員工在公司安全部門不知情的情況下使用的任何未經(jīng)授權(quán)的設(shè)備、IT 服務(wù)或應(yīng)用程序。當(dāng)安全團(tuán)隊(duì)不知道某個(gè)應(yīng)用程序或硬件時(shí)，組織無法支持該技術(shù)或確保其安全。

員工通常會因?yàn)榉奖慊虍?dāng)應(yīng)用程序提供比公司批準(zhǔn)使用的功能更好的功能時(shí)轉(zhuǎn)向影子 IT。雖然對員工來說很方便，但影子 IT 會給組織帶來一些相當(dāng)大的風(fēng)險(xiǎn)，包括：

• 安全漏洞（配置錯(cuò)誤、密碼容易破解的帳戶、受惡意軟件感染的設(shè)備等）。
• 違規(guī)行為（例如，有人將敏感的客戶數(shù)據(jù)保存在個(gè)人 Dropbox 帳戶中）。
• 組織內(nèi)部效率低下（例如，團(tuán)隊(duì)使用不同的工具來完成相同的任務(wù)或未優(yōu)化的應(yīng)用程序占用過多的網(wǎng)絡(luò)帶寬）。

以下是一些顯示影子 IT 有多普遍的統(tǒng)計(jì)數(shù)據(jù)：

• 超過 80% 的員工經(jīng)常依賴某種形式的影子 IT。
• 超過 50% 的員工至少使用一款未經(jīng)授權(quán)的應(yīng)用程序。
• 幾乎 81% 的 IT 領(lǐng)導(dǎo)者認(rèn)為員工將流氓云資產(chǎn)引入了環(huán)境。
• 平均一家公司使用大約 1,220 項(xiàng)云服務(wù)。其中只有 7% 完全符合安全和合規(guī)要求。
• 超過 35% 的員工認(rèn)為他們必須解決安全措施或協(xié)議才能有效履行職責(zé)。
• 近 63% 的員工定期將與工作相關(guān)的文件發(fā)送到個(gè)人電子郵件中。
• 大約 32% 的員工使用未經(jīng)批準(zhǔn)的通信和協(xié)作工具。

近年來影子 IT 失控的原因有幾個(gè)：

• 由于 COVID-19 的限制，遠(yuǎn)程工作的興起。
• 按需云服務(wù)，使技術(shù)知識有限的任何人都可以部署高級系統(tǒng)和平臺。
• 鼓勵(lì)團(tuán)隊(duì)盡快工作的DevOps 原則越來越受歡迎。
• 更多地依賴自帶設(shè)備 (BYOD) 硬件。

影子 IT 的例子

以下是一些最常見的影子 IT 示例：

• 未經(jīng) IT 部門明確批準(zhǔn)，使用個(gè)人設(shè)備（智能手機(jī)、平板電腦、筆記本電腦等）訪問公司數(shù)據(jù)或服務(wù)。
• 未經(jīng)公司批準(zhǔn)安裝未經(jīng)批準(zhǔn)的軟件，例如第三方工具或社交媒體平臺。
• 使用個(gè)人帳戶創(chuàng)建云工作負(fù)載。
• 設(shè)置流氓服務(wù)器或網(wǎng)絡(luò)基礎(chǔ)設(shè)施來支持工作。
• 使用個(gè)人存儲設(shè)備（如 USB 或便攜式硬盤）存儲和共享公司數(shù)據(jù)。
• 通過社交媒體資料共享公司數(shù)據(jù)或與同事協(xié)作。
• 從家庭網(wǎng)絡(luò)或公共 Wi-Fi 上的 BYOD 設(shè)備訪問公司數(shù)據(jù)或網(wǎng)站后端。
• 出于測試目的秘密部署流氓云環(huán)境。
• 未經(jīng)InfoSec團(tuán)隊(duì)批準(zhǔn)使用 SaaS 應(yīng)用程序（文件共享服務(wù)、協(xié)作工具、項(xiàng)目管理軟件等）。
• 使用未經(jīng)授權(quán)的即時(shí)消息或聊天應(yīng)用程序與同事、客戶或供應(yīng)商通信（例如，當(dāng)公司要求所有通信都通過 Skype 時(shí)，使用 Viber 聊天）。
• 創(chuàng)建自主開發(fā)的Excel電子表格，并使用它們來存儲和共享公司數(shù)據(jù)。
• 在安全部門不知情的情況下將物聯(lián)網(wǎng)設(shè)備（如智能揚(yáng)聲器或手表）連接到公司網(wǎng)絡(luò)。
• 在個(gè)人 Dropbox 帳戶上共享工作文件或?qū)?shù)據(jù)發(fā)送到私人電子郵件。
• 盡管公司希望其員工使用 Microsoft Teams，但仍打開一個(gè)秘密的 Slack 頻道。
• 在同一個(gè)應(yīng)用程序中登錄個(gè)人和企業(yè)帳戶，并使用兩個(gè)配置文件來管理公司資產(chǎn)。
• 秘密使用未經(jīng)批準(zhǔn)的工作流程或生產(chǎn)力應(yīng)用程序（例如 Trello 或 Asana）。
• 使用商業(yè)設(shè)備進(jìn)行在線游戲。

影子 IT 的缺點(diǎn)是什么？

影子 IT 的使用很少有惡意，但這種做法往往會導(dǎo)致嚴(yán)重后果，包括：

• 安全漏洞：安全人員無法保護(hù)他們不知道存在的系統(tǒng)和應(yīng)用程序。引入流氓硬件和軟件會產(chǎn)生漏洞，惡意行為者可以利用這些漏洞進(jìn)行多種類型的網(wǎng)絡(luò)攻擊。
• 數(shù)據(jù)泄露：員工通過不安全的影子 IT 設(shè)備和應(yīng)用程序存儲、共享和訪問敏感數(shù)據(jù)，增加了數(shù)據(jù)泄露的攻擊面。
• 缺乏標(biāo)準(zhǔn)化：每當(dāng)團(tuán)隊(duì)使用不同的工具和系統(tǒng)來完成相同的任務(wù)時(shí)，就會增加不兼容的可能性。團(tuán)隊(duì)使用非官方、無效或過時(shí)數(shù)據(jù)的風(fēng)險(xiǎn)也會增加。
• 數(shù)據(jù)泄露：員工在未經(jīng)授權(quán)的應(yīng)用程序或私人設(shè)備上共享公司數(shù)據(jù)通常會導(dǎo)致數(shù)據(jù)泄露（意外地將數(shù)據(jù)泄露給未經(jīng)授權(quán)的接收者）。
• 更高的成本：影子資產(chǎn)通常會導(dǎo)致意外開支和預(yù)算超支，從而增加IT 成本。例如，有人擴(kuò)展以滿足企業(yè)級需求的個(gè)人云存儲的成本效益遠(yuǎn)低于企業(yè)使用的服務(wù)。
• 合規(guī)風(fēng)險(xiǎn)：團(tuán)隊(duì)可能秘密使用不符合監(jiān)管要求（例如GDPR或HIPAA強(qiáng)加的要求）的技術(shù)或數(shù)據(jù)存儲。即使員工在未經(jīng)公司同意的情況下這樣做，組織仍需承擔(dān)違規(guī)罰款。
• 應(yīng)用程序蔓延：影子 IT 是應(yīng)用程序蔓延（應(yīng)用程序過度擴(kuò)散）的主要原因。當(dāng)團(tuán)隊(duì)購買和部署太多程序而沒有適當(dāng)考慮價(jià)值、適合性或功能時(shí)，就會發(fā)生蔓延。
• 性能瓶頸：在現(xiàn)有系統(tǒng)之上添加額外的程序和應(yīng)用程序通常會導(dǎo)致性能問題。
• 有風(fēng)險(xiǎn)的數(shù)據(jù)孤島：公司內(nèi)的其他人無法訪問未經(jīng)授權(quán)或個(gè)人設(shè)備上存儲的任何文件。如果員工離開公司，您將無法訪問該數(shù)據(jù)。

影子 IT 有什么好處嗎？

雖然缺點(diǎn)遠(yuǎn)遠(yuǎn)超過其優(yōu)點(diǎn)，但影子 IT 也有一些優(yōu)點(diǎn)。最顯著的好處是：

• 當(dāng)團(tuán)隊(duì)可以自由選擇軟件時(shí)，他們會變得更加敏捷。
• 做出特別的 IT 決策有時(shí)可以讓團(tuán)隊(duì)更快地響應(yīng)變化和威脅。
• 選擇首選應(yīng)用程序和設(shè)備的能力鼓勵(lì)員工進(jìn)行創(chuàng)新。團(tuán)隊(duì)嘗試新技術(shù)和工具，這為組織帶來了輕微的競爭優(yōu)勢。
• 一些影子 IT 回旋余地使團(tuán)隊(duì)能夠快速測試新工具，這些工具可能比當(dāng)前解決方案更適合或更具成本效益。
• 使用首選應(yīng)用程序的團(tuán)隊(duì)更有可能投入到他們的工作中。這種士氣提升有助于提高員工滿意度和保留率。

由于大多數(shù)公司認(rèn)為影子 IT 是不可避免的，因此許多組織現(xiàn)在正試圖通過安全協(xié)議來控制這種做法。如果您選擇該路線，則有一些強(qiáng)制性預(yù)防措施，例如：

• 攻擊面管理 (ASM) 工具：這些平臺持續(xù)監(jiān)控所有面向互聯(lián)網(wǎng)的資產(chǎn)，以識別影子 IT 的跡象。一旦出現(xiàn)新資產(chǎn)，ASM 工具會自動(dòng)評估潛在缺陷并幫助消除威脅。
• 云資產(chǎn)安全代理 (CASB)：這些平臺確保員工與他們使用的任何云資產(chǎn)（已知或未知）之間的安全連接。CASB 發(fā)現(xiàn)所有影子云服務(wù)并實(shí)施額外的安全措施（例如加密、訪問控制策略和惡意軟件檢測）。

在快節(jié)奏的商業(yè)世界中，給員工一些解決問題和試驗(yàn)的自由是有利的。然而，讓影子 IT 繼續(xù)不受控制是一個(gè)巨大的錯(cuò)誤，所以讓我們看看公司如何控制這種做法。

您如何處理影子 IT？

以下是防止影子 IT 的最有效方法：

1. 創(chuàng)建 IT 策略：創(chuàng)建詳細(xì)的策略，概述組織內(nèi)所有允許的軟件、硬件和服務(wù)。政策還必須準(zhǔn)確解釋員工應(yīng)如何使用授權(quán)技術(shù)，并說明違反規(guī)定的任何后果。
2. 提供 IT 支持：確保所有團(tuán)隊(duì)都有足夠的 IT 支持來解決他們的技術(shù)需求和問題。
3. 鼓勵(lì)溝通：鼓勵(lì) IT 和其他部門之間進(jìn)行公開對話，以確保所有團(tuán)隊(duì)都對分配給他們的技術(shù)感到滿意。開放的通信線路降低了任何人秘密使用未經(jīng)授權(quán)技術(shù)的機(jī)會。
4. 教育員工：定期組織意識培訓(xùn)，讓團(tuán)隊(duì)了解影子 IT 的風(fēng)險(xiǎn)。確保每個(gè)人都理解為什么您堅(jiān)持只使用經(jīng)過批準(zhǔn)的軟件和硬件。
5. 創(chuàng)建快速（但安全）的審批流程：如果您的團(tuán)隊(duì)中有人提議為操作添加新工具，則審批流程必須快速且安全。
6. 進(jìn)行定期工具審計(jì)：進(jìn)行定期審計(jì)，跟蹤不同部門使用哪些工具來執(zhí)行他們的任務(wù)。
7. 提高端點(diǎn)安全性：提高端點(diǎn)安全性，以防止員工在其設(shè)備上安裝未經(jīng)批準(zhǔn)的應(yīng)用程序（公司擁有的或作為 BYOD 策略的一部分）。
8. 監(jiān)控網(wǎng)絡(luò)活動(dòng)：您的安全團(tuán)隊(duì)必須監(jiān)控網(wǎng)絡(luò)活動(dòng)以尋找未經(jīng)授權(quán)的解決方案和服務(wù)的跡象。充分利用入侵檢測系統(tǒng)和防火墻來分析流量和用戶操作。
9. 定期審查：定期審查和更新您的 IT 政策、審批流程和安全措施。確保您了解最新的技術(shù)趨勢和安全威脅。
10. CASB 和 ASM 工具：無論您是否選擇容忍一定數(shù)量的影子 IT，上述 CASB 和 ASM 工具都是值得的投資。

將未經(jīng)授權(quán)的應(yīng)用程序和設(shè)備保持在最低限度

雖然影子 IT 提高了員工的工作效率并有助于推動(dòng)創(chuàng)新，但不受控制地使用技術(shù)會帶來潛在的破壞性風(fēng)險(xiǎn)。通過教育員工、制定有效的預(yù)防措施并鼓勵(lì)團(tuán)隊(duì)公開其 IT 需求，將影子 IT 保持在最低限度。