影子IT是指企业员工使用没有经IT批准的应用程序,企业很清楚影子IT带来的危害,但他们并没有意识到在云计算和BYOD时代这个问题的严重程度。调查显示,企业超过85%的云应用程序没有经过IT部门批准。
安全供应商CipherCloud对其企业客户的云计算使用数据进行了分析,结果发现,平均而言,北美企业使用大约1245款云应用程序。在这个数字中,86%的应用程序是未经IT部门批准的应用程序,并且员工从企业内部网络访问这些应用程序。
CipherCloud公司云安全全球主管Willy Leichter表示,这个数据突出了企业内影子云问题的严重程度。虽然企业通常知道企业内运行着未经批准的应用程序,但他们并不知道这种情况有多么广泛。
Leichter表示:“很多人不知道影子IT的范围。”有些企业内未经批准的应用程序的实际数量是IT经理所估计的数量的几倍。例如,他指出,有家企业预计会找到10到15款未经批准的云计算应用程序用于文件共享目的,而实际情况是,员工正在使用70款这样的应用程序。
对于这项研究,CipherCloud定义云应用程序为云托管服务,需要用户输入用户名和密码来访问。这种应用程序的例子包括社交媒体服务(例如LinkedIn和Twitter),文件共享应用程序(例如DropBox和Box)、电子邮件、安全、生产力和云存储应用程序。
CipherCloud研究表明,最常被访问的应用程序是发布应用程序(例如WordPress和Adobe Creative Cloud)、置业服务(例如Indeed和Resumonk)以及社交媒体网络(例如Facebook、Twitter和LinkedIn)。讽刺的是,这三种类别也被列为是三种最危险的云应用。
CipherCloud的研究表明,52%的发布云应用、42%的社交媒体应用程序和40%的职业云应用给企业构成高风险。在评估风险时CipherCloud考虑的因素包括云应用是否使用多因素身份验证、支持数据加密、提供第三方访问,并获得标准认证。
对于企业内不断增长的未经授权的应用程序使用,BYOD政策起到了重要的作用。使用个人移动设备的员工通常会使用未经批准的云应用程序来简化他们的工作。例如,有的员工想要在家里或办公室外面工作,他们可能会简单地上传文件到其移动设备支持的文件共享应用程序,只是因为这样做更加简单。
老化的企业技术和IT模式也促成了影子云的问题。根据普华永道的报告显示,面对不断增长的业绩压力,业务组和员工正在放弃其IT部门提供的应用程序,而选择他们认为更好用的云服务。
影子IT一直是企业面对的一大技术难题,而影子云则带来了新的风险。普华永道指出:“影子IT相关的风险在很大程度上局限在运行解决方案来支持日常工作的个人电脑。”虽然在某些企业这种使用非常普遍,但这种影响主要局限在企业网络内。
另一方面,对于影子云服务,企业需要应对传输到企业网络外部和公共云的信息。如果这些信息离开企业不受控制,这种分散的未知的不受监管的活动将会对企业带来巨大风险,特别是在那些高度监管的行业的企业。
SANS研究所新兴安全威胁主管John Pescatore表示,如果IT能够响应业务需求,很多这种风险可以得到缓解。员工和业务部门通常会选择满足其需求的云服务,因为这比等待IT来提供这些服务要快得多。
Pescatore表示:“IT工作的方式是,‘我们购买一些硬件,我们可以使用三年,或者我们买了一些软件,使用五年。’这种模式根本不可行了,如果存在协作和同步的问题,那么,人们就会走出去找到一个可用的应用程序来为他们解决问题。”
如果IT可以为用户提供一种方式来把信息存储在安全的位置,并让他们可以随时随地访问这些信息,用户就没有理由使用未经批准的应用程序,但如果IT没有解决方案,这种事情总是会发生,你无法阻止。