企业的员工通常希望使用最好的工具来完成他们的工作。对于大多数员工来说,这通常意味着使用在线SaaS应用程序,但这些应用程序和工具可能没有得到企业IT部门的批准和许可。许多员工正在使用影子IT(或者现在更多地称之为“业务主导的IT”)来描述采用未经企业IT团队批准的技术。随着SaaS应用程序数量的增加,员工自然而然地采用了大量的在线工具,如今的大部分影子IT都是SaaS应用程序。尽管各行业的企业IT团队尽了最大努力,但影子IT的应用不但没有减少,而且一直在增加,并且接近合法化,最终成为一种可以提供竞争优势的可行IT战略。
由于存在安全风险,企业采用的传统策略通常是阻止员工采用各种形式的影子IT。然而,各种影子IT面临的风险并不相同,而且企业对这些影子IT记录在案的好处是,允许员工获得他们认为是其最佳工作工具的技术。因此,对于企业的首席信息官和首席信息安全官来说,与阻止影子IT的策略相比,更好的策略是实施工具来设置适当的安全护栏来控制它,以确保员工采用符合企业安全和合规政策的工具。
根据调查和研究,以下五个步骤的框架在帮助企业创建安全可行的安全框架方面非常有效。
1、发现影子IT
控制影子IT的第一步是识别,以全面了解影子IT在企业中的流行程度。许多影子IT是一种即服务,甚至硬件技术也几乎总是采用SaaS组件来运行它。大多数企业将云访问安全代理(CASB)用于SaaS发现和安全性,但经常收到员工的反馈,表示云访问安全代理(CASB)干扰太大。它们在收集数据和识别谁去哪个网站方面做得很好,然而不擅长发现员工正在使用的新的SaaS应用程序。数据可能在那里,但分析师通常必须做额外的工作来确定是否是已创建的帐户,特别是如果用户使用的是本地用户凭据而不是身份提供者。如果可以将相关数据呈现给分析师,这样他们只需要采取行动并实现所需的安全结果。
发现影子IT的解决方案是选择一种自动化工具或方法并提供正确的触发器,也就是使用其他身份和访问管理(IAM)解决方案之外的业务凭证创建帐户。将所有这些信息记录在日志中或者必须定期合并数据,这种做法肯定是一个注定要失败的过程。
2、优先考虑降低影子IT的风险
企业永远不知道员工什么时候会获得技术,会面临哪些问题。可以确定的是,企业的员工将会获得并开始使用不断出现的新技术。根据企业的员工数量,它可以从每周几个到几十甚至几百个不等。考虑到影子IT进入企业的数量,由于面临不同的风险,优先级变得极为重要。
优先考虑风险缓解是关键的步骤。企业不能采取一些固定的模式和方法来降低影子IT的风险,因为它们也在不断发生变化。一项技术对企业构成的风险程度超出了供应商是否获得了SOC2或ISO27001等行业认证。这些认证很常见,甚至初创公司现在也正在接受这些认证。与其关注供应商控制的风险,不如根据以下因素评估风险,例如:
- 员工是否了解企业关于使用购买和使用技术、软件或SaaS的安全和风险政策?
- 是否会使用任何敏感、机密或受监管的数据?
- 在业务组织中,是谁批准了该技术的使用?
- 该技术将与哪些系统集成?
- 任何非员工都会成为这项技术的用户吗?
- 企业里还有多少其他用户?
3、保护影子IT帐户
保护影子IT往往说起来容易做起来难。假设能够在某个位置或网络上找到物理设备,则很简单。但软件(几乎都是SaaS)要困难得多,因为可以从托管设备上的企业网络或使用非托管设备从不同位置访问它。SaaS安全产品(例如CASB)假设可以控制网络、身份或设备,但现实情况是可能无法控制其中的任何一个。
保护SaaS的最佳方法是在认为SaaS帐户违反企业政策或员工不再在企业工作时锁定SaaS帐户本身。取消配置帐户本身仍然是可取的措施,但保护它以便没有人可以访问该帐户是关键的第一步。
4、协调跨控制点的安全性,降低影子IT的风险
一旦影子技术得到保护,下一步就是通过其他安全点来协调该应用程序的保护。例如,如果SaaS应用程序被认为风险太大,那么企业中的这个应用程序的每个用户都应该停止使用。作为额外的安全层,企业可能希望阻止访问网络上的SaaS站点或在每次有人创建新帐户时设置警报。
当来自威胁情报源或第三方风险管理系统的数据表明SaaS应用程序已被破坏或已在市场上找到凭据时,协调也很重要。凭据被泄露的用户应被迫检查他们拥有的每个帐户并重置密码。尽管所有这些都可以通过现有工具以某种方式实现,但实际的工作流程通常没有设计出来。具有开箱即用自动化的SaaS安全产品在确保安全团队统一控制点、分析、遥测和操作以保护和控制影子SaaS方面有很大的帮助。
5、安全地接受影子IT
无论如何努力,影子SaaS都会继续增长。在许多方面,这就像现在大多数企业的标准自带设备(BYOD)的发展趋势一样。随着消费技术变得与企业产品一样强大,工作人员发现使用消费设备工作变得更容易、更方便。企业最终将会让步,并且采用旨在支持BYOD的产品,因为获得的收益超过了成本。
同样的事情也发生在影子IT上,更具体地说是SaaS。员工不再需要IT团队的帮助或许可来购买功能更强大的应用程序。他们只需要采用一个电子邮件地址和自己的信用卡,通常使用可以升级的免费帐户。IT和安全团队需要承认这些好处并创建一个框架,让员工在工作中使用正确的工具,同时对企业技术和数据进行更好的治理和控制。