企业员工通常希望使用最好的工具来完成他们的工作。对于大多数员工来说,这通常意味着使用在线SaaS应用程序,但这些应用程序和工具可能尚未获得企业IT部门的批准和许可。许多员工使用影子IT(或“业务主导的IT”,如今更常用)来描述采用未经公司IT团队批准的技术。随着SaaS应用数量的增加,员工自然而然地采用了大量在线工具,如今的影子IT绝大部分是SaaS应用。尽管跨行业的企业IT团队尽了最大努力,但影子IT的采用并没有减少,反而一直在增加,并且接近合法化,成为可以提供竞争优势的可行IT战略。由于存在安全风险,企业采用的传统策略往往是防止员工采用各种形式的影子IT。然而,各种影子IT面临的风险并不相同,这些影子IT业务的好处是让员工获得他们认为是他们最好的工作工具的技术。因此,对于CIO和CISO来说,比阻止影子IT更好的策略是实施工具来设置安全防护栏来控制它,以确保员工采用符合公司安全和合规性工具政策。根据调查和研究,以下五步框架在帮助组织创建安全且可操作的安全框架方面非常有效。一、发现影子IT控制影子IT第一步是识别,全面了解影子IT在企业中的流行程度。许多影子IT是一种即服务,甚至硬件技术也几乎总是采用SaaS组件来运行它。大多数企业使用云访问安全代理(CASB)来实现SaaS发现和安全,但经常收到员工的反馈,认为云访问安全代理(CASB)的侵入性太强。他们在收集数据和识别谁访问了哪个网站方面做得很好,但不擅长发现员工正在使用的新SaaS应用程序。数据可能在那里,但分析师通常需要做额外的工作来确定它是否是一个已创建的帐户,尤其是当用户使用本地用户凭证而不是身份提供者时。如果可以将相关数据呈现给分析师,那么他们只需要采取行动并实现所需的安全结果。发现影子IT的解决方案是选择一种自动化工具或方法并提供正确的触发器,即使用其他身份和访问管理(IAM)解决方案之外的业务凭证创建帐户。记录所有这些信息或必须定期整合数据肯定是一个注定要失败的过程。2.优先降低影子IT风险企业永远不知道员工何时会获得技术以及他们将面临什么问题。可以肯定的是,员工将在新技术出现时获得并开始使用它们。根据企业员工的数量,每周可能从几人到几十人甚至几百人不等。考虑到进入企业的影子IT数量,由于面临不同的风险,优先级排序变得极其重要。优先考虑风险缓解是关键的一步。企业不能采用一些固定的模式和方法来降低影子IT的风险,因为它们也在不断变化。一项技术对企业构成的风险程度超出了供应商是否拥有SOC2或ISO27001等行业认证的范围。这些认证非常普遍,现在连初创公司都在接受它们。与其关注供应商控制的风险,不如根据以下因素评估风险:员工是否了解公司关于使用、购买和使用技术、软件或SaaS的安全和风险政策?是否会使用任何敏感、机密或受监管的数据?在业务组织中,谁批准了该技术的使用?该技术将与哪些系统集成?任何非员工都会成为该技术的用户吗?企业中还有多少其他用户?3.保护影子IT账户保护影子IT往往说起来容易做起来难。简单假设可以在某处或网络上找到物理设备。但是软件(几乎总是SaaS)要困难得多,因为它可以在受管设备上从公司网络访问,也可以使用非受管设备从不同位置访问。SaaS安全产品(例如CASB)承担对网络、身份或设备的控制,但现实情况是可能无法控制其中的任何一个。保护SaaS的最佳方法是在认为SaaS帐户违反公司政策或员工不再在公司工作时锁定SaaS帐户本身。取消配置帐户本身仍然是可取的,但保护它以便任何人都无法访问该帐户是关键的第一步。4.跨控制点协调安全以降低影子IT的风险。一旦影子技术得到保护,下一步就是通过其他安全点协调对该应用程序的保护。例如,如果SaaS应用程序被认为风险太大,则企业中该应用程序的每个用户都应该停止使用它。作为额外的安全层,企业可能希望在每次有人创建新帐户时阻止对网络上SaaS站点的访问或设置警报。当来自威胁情报源或第三方风险管理系统的数据表明SaaS应用程序已被破坏或已在市场上找到凭据时,协调也很重要。凭据被泄露的用户应该被强制检查他们拥有的每个帐户并重置他们的密码。虽然所有这些都可以通过现有工具以某种方式实现,但实际的工作流程通常不是设计出来的。具有开箱即用自动化功能的SaaS安全产品在确保安全团队统一控制点、分析、遥测和操作以保护和控制影子SaaS方面大有帮助。5.安全地拥抱影子IT无论您如何努力,影子SaaS都会继续增长。在许多方面,这就像现在大多数企业的标准自带设备(BYOD)趋势。随着消费技术变得与企业产品一样强大,工作人员发现使用消费设备更容易、更方便。企业最终会退缩并采用旨在支持BYOD的产品,因为收益大于成本。同样的事情也发生在影子IT上,更具体地说是SaaS。员工不再需要IT团队的帮助或许可来购买更强大的应用程序。他们所需要的只是一个电子邮件地址和他们自己的信用卡,通常还有一个可以升级的免费帐户。IT和安全团队需要承认这些好处,并创建一个框架,使员工能够使用正确的工具完成工作,同时加强对企业技术和数据的治理和控制。
