ShadowIT是指使用未经IT批准的应用程序。BYOD时代这个问题的严重性。据调查,超过85%的企业云应用没有经过IT部门的审批。安全供应商CipherCloud分析了来自其企业客户的云使用数据,发现北美企业平均使用大约1,245个云应用程序。在这个数字中,86%是未经IT批准的应用程序,员工可以从公司网络访问这些应用程序。CipherCloud云安全全球总监WillyLeichter表示,这些数字凸显了企业内部影子云问题的严重程度。虽然企业通常知道在企业内运行未经批准的应用程序,但他们没有意识到这种情况有多普遍。“很多人没有意识到影子IT的范围,”Leichter说。一些组织的未经批准的应用程序数量是IT经理估计的数倍。例如,他指出,一家公司预计会发现10到15个未经批准的云计算应用程序用于文件共享目的,而实际上员工正在使用其中的70个。对于这项研究,CipherCloud将云应用程序定义为需要用户输入用户名和密码才能访问的云托管服务。此类应用程序的示例包括社交媒体服务(如LinkedIn和Twitter)、文件共享应用程序(如DropBox和Box)、电子邮件、安全、生产力和云存储应用程序。根据CipherCloud研究,访问最频繁的应用程序是发布应用程序(例如WordPress和Adob??eCreativeCloud)、房地产服务(例如Indeed和Resumonk)和社交媒体网络(例如Facebook、Twitter和LinkedIn)。讽刺的是,这三类也被列为最危险的三大云应用。CipherCloud研究表明,52%的已发布云应用程序、42%的社交媒体应用程序和40%的专业云应用程序对企业构成高风险。CipherCloud在评估风险时考虑的因素包括云应用程序是否使用多因素身份验证、支持数据加密、提供第三方访问以及是否通过标准认证。BYOD策略在企业内日益增长的未授权应用程序使用中发挥着重要作用。使用个人移动设备的员工经常使用未经批准的云应用程序来简化他们的工作。例如,想要在家或不在办公室工作的员工可能只是将文件上传到其移动设备支持的文件共享应用程序,因为这样做更容易。老化的企业技术和IT模型也导致影子云问题。根据普华永道的一份报告,面对越来越大的性能压力,业务团队和员工正在放弃其IT部门提供的应用程序,转而选择他们认为更有用的云服务。影子IT一直是企业面临的重大技术难题,影子云带来了新的风险。据普华永道称,“与影子IT相关的风险主要限于运行支持日常工作的解决方案的PC。”虽然这种使用在一些企业中很普遍,但影响主要限于网络内的企业。另一方面,借助影子云服务,企业需要处理企业网络外和公有云之间的信息传输。如果这些信息让企业不受控制,这种分散的未知不受监管的活动将给企业带来巨大的风险,尤其是在那些受到高度监管的行业。SANSInstitute新兴安全威胁主管JohnPescatore表示,如果IT能够响应业务需求,则可以减轻其中许多风险。员工和业务部门通常会选择满足他们需求的云服务,因为这比等待IT交付它们要快得多。“IT的工作方式是,‘我们购买一些硬件并使用三年,或者我们购买一些软件并使用五年,’”Pescatore说。然后,人们出去寻找一款可以为他们解决问题的应用程序。”如果IT能够为用户提供一种将信息存储在安全位置并使其可以随时随地访问的方法,用户就没有理由使用未经批准的应用程序,但如果IT没有解决方案,这种事情就会一直发生,你无法阻止。
