影子IT是指企業(yè)員工使用沒有經(jīng)IT批準(zhǔn)的應(yīng)用程序,企業(yè)很清楚影子IT帶來的危害,但他們并沒有意識(shí)到在云計(jì)算和BYOD時(shí)代這個(gè)問題的嚴(yán)重程度。調(diào)查顯示,企業(yè)超過85%的云應(yīng)用程序沒有經(jīng)過IT部門批準(zhǔn)。
安全供應(yīng)商CipherCloud對(duì)其企業(yè)客戶的云計(jì)算使用數(shù)據(jù)進(jìn)行了分析,結(jié)果發(fā)現(xiàn),平均而言,北美企業(yè)使用大約1245款云應(yīng)用程序。在這個(gè)數(shù)字中,86%的應(yīng)用程序是未經(jīng)IT部門批準(zhǔn)的應(yīng)用程序,并且員工從企業(yè)內(nèi)部網(wǎng)絡(luò)訪問這些應(yīng)用程序。
CipherCloud公司云安全全球主管Willy Leichter表示,這個(gè)數(shù)據(jù)突出了企業(yè)內(nèi)影子云問題的嚴(yán)重程度。雖然企業(yè)通常知道企業(yè)內(nèi)運(yùn)行著未經(jīng)批準(zhǔn)的應(yīng)用程序,但他們并不知道這種情況有多么廣泛。
Leichter表示:“很多人不知道影子IT的范圍。”有些企業(yè)內(nèi)未經(jīng)批準(zhǔn)的應(yīng)用程序的實(shí)際數(shù)量是IT經(jīng)理所估計(jì)的數(shù)量的幾倍。例如,他指出,有家企業(yè)預(yù)計(jì)會(huì)找到10到15款未經(jīng)批準(zhǔn)的云計(jì)算應(yīng)用程序用于文件共享目的,而實(shí)際情況是,員工正在使用70款這樣的應(yīng)用程序。
對(duì)于這項(xiàng)研究,CipherCloud定義云應(yīng)用程序?yàn)樵仆泄芊?wù),需要用戶輸入用戶名和密碼來訪問。這種應(yīng)用程序的例子包括社交媒體服務(wù)(例如LinkedIn和Twitter),文件共享應(yīng)用程序(例如DropBox和Box)、電子郵件、安全、生產(chǎn)力和云存儲(chǔ)應(yīng)用程序。
CipherCloud研究表明,最常被訪問的應(yīng)用程序是發(fā)布應(yīng)用程序(例如WordPress和Adobe Creative Cloud)、置業(yè)服務(wù)(例如Indeed和Resumonk)以及社交媒體網(wǎng)絡(luò)(例如Facebook、Twitter和LinkedIn)。諷刺的是,這三種類別也被列為是三種最危險(xiǎn)的云應(yīng)用。
CipherCloud的研究表明,52%的發(fā)布云應(yīng)用、42%的社交媒體應(yīng)用程序和40%的職業(yè)云應(yīng)用給企業(yè)構(gòu)成高風(fēng)險(xiǎn)。在評(píng)估風(fēng)險(xiǎn)時(shí)CipherCloud考慮的因素包括云應(yīng)用是否使用多因素身份驗(yàn)證、支持?jǐn)?shù)據(jù)加密、提供第三方訪問,并獲得標(biāo)準(zhǔn)認(rèn)證。
對(duì)于企業(yè)內(nèi)不斷增長的未經(jīng)授權(quán)的應(yīng)用程序使用,BYOD政策起到了重要的作用。使用個(gè)人移動(dòng)設(shè)備的員工通常會(huì)使用未經(jīng)批準(zhǔn)的云應(yīng)用程序來簡化他們的工作。例如,有的員工想要在家里或辦公室外面工作,他們可能會(huì)簡單地上傳文件到其移動(dòng)設(shè)備支持的文件共享應(yīng)用程序,只是因?yàn)檫@樣做更加簡單。
老化的企業(yè)技術(shù)和IT模式也促成了影子云的問題。根據(jù)普華永道的報(bào)告顯示,面對(duì)不斷增長的業(yè)績壓力,業(yè)務(wù)組和員工正在放棄其IT部門提供的應(yīng)用程序,而選擇他們認(rèn)為更好用的云服務(wù)。
影子IT一直是企業(yè)面對(duì)的一大技術(shù)難題,而影子云則帶來了新的風(fēng)險(xiǎn)。普華永道指出:“影子IT相關(guān)的風(fēng)險(xiǎn)在很大程度上局限在運(yùn)行解決方案來支持日常工作的個(gè)人電腦。”雖然在某些企業(yè)這種使用非常普遍,但這種影響主要局限在企業(yè)網(wǎng)絡(luò)內(nèi)。
另一方面,對(duì)于影子云服務(wù),企業(yè)需要應(yīng)對(duì)傳輸?shù)狡髽I(yè)網(wǎng)絡(luò)外部和公共云的信息。如果這些信息離開企業(yè)不受控制,這種分散的未知的不受監(jiān)管的活動(dòng)將會(huì)對(duì)企業(yè)帶來巨大風(fēng)險(xiǎn),特別是在那些高度監(jiān)管的行業(yè)的企業(yè)。
SANS研究所新興安全威脅主管John Pescatore表示,如果IT能夠響應(yīng)業(yè)務(wù)需求,很多這種風(fēng)險(xiǎn)可以得到緩解。員工和業(yè)務(wù)部門通常會(huì)選擇滿足其需求的云服務(wù),因?yàn)檫@比等待IT來提供這些服務(wù)要快得多。
Pescatore表示:“IT工作的方式是,‘我們購買一些硬件,我們可以使用三年,或者我們買了一些軟件,使用五年。’這種模式根本不可行了,如果存在協(xié)作和同步的問題,那么,人們就會(huì)走出去找到一個(gè)可用的應(yīng)用程序來為他們解決問題。”
如果IT可以為用戶提供一種方式來把信息存儲(chǔ)在安全的位置,并讓他們可以隨時(shí)隨地訪問這些信息,用戶就沒有理由使用未經(jīng)批準(zhǔn)的應(yīng)用程序,但如果IT沒有解決方案,這種事情總是會(huì)發(fā)生,你無法阻止。