由于存在安全風(fēng)險(xiǎn),企業(yè)采用的傳統(tǒng)策略通常是阻止員工采用各種形式的影子IT。然而,各種影子IT面臨的風(fēng)險(xiǎn)并不相同,而且企業(yè)對這些影子IT記錄在案的好處是,允許員工獲得他們認(rèn)為是其最佳工作工具的技術(shù)。因此,對于企業(yè)的首席信息官和首席信息安全官來說,與阻止影子IT的策略相比,更好的策略是實(shí)施工具來設(shè)置適當(dāng)?shù)陌踩o(hù)欄來控制它,以確保員工采用符合企業(yè)安全和合規(guī)政策的工具。
根據(jù)調(diào)查和研究,以下五個步驟的框架在幫助企業(yè)創(chuàng)建安全可行的安全框架方面非常有效。
1.發(fā)現(xiàn)影子IT
控制影子IT的第一步是識別,以全面了解影子IT在企業(yè)中的流行程度。許多影子IT是一種即服務(wù),甚至硬件技術(shù)也幾乎總是采用SaaS組件來運(yùn)行它。大多數(shù)企業(yè)將云訪問安全代理(CASB)用于SaaS發(fā)現(xiàn)和安全性,但經(jīng)常收到員工的反饋,表示云訪問安全代理(CASB)干擾太大。它們在收集數(shù)據(jù)和識別誰去哪個網(wǎng)站方面做得很好,然而不擅長發(fā)現(xiàn)員工正在使用的新的SaaS應(yīng)用程序。數(shù)據(jù)可能在那里,但分析師通常必須做額外的工作來確定是否是已創(chuàng)建的帳戶,特別是如果用戶使用的是本地用戶憑據(jù)而不是身份提供者。如果可以將相關(guān)數(shù)據(jù)呈現(xiàn)給分析師,這樣他們只需要采取行動并實(shí)現(xiàn)所需的安全結(jié)果。
發(fā)現(xiàn)影子IT的解決方案是選擇一種自動化工具或方法并提供正確的觸發(fā)器,也就是使用其他身份和訪問管理(IAM)解決方案之外的業(yè)務(wù)憑證創(chuàng)建帳戶。將所有這些信息記錄在日志中或者必須定期合并數(shù)據(jù),這種做法肯定是一個注定要失敗的過程。
2.優(yōu)先考慮降低影子IT的風(fēng)險(xiǎn)
企業(yè)永遠(yuǎn)不知道員工什么時候會獲得技術(shù),會面臨哪些問題。可以確定的是,企業(yè)的員工將會獲得并開始使用不斷出現(xiàn)的新技術(shù)。根據(jù)企業(yè)的員工數(shù)量,它可以從每周幾個到幾十甚至幾百個不等。考慮到影子IT進(jìn)入企業(yè)的數(shù)量,由于面臨不同的風(fēng)險(xiǎn),優(yōu)先級變得極為重要。
優(yōu)先考慮風(fēng)險(xiǎn)緩解是關(guān)鍵的步驟。企業(yè)不能采取一些固定的模式和方法來降低影子IT的風(fēng)險(xiǎn),因?yàn)樗鼈円苍诓粩喟l(fā)生變化。一項(xiàng)技術(shù)對企業(yè)構(gòu)成的風(fēng)險(xiǎn)程度超出了供應(yīng)商是否獲得了SOC2或ISO27001等行業(yè)認(rèn)證。這些認(rèn)證很常見,甚至初創(chuàng)公司現(xiàn)在也正在接受這些認(rèn)證。與其關(guān)注供應(yīng)商控制的風(fēng)險(xiǎn),不如根據(jù)以下因素評估風(fēng)險(xiǎn),例如:
·員工是否了解企業(yè)關(guān)于使用購買和使用技術(shù)、軟件或SaaS的安全和風(fēng)險(xiǎn)政策?
·是否會使用任何敏感、機(jī)密或受監(jiān)管的數(shù)據(jù)?
·在業(yè)務(wù)組織中,是誰批準(zhǔn)了該技術(shù)的使用?
·該技術(shù)將與哪些系統(tǒng)集成?
·任何非員工都會成為這項(xiàng)技術(shù)的用戶嗎?
·企業(yè)里還有多少其他用戶?
3.保護(hù)影子IT帳戶
保護(hù)影子IT往往說起來容易做起來難。假設(shè)能夠在某個位置或網(wǎng)絡(luò)上找到物理設(shè)備,則很簡單。但軟件(幾乎都是SaaS)要困難得多,因?yàn)榭梢詮耐泄茉O(shè)備上的企業(yè)網(wǎng)絡(luò)或使用非托管設(shè)備從不同位置訪問它。SaaS安全產(chǎn)品(例如CASB)假設(shè)可以控制網(wǎng)絡(luò)、身份或設(shè)備,但現(xiàn)實(shí)情況是可能無法控制其中的任何一個。
保護(hù)SaaS的最佳方法是在認(rèn)為SaaS帳戶違反企業(yè)政策或員工不再在企業(yè)工作時鎖定SaaS帳戶本身。取消配置帳戶本身仍然是可取的措施,但保護(hù)它以便沒有人可以訪問該帳戶是關(guān)鍵的第一步。
4.協(xié)調(diào)跨控制點(diǎn)的安全性,降低影子IT的風(fēng)險(xiǎn)
一旦影子技術(shù)得到保護(hù),下一步就是通過其他安全點(diǎn)來協(xié)調(diào)該應(yīng)用程序的保護(hù)。例如,如果SaaS應(yīng)用程序被認(rèn)為風(fēng)險(xiǎn)太大,那么企業(yè)中的這個應(yīng)用程序的每個用戶都應(yīng)該停止使用。作為額外的安全層,企業(yè)可能希望阻止訪問網(wǎng)絡(luò)上的SaaS站點(diǎn)或在每次有人創(chuàng)建新帳戶時設(shè)置警報(bào)。
當(dāng)來自威脅情報(bào)源或第三方風(fēng)險(xiǎn)管理系統(tǒng)的數(shù)據(jù)表明SaaS應(yīng)用程序已被破壞或已在市場上找到憑據(jù)時,協(xié)調(diào)也很重要。憑據(jù)被泄露的用戶應(yīng)被迫檢查他們擁有的每個帳戶并重置密碼。盡管所有這些都可以通過現(xiàn)有工具以某種方式實(shí)現(xiàn),但實(shí)際的工作流程通常沒有設(shè)計(jì)出來。具有開箱即用自動化的SaaS安全產(chǎn)品在確保安全團(tuán)隊(duì)統(tǒng)一控制點(diǎn)、分析、遙測和操作以保護(hù)和控制影子SaaS方面有很大的幫助。
5.安全地接受影子IT
無論如何努力,影子SaaS都會繼續(xù)增長。在許多方面,這就像現(xiàn)在大多數(shù)企業(yè)的標(biāo)準(zhǔn)自帶設(shè)備(BYOD)的發(fā)展趨勢一樣。隨著消費(fèi)技術(shù)變得與企業(yè)產(chǎn)品一樣強(qiáng)大,工作人員發(fā)現(xiàn)使用消費(fèi)設(shè)備工作變得更容易、更方便。企業(yè)最終將會讓步,并且采用旨在支持BYOD的產(chǎn)品,因?yàn)楂@得的收益超過了成本。
同樣的事情也發(fā)生在影子IT上,更具體地說是SaaS。員工不再需要IT團(tuán)隊(duì)的幫助或許可來購買功能更強(qiáng)大的應(yīng)用程序。他們只需要采用一個電子郵件地址和自己的信用卡,通常使用可以升級的免費(fèi)帳戶。IT和安全團(tuán)隊(duì)需要承認(rèn)這些好處并創(chuàng)建一個框架,讓員工在工作中使用正確的工具,同時對企業(yè)技術(shù)和數(shù)據(jù)進(jìn)行更好的治理和控制。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號