影子 IT 包括员工使用的任何未经批准的应用程序或硬件，这些应用程序或硬件不属于 IT 部门管理的应用程序或硬件（已批准的应用程序）。影子 IT 通常用作解决组织已知 IT 资源造成的功能或可用性差距的方法。

大型组织有多个部门，其信息技术 （IT） 需求差异很大。一个集中的部门管理这些 IT 系统，了解和满足每个部门的需求可能具有挑战性。如果现有软件或设备无法满足部门或员工的要求，他们可能会在 IT 团队不知情的情况下选择替代解决方案。

当 IT 技术提供糟糕的体验时，员工会寻求影子 IT 替代方案。

员工通常出于正当理由使用影子 IT，例如提高生产力和效率。它还会带来严重的安全风险，例如数据安全受损。本文介绍如何缓解和管理影子 IT 的网络安全风险。

影子 IT 的类型

影子 IT 有三个主要示例，包括：

1. 硬件 - 例如服务器、台式计算机、笔记本电脑、平板电脑、智能手机和其他在 IT 基础设施之外运行的个人设备。在 COVID-19 大流行期间，随着自带设备 （BYOD） 和在家工作 （WFH） 政策的引入，硬件影子 IT 有所增加。

2. 现成的（打包的）软件 -- 如 Microsoft Office。随着 SaaS 应用程序的日益普及，现成的影子 IT 有所下降。

3. 云服务 – 包括软件即服务 （SaaS）、基础架构即服务 （IaaS） 和平台即服务 （PaaS）。SaaS 应用程序（如 Dropbox、Skype 和 Google Drive）是目前最流行的影子 IT 类型。

 

影子 IT 的优势

影子 IT 为用户提供以下优势：

• 提高生产率：员工可以通过直接访问相关软件更有效地完成所需的任务。例如，影子 IT 应用程序（如文件共享和消息传递应用程序）可以加快员工协作速度。
• 更好的适用性：主办部门最有能力确定哪种软件最适合他们的特定需求。
• 更快的实施：获得 IT 部门对新技术的批准非常耗时，并且在等待过程中可能会造成性能效率低下。

 

影子 IT 安全风险

虽然影子 IT 无疑改善了最终用户体验和任务效率，但它也给组织带来了严重的安全漏洞。Gartner 研究发现，到 2020 年，影子 IT 资源将占企业成功攻击的三分之一。

以下是影子 IT 引入的四种常见安全风险：

 

1. 缺乏可见性

通过自动化可以实现攻击面的可见性。组织可以通过实施攻击面管理解决方案来监视和管理所有已知资产及其漏洞。影子 IT 更难被发现，更有可能不被发现。这种可见性的缺乏意味着组织通常不会知道受制裁的应用程序正在使用中，直到发生严重的安全事件（如数据泄露）时。

详细了解攻击面管理软件。

 

2. 第三方风险

外包基本运营的日益普及通过引入第三方和第四方风险来扩大组织的攻击面。在当今的威胁形势下，供应链攻击非常猖獗。网络犯罪分子意识到利用供应商糟糕的网络安全来获取目标组织的敏感数据的优势。

影子 IT 引入了第三方风险，该风险已经足够复杂，无法自行管理。再加上对未经批准的 IT（如 SaaS 服务提供商）的安全实践缺乏可见性，数据泄露的可能性要高得多。

 

3. 合规问题

许多法律都规定了有效保护数据的重要性，例如 GDPR、CCPA、PCI DSS、SOX 和 SHIELD 法案。安全团队只能针对他们可以看到的内部和第三方风险强制执行合规性。影子 IT 不在 IT 部门的可见性范围内，可能会使组织不合规，从而导致高额罚款以及可能的数据泄露和数据泄露。

考虑以下影子 IT 使用导致不合规的示例：

1. 员工使用未经批准的文件共享应用程序将包含客户个人身份信息 （PII） 的电子表格共享给同事。
2. 员工在不知不觉中将应用程序上的文件访问权限设置为“公共”。任何可以访问 Internet 的人都可以使用电子表格。
3. 雇主不知道数据泄露已经发生，数据仍然不安全。
4. 网络犯罪分子发现受损数据，下载电子表格文件，并将其发布到暗网市场上出售。
5. 该员工的组织现在因未能保护客户数据而面临严厉的监管处罚和声誉损害。

 

4.数据丢失

影子 IT 可以创建一种孤立的数据访问方法。例如：

1. 特定部门选择未经批准的数据存储应用程序，而组织的其他部门则使用经批准的数据存储应用程序。

2. 帐户“所有者”离开公司，这意味着团队的其他成员无法再访问该应用程序。

3. 该组织批准的数据存储应用程序上没有可用的备份。

4. 这些数据现在无法访问，并且实际上丢失了部门和组织的信息。

 

2023 年管理影子 IT 风险的 5 种方法

以下是 IT 和安全团队可以采用的五种策略，用于管理和缓解与影子 IT 使用相关的风险。

1、与各部门沟通

了解组织中所有最终用户的需求是确保建议的安全要求与每个部门的 IT 需求保持一致的第一步。鼓励与部门经理定期沟通，以确保在出现任何新技术要求时进行公开对话。

2. 教育员工

对员工进行有关影子 IT 给组织带来的风险的教育非常重要。了解需要新应用/设备时要遵循的风险和流程有助于推动与信息安全策略的更好合作。定期的安全培训课程将牢记这些要求。

了解如何制定安全的居家办公实践。

3. 使用影子 IT 发现软件

完整的攻击面管理解决方案（如 UpGuard BreachSight）可以确定组织的整个攻击面范围，包括使用未经授权的 SaaS 应用。BreachSight 通过持续的攻击面监控提供已识别风险的即时警报，使安全团队能够在这些网络威胁升级为安全事件之前对其进行修复。

了解有关 UpGuard BreachSight 的更多信息。

4. 实施 IT 治理框架

实用的 IT 治理框架应概述组织的影子 IT 策略，包括对未经批准的应用和设备的可接受使用的定义。以考虑灵活的工作安排和每个部门不断变化的需求为目标的现实方法，以提高采用率。

5. 单独评估每个风险

影子 IT 使用造成的风险的严重性取决于几个因素。对每个影子 IT 实例应用相同的缓解处理是一种低效的策略。相反，IT 和安全团队应单独评估每个用例，以了解对组织构成的实际风险。同样，此信息还有助于优先限制未经批准的高风险应用程序/设备。