制定戰略性 IT 決策的核心依賴於準確和完整的全球數據圖,以及同樣正確和全面的資產圖。 可悲的是,今天沒有企業擁有它,坦率地說,可能從來沒有。
如今,要全面了解與 IT 相關的任何事物總是存在問題,但隨著近年來企業環境的變化,古老的 IT 宿敵影子 IT 仍然是一個主要因素。
由於幾個問題,這個問題在過去幾年變得更加嚴重。 除了物聯網和 OT 設備的增長,以及合作夥伴和客戶獲得網絡特權之外,最大的變化是家庭辦公室的大量湧現以及這些遠程站點之間缺乏一致性或標準。 路由器可以來自任何供應商並與任何運營商相關聯。 硬件防火牆可能存在,也可能不存在——如果它們存在,也可能不會被修補。 大多數 LAN 都是狂野的西部,任何人都可以訪問(例如,也許是員工十幾歲女兒的男朋友)。
除了硬件、軟件和設備問題之外,影子 IT 本身的概念不再像十年前那樣。 最初的定義是指通過從其他地方購買技術來繞過 IT 的員工或承包商,例如從 Target 購買路由器或從亞馬遜、微軟或谷歌獲得云空間。 典型的原因通常是 IT 缺乏耐心來響應和滿足請求。 對於員工/承包商來說,只需拿出一張 Visa 卡並在幾分鐘內獲得他們需要的東西就更容易了。
當供應商在系統中添加一些東西但沒有提及時應該怎麼稱呼? 這發生在一家大型製造商身上,當時一件非常大且昂貴的裝配線設備——企業幾十年來一直從同一供應商處購買的設備——開始出現故障。 在等待供應商的維修人員時,工人們拆下了一個面板,發現了帶有微型天線的麥克風。 事實證明,供應商在上次升級時添加了物聯網設備,但沒有向任何客戶提及這一變化。
這意味著工廠車間有企業 IT 部門一無所知的物聯網硬件。 那是影子IT嗎? 如果設施維護人員在未經 IT 人員或安全人員許可的情況下開始購買物聯網燈泡或門鎖怎麼辦?
這是我最喜歡的:當戰略業務合作夥伴要求某些系統、軟件或設備時怎麼辦?
Infoblox 安全高級產品營銷經理 Bob Hansmann 表示:“IT 正在發現人們使用 VPN、雲存儲和合作夥伴所需但未經組織批准的其他服務,因為合作夥伴關係涉及更多的數字連接。”
企業的員工是否應該向 IT 報告? 那個夥伴應該嗎? 您猜對了:沒有人向 IT 報告它,但它確實存在,訪問敏感的公司知識產權並與之交互。 那個特定的合作夥伴交互是影子 IT 嗎?
更糟糕的是,當企業和合作夥伴的政策截然相反時會發生什麼? 例如,如果最終用戶的雇主堅持使用 Google 雲端硬盤並禁止 Microsoft 或 DropBox,該怎麼辦? 而合作夥伴的團隊堅持每個人都使用 DropBox 做一個項目,因為他們的 IT 禁止谷歌? 這些規則可能是出於安全、合規需求甚至競爭原因而製定的,例如合作夥伴是否在其他產品領域或地理區域與穀歌競爭。
就是那幾種 細節 在合同談判中幾乎從未討論過。
有一些方法可以嘗試發現一些影子 IT 工作,但其不斷變化的性質甚至使這些技術變得不那麼有效。 一種方法是使用 DNS 跟踪來檢測不應該連接到企業的網絡活動。 一種不那麼討厭的方法是簡單地讓 IT 處理應付賬款以定期審計費用報告——尋找任何本應通過 IT 處理的技術採購。
NTT 澳大利亞網絡安全總監 Dirk Hodgson 說:“使用技術很困難,因為定義個人用途與商業用途並不容易。”例如,OneDrive 可以兼而有之。 當您考慮到大多數影子 IT 都是基於 SaaS 和 Web 應用程序並且其中很多是免費開源的時,這個問題就會變得非常嚴重——因此您甚至無法找到金融交易來識別它。
“作為規模的一個例子,我與之合作的一個相對較小的金融服務客戶——席位少於 1,000 個——在他們用來掃描其環境以尋找應用程序的工具中顯示了大約 4,500 個應用程序,”霍奇森說。“試圖找到一個 ‘在這種情況下,影子 IT 應用程序絕對是大海撈針。 如果有人在工作時訪問他們的個人 Google 驅動器,那是影子 IT 還是只是個人應用程序?
“要求用戶一直檢查每一個是不現實的,”他說。 “但如果你不這樣做,而只是阻止訪問,這可能會給用戶體驗帶來痛苦,並阻止他們執行合法的業務功能。”
霍奇森認為,阻止或以其他方式試圖直接擊敗影子 IT 不太可能奏效。 他認為,更好的方法是解決根本問題。 換句話說,讓 IT 響應迅速、高效且成本低廉,最終用戶幾乎沒有理由一意孤行。
“我有一個客戶以高昂的成本購買了一個低代碼快速應用程序開發平台和它所需的人員,”霍奇森說。 “然後 IT 讓業務領域以非常低的成本訪問他們需要的任何新應用程序,以節省他們去其他地方。”
Hansmann 認為,最終用戶傾向於影子 IT 的原因不同:缺乏對特定任務需要特定工具的認識。
“用戶通常不知道合適的工具,他們通常更熟悉類似的工具並更喜歡自己的工具,”Hansmann 說。 “或者業務合作夥伴需要特定的未經授權的工具,例如‘使用我們的 VPN 或身份驗證軟件訪問我們的資源。’”
他認為,另一個問題是 IT 傾向於變得憤世嫉俗和多疑——這是有充分理由的——並將所有影子 IT 努力視為“用戶有意識地試圖逃避公司/機構的可見性和控制,以做一些不道德、非法等的事情。IT不能再像對待這種情況一樣對待每一次違規行為。 歷史表明,大多數影子 IT 違規行為都可以很容易地得到糾正,而不會讓那些只是想做正確事情的有價值的員工感到不舒服。”
身份供應商 SailPoint 的 CISO Rex Booth 表示,這個問題很可能會變得更糟。
“傳統上,影子 IT 的流行與業務部門通過繞過 CIO 可以多快地獲得結果相關,”Booth 說。 “當 SaaS 出現時,速度差距擴大了,這意味著影子 IT 的流行也隨之增加。 現在最大的問題是生成式人工智能將產生什麼影響。
“如果一個業務部門可以在幾天內生成一個自定義應用程序,你認為他們會等待正式的 IT 流程嗎?這會很快變大。”
另一個可怕的考慮因素是:貴公司對執行影子 IT 規則的重視程度如何? 在大多數公司,IT 談論的都是好遊戲,並宣布禁止影子 IT 工作。 但是當這些規則被違反時,有意義的懲罰永遠不會發生。 什麼消息 那 發送給最終用戶?
公司是否準備好制裁一位對公司有重大價值的高級經理,因為他繞過控制使用影子 IT 服務? 它會被忽略或導致微不足道的響應嗎?
Kroll 網絡風險實踐高級董事總經理艾倫·布里爾 (Alan Brill) 表示:“您必須考慮威懾公司如何處理未經授權使用 IT 服務的必要性。”所以,或者無論你在做什麼,都可能只會激勵人們尋找新的方法來擊敗這個系統,因為他們不相信如果他們被抓到會產生重大後果。
“我認為這是一個必須由公司的 IT、人力資源和法律部門共同考慮的話題,”布里爾說。 “如果你想認真地阻止影子 IT,就必須讓違反規則變得痛苦。如果你不願意這樣做,你的影子 IT 攔截計劃可能會被視為沒有牙齒的老虎。”
版權所有 © 2023 IDG Communications, Inc.