影子 IT 的成本不斷增長
未經批准的應用程式如何影響收益
影子 IT 採用正在蔓延,其風險也在蔓延
影子 IT(在組織內採用未經批准的硬體、軟體、應用程式和服務)長期以來一直困擾著 IT 部門。最近的一份 CORE 研究報告發現,自組織廣泛採用遠端工作模式以來,影子 IT 的使用率激增了 59%,54% 的 IT 團隊稱他們的組織由於這種激增而「大大增加了資料外洩的風險」。
是什麼在推動影子 IT 採用的上漲?組織如何保護其員工和網路免受它們帶來的風險?
兩個罪魁禍首是雲端採用的增加和遠端工作的興起。現代工作團隊日益靈活和分散,IT 部分對其操作的位置和裝置僅擁有有限的可見度和控制權。無論是在現場還是遠端工作,員工都擁有可幫助他們完成工作的工具偏好。當這些工具與 IT 已經核准的應用程式清單不一致時(或者用於填補未提供工具的空缺時),這會給許多組織帶來麻煩。
根據 Stratecast 和 Frost& Sullivan 的一項調查,80% 的員工在未經 IT 核准的情況下採用 SaaS 應用程式,使他們的企業網路暴露於無數的安全威脅和漏洞中。
然而,在組織能夠阻止影子 IT 的傳播之前,他們必須首先瞭解:a) 這讓他們付出了什麼代價;b) 為什麼他們的員工仍在使用它;以及 c) 哪些探索和補救工具可以提供幫助。
影子 IT 的實際成本
2021 年,IT 管理公司 Insight Global 遭遇資料外洩,導致大約 70,000 名賓夕法尼亞州居民的個人資訊暴露。該公司簽約協助州衛生部門的 COVID-19 接觸者追蹤工作,但當員工啟動「幾個 Google 帳戶共用資訊作為『未經授權的協作渠道』的一部分」時,他們收集的資訊遭到洩露。
雖然賓夕法尼亞州衛生部門無法追蹤洩露的資料是否存在任何嚴重濫用,但該事件仍然突顯出影子 IT 有多麼容易削弱組織的安全狀態。
當 IT 部分無法瞭解員工正在使用的工具和帳戶時,他們無法確保敏感性資料和資源保留在公司範圍內。因此,他們無法評估工具的安全漏洞、實施適當的安全控制、監控和限制資料移動、滿足合規性要求,或預測由這些未受管理應用程式和服務中的漏洞引發的資料外洩和攻擊。
與 Insight Global 資料外洩不同,大多數攻擊的補救成本高昂且耗時(根據 IBM 的資料,每次資料外洩平均花費 424 萬美元),尤其是在 IT 部門不知道應用程式或帳戶已被入侵的情況下。在 Forbes Insights 的一項研究中,五分之一的受訪組織因影子 IT 而遭受網路攻擊,而只有不到一半的受訪者相信他們的組織可以從網路事件中復原而不會對業務產生重大影響。
任其發展,影子 IT 不僅會增加網路攻擊的風險,還會推高其他成本。鑑於遠端工作的擴展以及基於雲端的工具和服務的激增,影子 IT 採用佔大型組織 IT 支出的很大一部分。在 NetEnrich 的一項調查中,59% 的 IT 決策者表示 IT 支出和超支是未來的主要問題。
是什麼推動員工使用未經批准的應用程式
控制影子 IT 可能是一個艱鉅的過程,即使對於最勤奮的 IT 部門也是如此。據 Productiv 稱,企業平均部署 270 到 364 個 SaaS 應用程式,其中未經批准的應用程式佔 52%。
在組織採取措施識別和補救影子 IT 帶來的風險之前,他們需要瞭解為什麼員工仍然採用它。通常,員工並不知道使用未受管理工具、裝置和帳戶會造成相當大的安全漏洞。相反,他們採用影子 IT 的原因通常屬於以下三個類別中的一個:
員工傾向於使用方便、有效且可解決特定業務目的的工具。如果一個組織不提供員工需要的工具和資源,他們會自行尋找。根據 IBM 的資料,財富 1000 強公司中 67% 的員工使用未經內部部門明確核准的 SaaS 應用程式。
員工��可能不瞭解影子 IT 的網路安全風險。員工可能沒有意識到他們必須獲得 IT 部分核准才能使用新工具,或者沒有意識到將未經核准的應用程式和服務引入網路會帶來多大的風險。
IT 原則和核准程序可能不明確或根本不存在。由於預算限制、安全問題或其他原因,獲得 IT 部門核准可能具有挑戰性、耗時,甚至不可能。並且一些組織可能沒有就應用程式的採用制定原則,無意中鼓勵員工在沒有先告知 IT 部門的情況下採用新工具。
降低影子 IT 的風險
由於影子 IT 的普遍性和不斷變化的性質,沒有一種萬能的解決方案可以偵測和應對未受管理工具和服務中的漏洞。但是,組織可以採取幾種關鍵策略來最大程度地減少其傳播和影響,包括:
採用影子 IT 探索解決方案。影子 IT 探索可以幫助 IT 部門偵測和記錄他們網路中正在使用的所有應用程式,即使是那些員工尚未披露的應用程式。在 IT 部門對所有已核准和未核准的工具進行分類後,他們可以評估它們是否存在安全漏洞或設定錯誤,在其前方設定存取和資料保護原則,並更有效地管理員工對它們的存取。
對員工進行網路安全教育。就未經核准的工具和帳戶的風險對員工進行教育大大有助於防止採用影子 IT。
制定內部影子 IT 原則。圍繞新技術的採用制定原則並不斷將這些原則告知組織,讓 IT 部門能夠在新應用程式和服務推出之前對其進行徹底審查,從而有效地減緩或阻止影子 IT 的傳播。透過制定採用和管理新應用程式和工具的具體步驟,組織可以減少員工的挫敗感,並幫助他們使用完成職責所需的工具更有效地工作。
使用 Cloudflare 對抗影子 IT
對影子 IT 進行有效防禦始於 Zero Trust:這是安全模型的構建原則是,不應固有地信任任何使用者或裝置來存取公司資源。透過將 Zero Trust 控制置於企業資源之前,組織可以確保其員工只能透過經過批准的帳戶存取經過批准的應用程式,從而讓使用者更難以跨未經批准的應用程式檢視、分享和移動資料。
Cloudflare Zero Trust 使 IT 部門能夠完全瞭解和控制已核准和未核准的應用程式,並有助於最大限度地降低影子 IT 和其他安全問題的風險。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
重點
閱讀本文後,您將能夠瞭解:
為什麼影子 IT 激增了 59%
是什麼促使 80% 的員工採用未經批准的 SaaS 應用程式
五分之一的組織如何因影子 IT 而遭受網路攻擊
最小化影子 IT 採用的 3 個關鍵策略