Что такое Shadow IT и почему это так рискованно?

Shadow IT относится к практике использования пользователями несанкционированных технологических ресурсов, чтобы обойти их ИТ-отдел. Пользователи могут прибегать к использованию теневых ИТ-методов, когда считают, что существующие ИТ-политики слишком ограничивают их или мешают им эффективно выполнять свою работу.

Феномен старой школы

Теневые ИТ не новы. За прошедшие годы было бесчисленное множество примеров широкого использования теневых ИТ. В начале 2000-х, например, многие организации не хотели внедрять Wi-Fi, опасаясь, что это может подорвать их усилия по обеспечению безопасности. Однако пользователи хотели удобства использования беспроводных устройств и часто развертывали точки беспроводного доступа без ведома или согласия ИТ-отдела.

То же самое произошло, когда iPad впервые стал популярным. ИТ-отделы в значительной степени запретили использование iPad с бизнес-данными из-за невозможности применить к устройствам параметры групповой политики и другие элементы управления безопасностью. Несмотря на это, пользователи часто игнорировали ИТ и все равно использовали iPad.

Конечно, ИТ-специалисты в конечном итоге выяснили, как защитить iPad и Wi-Fi, и в конечном итоге приняли эту технологию. Однако использование теневых ИТ не всегда заканчивается благополучно. Пользователи, занимающиеся теневым использованием ИТ, могут по незнанию нанести непоправимый вред организации.

Тем не менее, проблема использования теневых ИТ сохраняется и по сей день. Во всяком случае, использование теневых ИТ увеличилось за последние несколько лет. Например , в 2021 году Gartner обнаружил , что от 30% до 40% всех расходов на ИТ (на крупном предприятии) идет на финансирование теневых ИТ.

Теневые ИТ на подъеме в 2022 году

Удаленная работа после пандемии

Одной из причин роста использования теневых ИТ является удаленная работа. Когда пользователи работают из дома, им легче избежать уведомления ИТ-отдела, чем если бы они попытались использовать неавторизованную технологию из корпоративного офиса. Исследование Core показало, что удаленная работа, связанная с требованиями COVID, увеличила использование теневых ИТ на 59%.

Технологии становятся проще для конечных пользователей

Еще одна причина увеличения числа теневых ИТ заключается в том, что пользователю стало проще, чем когда-либо, обойти ИТ-отдел. Предположим на мгновение, что пользователь хочет развернуть определенную рабочую нагрузку, но ИТ-отдел отклоняет запрос.

Решительный пользователь может просто использовать свою корпоративную кредитную карту для настройки облачной учетной записи. Поскольку эта учетная запись существует как независимый арендатор, ИТ-специалисты не будут видеть ее и могут даже не знать о ее существовании. Это позволяет пользователю запускать свою несанкционированную рабочую нагрузку с полной безнаказанностью.

Фактически, исследование 2020 года показало, что 80% сотрудников признались в использовании несанкционированных приложений SaaS. Это же исследование также показало, что теневое ИТ-облако средней компании может быть в 10 раз больше, чем санкционированное компанией использование облака.

Знай свою собственную сеть

Учитывая простоту, с которой пользователь может развертывать теневые ИТ-ресурсы, для ИТ-отдела нереально предположить, что теневые ИТ-ресурсы не используются или что они смогут обнаружить использование теневых ИТ-ресурсов. Таким образом, наилучшей стратегией может быть информирование пользователей о рисках, связанных с теневыми ИТ. Пользователь с ограниченным опытом в области ИТ может непреднамеренно создать угрозу безопасности, подключившись к теневым ИТ. Согласно отчету Forbes Insights, 60% компаний не включают теневые ИТ в свои оценки угроз.

Точно так же использование теневых ИТ может подвергнуть организацию нормативным штрафам. На самом деле часто именно аудиторы соответствия, а не ИТ-отдел, в конечном итоге обнаруживают использование теневых ИТ.

Конечно, одного лишь обучения пользователей недостаточно, чтобы остановить использование теневых ИТ. Всегда найдутся пользователи, которые решат игнорировать предупреждения. Аналогичным образом, уступка запросам пользователей на использование определенных технологий также не всегда отвечает интересам организации. В конце концов, нет недостатка в плохо написанных или устаревших приложениях, которые могут представлять серьезную угрозу для вашей организации. Не говоря уже о приложениях, которые известны тем, что шпионят за пользователями.

Решение с нулевым доверием для теневых ИТ

Одним из лучших вариантов борьбы с теневыми ИТ-угрозами может быть переход на нулевое доверие. Нулевое доверие — это философия, согласно которой ничто в вашей организации автоматически не считается заслуживающим доверия. Идентификаторы пользователей и устройств должны подтверждаться каждый раз, когда они используются для доступа к ресурсу.

Существует множество различных аспектов архитектуры нулевого доверия, и каждая организация по-своему реализует нулевое доверие. Некоторые организации, например, используют политики условного доступа для управления доступом к ресурсам. Таким образом, организация не просто предоставляет пользователю неограниченный доступ к ресурсу, а скорее рассматривает, как пользователь пытается получить доступ к ресурсу. Это может включать настройку ограничений, связанных с географическим положением пользователя, типом устройства, временем суток или другими факторами.

Нулевое доверие в службе поддержки

Одна из самых важных вещей, которую организация может сделать в отношении внедрения нулевого доверия, — это лучше защитить свою службу поддержки. Службы поддержки большинства организаций уязвимы для атак социальной инженерии.

Когда пользователь звонит и запрашивает сброс пароля, техник службы поддержки предполагает, что пользователь является тем, за кого себя выдает, тогда как на самом деле звонящий может быть хакером, который пытается использовать запрос на сброс пароля как способ получения доступа. к сети. Предоставление запросов на сброс пароля без проверки личности пользователя противоречит всему, что означает нулевое доверие.