影子it是指企業員工使用沒有經it準許的應用程式,企業很清楚影子it帶來的危害,但他們并沒有意識到在雲計算和byod時代這個問題的嚴重程度。調查顯示,企業超過85%的雲應用程式沒有經過it部門準許。
安全供應商ciphercloud對其企業客戶的雲計算使用資料進行了分析,結果發現,平均而言,北美企業使用大約1245款雲應用程式。在這個數字中,86%的應用程式是未經it部門準許的應用程式,并且員工從企業内部網絡通路這些應用程式。
ciphercloud公司雲安全全球主管willy leichter表示,這個資料突出了企業内影子雲問題的嚴重程度。雖然企業通常知道企業内運作着未經準許的應用程式,但他們并不知道這種情況有多麼廣泛。
leichter表示:“很多人不知道影子it的範圍。”有些企業内未經準許的應用程式的實際數量是it經理所估計的數量的幾倍。例如,他指出,有家企業預計會找到10到15款未經準許的雲計算應用程式用于檔案共享目的,而實際情況是,員工正在使用70款這樣的應用程式。
對于這項研究,ciphercloud定義雲應用程式為雲托管服務,需要使用者輸入使用者名和密碼來通路。這種應用程式的例子包括社交媒體服務(例如linkedin和twitter),檔案共享應用程式(例如dropbox和box)、電子郵件、安全、生産力和雲存儲應用程式。
ciphercloud研究表明,最常被通路的應用程式是釋出應用程式(例如wordpress和adobe creative cloud)、置業服務(例如indeed和resumonk)以及社交媒體網絡(例如facebook、twitter和linkedin)。諷刺的是,這三種類别也被列為是三種最危險的雲應用。
ciphercloud的研究表明,52%的釋出雲應用、42%的社交媒體應用程式和40%的職業雲應用給企業構成高風險。在評估風險時ciphercloud考慮的因素包括雲應用是否使用多因素身份驗證、支援資料加密、提供第三方通路,并獲得标準認證。
對于企業内不斷增長的未經授權的應用程式使用,byod政策起到了重要的作用。使用個人移動裝置的員工通常會使用未經準許的雲應用程式來簡化他們的工作。例如,有的員工想要在家裡或辦公室外面工作,他們可能會簡單地上傳檔案到其移動裝置支援的檔案共享應用程式,隻是因為這樣做更加簡單。
老化的企業技術和it模式也促成了影子雲的問題。根據普華永道的報告顯示,面對不斷增長的業績壓力,業務組和員工正在放棄其it部門提供的應用程式,而選擇他們認為更好用的雲服務。
影子it一直是企業面對的一大技術難題,而影子雲則帶來了新的風險。普華永道指出:“影子it相關的風險在很大程度上局限在運作解決方案來支援日常工作的個人電腦。”雖然在某些企業這種使用非常普遍,但這種影響主要局限在企業網絡内。
另一方面,對于影子雲服務,企業需要應對傳輸到企業網絡外部和公共雲的資訊。如果這些資訊離開企業不受控制,這種分散的未知的不受監管的活動将會對企業帶來巨大風險,特别是在那些高度監管的行業的企業。
sans研究所新興安全威脅主管john pescatore表示,如果it能夠響應業務需求,很多這種風險可以得到緩解。員工和業務部門通常會選擇滿足其需求的雲服務,因為這比等待it來提供這些服務要快得多。
pescatore表示:“it工作的方式是,‘我們購買一些硬體,我們可以使用三年,或者我們買了一些軟體,使用五年。’這種模式根本不可行了,如果存在協作和同步的問題,那麼,人們就會走出去找到一個可用的應用程式來為他們解決問題。”
如果it可以為使用者提供一種方式來把資訊存儲在安全的位置,并讓他們可以随時随地通路這些資訊,使用者就沒有理由使用未經準許的應用程式,但如果it沒有解決方案,這種事情總是會發生,你無法阻止。
作者:鄒铮
來源:51cto