
NCSC Великобритании публикует новое руководство по теневым ИТ
5 августа 2023 г.В новой публикации Национального центра кибербезопасности Великобритании содержится руководство для организаций, занимающихся теневыми ИТ, которые в большинстве случаев являются результатом незлонамеренных намерений сотрудников.
Перейти к:
- Что такое теневые ИТ и почему это вызывает растущую озабоченность?
Что приводит к теневым ИТ?
Какие существуют типы теневых ИТ?
Как вы можете смягчить теневые ИТ?
Что такое теневые ИТ и почему это вызывает растущую озабоченность?
Теневые ИТ — это использование технологических систем, программного обеспечения, приложений и услуг внутри организации без явного одобрения, ведома или контроля со стороны ИТ-отдела или официальной ИТ-политики организации. Иногда это называют «серыми ИТ».
Теневые ИТ увеличились за последние годы по ряду причин. Во-первых, британская компания по управлению услугами Core сообщает, что количество теневых ИТ выросло на 59% из-за COVID-19. Кроме того, рост использования облачных технологий значительно увеличил количество теневых ИТ. По данным Cisco, облачные сервисы стали самой большой категорией теневых ИТ, поскольку все больше сотрудников чувствуют себя комфортно, устанавливая и используя различные облачные приложения, не сообщая об этом своему ИТ-отделу.
Согласно отчету платформы анализа активов Sevco Security, примерно 20% ИТ-активов невидимы для групп безопасности организации.
Риски, связанные с теневыми ИТ, в основном связаны с возможностью кражи конфиденциальных корпоративных данных и заражения вредоносным ПО, что может привести к краже данных или кибершпионажу. Заражение теневого ИТ-компонента может привести к утечке учетных данных и компрометации всей компании.
Что приводит к теневым ИТ?
Как пишет NCSC, теневые ИТ редко являются результатом злого умысла, а скорее из-за того, что «сотрудники изо всех сил пытаются использовать санкционированные инструменты или процессы для выполнения конкретной задачи». Некоторые пользователи также не осознают, что использование устройств или инструментов «программное обеспечение как услуга», управляемых лично, может представлять риск для их организации.
Одними из наиболее распространенных причин, ведущих к теневым ИТ, являются нехватка места для хранения, невозможность эффективного обмена данными с третьей стороной и отсутствие доступа к необходимым услугам или тем, которые могли бы облегчить профессиональную задачу.
Каковы различные примеры теневых ИТ?
Часть теневых ИТ-ресурсов находится в неуправляемых устройствах, которые часто развертываются в корпоративной среде без одобрения ИТ-отдела. Это могут быть личные устройства сотрудников (например, цифровые помощники и устройства IoT) или виртуальные машины подрядчиков.
Как заявил NCSC, любое устройство или служба, которые не были настроены организацией, вероятно, не будут соответствовать требуемым стандартам безопасности и, следовательно, будут создавать риски (например, внедрение вредоносного ПО) повреждения сети.
Неуправляемые сервисы из облака также составляют часть теневых ИТ. Этими услугами могут быть:
- Услуги видеоконференцсвязи без приложений мониторинга или обмена сообщениями.
Внешние облачные хранилища, используемые для обмена файлами с третьими лицами или для работы из дома с использованием неавторизованного устройства.
Услуги по управлению проектами или планированию, используемые в качестве альтернативы корпоративным инструментам.
Исходный код хранится в сторонних репозиториях.
Как вы можете смягчить теневые ИТ?
NCSC пишет, что «всегда вы должны активно пытаться ограничить вероятность того, что теневые ИТ могут быть или будут созданы в будущем, а не просто обращаться к существующим экземплярам».
Поскольку большинство теневых ИТ возникает из-за незлонамеренных намерений сотрудников, которые хотят эффективно выполнять свою работу, организациям следует стараться предвидеть потребности персонала для предотвращения теневых ИТ.
Следует внедрить процесс обработки всех запросов сотрудников в отношении необходимых им устройств, инструментов и услуг, чтобы их не поощряли к внедрению собственных решений. Вместо этого сотрудники должны чувствовать, что их работодатель пытается помочь им и удовлетворить их профессиональные потребности.
Компании должны предоставлять сотрудникам быстрый доступ к услугам, которые могут быть за пределами регулярного использования, контролируемым образом.
Настоятельно рекомендуется развивать в организациях хорошую культуру кибербезопасности. О проблемах, связанных с политикой или процессами организации, которые мешают сотрудникам работать эффективно, следует сообщать открыто.
ПОСМОТРЕТЬ: Политика теневого ИТ TechRepublic Premium
Что касается технических мер по смягчению последствий, для более крупных организаций следует использовать системы управления активами. В идеале эти системы смогут обрабатывать ключевую информацию, такую как физические данные об устройствах, данные о местоположении, версию программного обеспечения, информацию о владении и подключении. Кроме того, платформы управления уязвимостями помогают обнаруживать новые активы, подключающиеся к корпоративной среде.
Унифицированные инструменты управления конечными точками могут использоваться, если они правильно развернуты, для обнаружения устройств, подключающихся к сети, которые не принадлежат организации. Слабым местом здесь является то, что подключение множества различных классов устройств может быть очень ресурсоемким для крупных организаций.
Сетевые сканеры могут использоваться для обнаружения неизвестных хостов в сети, но их использование следует тщательно контролировать. Компании должны разработать процесс, подробно описывающий, кто и как может получить доступ к сканерам, поскольку эти инструменты имеют привилегированный доступ для сканирования целых сетей. Если злоумышленники скомпрометируют часть сети, они захотят расширить компрометацию, найдя новые хосты.
Брокеры безопасности облачного доступа — это важные инструменты, которые позволяют компаниям обнаруживать облачные службы, используемые сотрудниками, путем мониторинга сетевого трафика. Эти инструменты часто являются частью пограничного решения службы безопасного доступа.
Раскрытие информации: я работаю в Trend Micro, но мнения, выраженные в этой статье, принадлежат мне.
Оригинал
Recent Post
-
Сага из чипсов США-Китай: Huawei готовит Ascend 920 Chip, чтобы заменить ограниченную Nvidia H20
22 апреля 2025 г. -
В центре внимания AI в этот день Земли: «ИИ в корне несовместим с экологической устойчивостью»
22 апреля 2025 г. -
8 бесплатных курсов по развитию карьеры от LinkedIn - предложение заканчивается 7 мая
22 апреля 2025 г. -
Новые модели ИИ Openai O3 и O4-Mini теперь могут «думать с изображениями»
19 апреля 2025 г. -
Американские чиновники утверждают, что приложение DeepSeek AI «предназначено для шпионить за американцами»
19 апреля 2025 г.
Categories
- Python
- blockchain
- web
- hackernoon
- вычисления
- вычислительные компоненты
- цифровой дом
- игры
- аудио
- домашний кинотеатр
- Интернет
- Мобильные вычисления
- сеть
- фотосъемка видео
- портативные устройства
- программного обеспечения
- телефон и связь
- телевидение
- видео
- мир технологий
- умные гиды
- облако
- искусственный интеллект
- се
- Samsung
- умные города
- digitaltrends
- отели
- Startups
- Venture
- Crypto
- Apps
- безопасность
- техника и работа
- cxo
- мобильность
- разработчик
- 5г
- майкрософт
- инновации
- Права и свободы
- Законодательство и право
- Политика и общество
- Космическая промышленность
- Информационные технологии
- Технологии
- Образование
- Научные исследования
- Автомобильная промышленность
- Программная инженерия
- IT и технологии
- Веб-разработка
- Программирование
- Автоматизация
- Карьерный рост
- Программирование и анализ данных
- Трудоустройство
- Политика
- Искусственный интеллект
- ИТ-технологии
- Программное обеспечение
- Экологическая политика
- Образование и рынок труда
- Политика и право
- Microsoft Teams и SharePoint
- Информационная безопасность
- Кибербезопасность
- Налоги
- Образование и карьера
- Интернет и технологии
- Технологии, Государственные услуги
- Политика и технологии
- Разработка программного обеспечения
- Разработка ПО
- Машинное обучение
- Налогообложение, технологии, открытый исходный код
- Финансы и налоги
- Технологии, Интернет, Экология
- Интернет, безопасность
- Технологии и политика
- Операционные системы
- Профессиональная разработка
- Технологии, Безопасность
- Интернет и общество
- Финансовая индустрия
- Налоговый учёт
- Общественное здравоохранение
- Технологическая отрасль
- Юриспруденция
- Технологии и государство
- Здоровье и фитнес
- IT-инфраструктура
- Технологии и ИИ
- Здравоохранение
- IT
- Технологии, Экономика
- Музыка и технологии
- Здоровье и питание
- IT и безопасность
- Бизнес и предпринимательство
- Технологии, Программное обеспечение
- Технологии и инновации
- Технологии, данные, этика
- Технологии и Интернет
- Технологии и SaaS
- Медицина и здравоохранение
- Онлайн-видеосервисы
- Финансы и технологии
- Чтение и саморазвитие
- Экономика и бизнес
- Безопасность данных
- Удаленная работа
- Авиация и технологии
- Технологии, Игры
- Энергетика
- Социальные сети, безопасность, технологии
- Саморазвитие
- Безопасность информации
- Бизнес и карьера
- Технологии и отношения
- Игровая индустрия
- Компьютерная индустрия
- Математика, Искусственный интеллект
- Наука и технологии
- Технологии и безопасность
- Технологии, Удаленная работа, Бизнес
- Видеоигры
- Технологии, Искусственный интеллект, Этика
- Технологии, социальные сети, 6G
- Технологии, Программирование, AI, Разработка ПО
- Программирование, Разработка ПО, Технологии
- Животные
- Технологии, Искусственный интеллект
- Программирование, карьера, технологии, обучение
- Бизнес и технологии
- Технологии, Безопасность данных
- Астрономия и физика
- Продуктивность, личное развитие
- Медиа и Технологии
- Программирование и Искусственный Интеллект
- Социальные сети
- Политика и экономика
- Технологии, Медицина, Искусственный интеллект
- Технологии и управление
- Космос и астрономия
- Общество и политика
- Космические исследования
- Веб-дизайн
- Искусственный интеллект и безопасность данных
- Технологии, Безопасность, Конфиденциальность
- Экологическая проблема
- Технологии, Погода
- Авиация
- Транспортная сфера
- Технологии и бизнес
- Игровая промышленность
- Телевидение и реклама
- Аналитика данных
- Технологии и кибербезопасность
- Маркетинг
- Технологии и гаджеты
- Технологии, Авиация, Инновации
- Финансы и инвестиции
- Технологии и общество
- Рыночный анализ
- Космология
- Данные и бизнес
- IT и программирование
- Технологии и право
- Программирование и разработка
- Астрофизика
- Медицинские технологии
- Авиационная промышленность
- Технологии и искусственный интеллект
- Генетическая инженерия
- Бизнес и инвестиции
- Компьютерная промышленность
- Психология и социология
- Образование и технологии
- Рынок труда
- Технологии, Стартапы
- Технологии, Приватность, Чтение
- Маркетинг и продажи
- Виртуальная реальность
- Технологии, Смартфоны, Маркетинг
- Технологии, Бизнес, Личностный рост
- Экологические проблемы
- Экономика и технологии
- IT и карьера
- Интернет и безопасность
- Разработка и технологии
- Биотехнологии
- Интернет-магазины, кибербезопасность
- Финансы
- Безопасность и технологии
- Экономика
- Защита данных
- Data Science
- Карьера и работа
- Финансовый успех, мошенничество, маркетинг
- Безопасность
- Экология
- Космическая индустрия
- Программирование, Python, Обучение
- Технологии искусственного интеллекта
- Технологии, Дизайн, iOS
- Программирование, DevOps, Kubernetes
- Социальные сети и пропаганда
- Корпоративная этика
- Управление IT-инфраструктурой
- Здоровье и медицина
- Медицина
- Медицинская промышленность
- Разработка и дизайн
- Искусственный интеллект, Диагностика систем
- Образование и психология
- Технологии, Автомобильная промышленность
- Автомобили и путешествия
- Астрономия и космология
- Программирование и технологии
- IT, работа в офисе, эмоциональный интеллект
- Компьютерная техника
- Здоровье и благополучие
- Управление персоналом
- Политика и управление
- Бизнес и экономика
- Социальные сети, Пропаганда, Информационная безопасность
- Технологии и автоматизация
- Геймдизайн
- Экология и технологии
- CRM-системы, IT-инфраструктура
- Права человека
- Цифровая цензура, свобода слова, технологии
- Технологии, Искусственный интеллект, Работа
- Наука о данных
- Астрономия, Наука
- Интернет и цифровые технологии
- Технологии, управление
- Интернет и связь
- Технологии и конфиденциальность
- Интернет и свобода слова
- Психология и социальные науки
- Книги и литература
- Работа и карьера
- Финансовые технологии
- Психология и саморазвитие
- IT, программирование, сети
- Технологии, Видеоигры
- Экология и энергетика
- Космонавтика
- Медицина и технологии
- Игры и развлечения
- Музыкальная индустрия
- Логистика и складирование
- Бизнес и финансы
- Экология и окружающая среда
- Правозащита
- Социальные сети и дезинформация
- Технологии и рынок труда
- Технологии, Искусственный интеллект, Рынок труда
- Технологии и будущее
- Медицина и здоровье
- Социальные медиа
- Экология, политика, общество
- Экономика и Финансы
- Разработка игр
- Пропаганда и дезинформация
- Медицинские исследования
- Онлайн-знакомства
- Политика и СМИ
- Энергетика и электромобили
- Климатические изменения
- Технологии, Рынок труда
- IT и управление данными
- Безопасность и кибербезопасность
- Интернет-технологии
- Психология и личностное развитие
- Технологии, Мессенджеры
- Цифровые технологии
- Здоровье и самосовершенствование
- Технологии и AI
- Технологии и спорт
- IT, Разработка программного обеспечения
- Экология и климат
- Космос и технологии
- Юридическая сфера
- Безопасность в интернете
- Программирование, Искусственный Интеллект, Качество ПО
- Технологии и мессенджеры
- Социальная справедливость
- Технологическая индустрия
- Личностное развитие, Time-менеджмент, Психология
- Бизнес и менеджмент
- Технологии, Микросхемы, Автономные системы
- Фриланс и предпринимательство
- Социальные сети и искусственный интеллект
- Криминальные дела
- Социальные сети, Маркетинг
- Энергетика и экология
- Технологии, Искусственный Интеллект, Полиция
- Программирование, Искусственный интеллект, Рынок труда
- Социальные сети, дезинформация, анализ данных
- Потребительские права
- Образование и наука
- Технологии и правосудие
- Технологии, Безопасность, Автомобили
- Энергетика и окружающая среда
- Личностное развитие
- Технологии и экономика
- Медиа и коммуникации
- Миграция и иммиграция
- Личностный рост
- Налоговая система
- Медиа и телевидение
- Интернет и телекоммуникации
- Технологии, Кибербезопасность
- Здоровье
- Социальные сети и карьера
- Политика и инфраструктура
- Предпринимательство
- Промышленность программного обеспечения
- СМИ и коммуникации
- Медиа и Общество
- Медицина и генетика
- Веб-разработка и дизайн
- Технологии, процессоры
- IT-индустрия
- Кинопроизводство и технологии
- Транспорт
- Текстовый анализ
- Технологии, дизайн интерфейсов
- Офисные приложения
- Технологии, Онлайн-сервисы
- Медицина и биотехнологии
- Общество и технологии
- Экономика и рынок труда
- Искусственный интеллект, программирование, аналитика
- Технологии, следствие
- Сетевые технологии
- Технологии и веб-разработка
- Программирование, Обучение, Практика
- Коммуникации и ИТ
- Технологии, Карьера, Экономика
- Технологии и транспорт
- Здравоохранение и медицина
- Технологии, Государственное управление
- IT-безопасность
- IT и разработка
- Финансы и экономика
- Социальные сети, Общество, Сообщества
- IT-разработка
- СМИ и политика
- Конфиденциальность и безопасность
- Экономика и политика
- Технологии и общественная жизнь
- Бизнес и этика
- Безопасность и защита информации
- Технологии, бизнес
- Интернет и цензура
- Государственное регулирование
- Игры, Технологии
- Технологии и оптимизация
- Технологии ИИ и машинного обучения
- Технологии, IT, карьера
- IT и программное обеспечение
- Право и преступность
- Криминал и Правоохранительные Органы
- Технологии и энергетика
- Нефтяная промышленность
- Социальные конфликты
- Преступность и безопасность
- Таможенная очистка
- Медиа и журналистика
- Технологии и разработка приложений
- Телекоммуникации
- Консалтинг и управление
- Управление человеческими ресурсами
- Онлайн-контент
- Психология и психотерапия
- Морская отрасль
- Психология и технологии
- Социальные проблемы
- Маркетинг и реклама
- Политика и власть
- Экономика и торговля
- Карьера и развитие
- Продуктивность и Управление Временем
- Технологии, Искусственный интеллект, Реклама
- Окружающая среда
- Здоровье и технологии
- Бытовая химия
- Правовая информация
- Юстиция
- Технологии и экология
- Социальные сети и безопасность
- Базы данных
- Политика и государственное управление
- Интернет и социальные сети
- Индустрия IT
- Технологии и программное обеспечение
- История и искусственный интеллект
- Рестораны и обслуживание
- Технологии и программирование
- Социология
- Телевидение и СМИ
- Психология
- Политика и бизнес
- Мобильные устройства
- Технологии и развлечения
- Экология и охрана окружающей среды
- Маркетинг и брендинг
- Медицинская индустрия
- Кибербезопасность и технологии
- Социальные сети и политика
- Развлечения
- ИТ и автоматизация
- Криптовалюты и блокчейн
- История и идеология
- Медицина и политика
- Личная жизнь миллиардеров
- Образование и Политика
- Туризм и отдых
- Психология и искусственный интеллект
- Удаленная работа и производительность
- Выживание
- Управление командами
- Разработка
- Международная торговля
- Корпоративная ответственность
- Социальные сети и общество
- Управление серверами
- Индустрия компьютерных игр
- Политика и климат
- Онлайн-игры
- Медицинская отрасль
- Искусственный интеллект и технологии
- Религия и мораль
- Путешествия
- Социальные сети и информация
- Технологии и медиа
- Технологии и свобода
- Электронная коммерция
- Бизнес и управление
- Психическое здоровье и технологии
- Технологии и устойчивое развитие
- Технологии и социальные сети
- Профессии
- Экономика и промышленность
- Технологии и трудоустройство
- Иммиграционная политика
- Продуктивность и фокус
- Технологии и робототехника
- Свобода слова
- Психология и власть
- Социальные сети и онлайн-платформы
- Технологии и Права Человека
- СМИ и журналистика
- Окружающая среда и здоровье
- Технологии и сервисы
- Индустрия игр
- Программирование и ИИ
- Медиа и пропаганда
- Социальная сфера
- Социальные сети и общественное мнение
- Поп-культура
- Сервисы потокового вещания
- Рынок развлечений
- Социальные медиа и политика
- Технологии и информация
- Медиа и развлечения
- Квантовая криптография
- Искусственный интеллект в индустрии развлечений
- Технологии и коммуникация
- Индустрия программирования
- Финансовая безопасность
- Международные отношения
- Бизнес и лидерство
- Технологические новости и аналитика
- Программное обеспечение и технологии
- Предпринимательство и малый бизнес
- Политика и общественный контроль
- Здравоохранение и политика
- Управление персоналом и эффективность разработки
- Технологии и ИТ‑управление
- Свобода слова и дезинформация
- Веб-дизайн и разработка
- Веб‑разработка и карьера
- Культура и общество
- Цифровые права и свобода слова
- Безопасность и искусственный интеллект
- Технологии и искусство
- Мобильные приложения
- Продуктивность
- Космические технологии и безопасность
- Технологические тренды и экономика
- Безопасность и конфиденциальность
- Продуктивность и личная эффективность
- Веб‑скрейпинг и автоматизация
- Политика и социальные сети
- Политика и безопасность
- Медиа и информационное пространство
- Медицина и Психология
- Интернет‑культура и медиа
- Технологии и разработка
- Сociety
- Развитие интеллекта и профессиональные навыки
- Linux, программирование