NCSC Великобритании публикует новое руководство по теневым ИТ
5 августа 2023 г.В новой публикации Национального центра кибербезопасности Великобритании содержится руководство для организаций, занимающихся теневыми ИТ, которые в большинстве случаев являются результатом незлонамеренных намерений сотрудников.
Перейти к:
- Что такое теневые ИТ и почему это вызывает растущую озабоченность?
Что приводит к теневым ИТ?
Какие существуют типы теневых ИТ?
Как вы можете смягчить теневые ИТ?
Что такое теневые ИТ и почему это вызывает растущую озабоченность?
Теневые ИТ — это использование технологических систем, программного обеспечения, приложений и услуг внутри организации без явного одобрения, ведома или контроля со стороны ИТ-отдела или официальной ИТ-политики организации. Иногда это называют «серыми ИТ».
Теневые ИТ увеличились за последние годы по ряду причин. Во-первых, британская компания по управлению услугами Core сообщает, что количество теневых ИТ выросло на 59% из-за COVID-19. Кроме того, рост использования облачных технологий значительно увеличил количество теневых ИТ. По данным Cisco, облачные сервисы стали самой большой категорией теневых ИТ, поскольку все больше сотрудников чувствуют себя комфортно, устанавливая и используя различные облачные приложения, не сообщая об этом своему ИТ-отделу.
Согласно отчету платформы анализа активов Sevco Security, примерно 20% ИТ-активов невидимы для групп безопасности организации.
Риски, связанные с теневыми ИТ, в основном связаны с возможностью кражи конфиденциальных корпоративных данных и заражения вредоносным ПО, что может привести к краже данных или кибершпионажу. Заражение теневого ИТ-компонента может привести к утечке учетных данных и компрометации всей компании.
Что приводит к теневым ИТ?
Как пишет NCSC, теневые ИТ редко являются результатом злого умысла, а скорее из-за того, что «сотрудники изо всех сил пытаются использовать санкционированные инструменты или процессы для выполнения конкретной задачи». Некоторые пользователи также не осознают, что использование устройств или инструментов «программное обеспечение как услуга», управляемых лично, может представлять риск для их организации.
Одними из наиболее распространенных причин, ведущих к теневым ИТ, являются нехватка места для хранения, невозможность эффективного обмена данными с третьей стороной и отсутствие доступа к необходимым услугам или тем, которые могли бы облегчить профессиональную задачу.
Каковы различные примеры теневых ИТ?
Часть теневых ИТ-ресурсов находится в неуправляемых устройствах, которые часто развертываются в корпоративной среде без одобрения ИТ-отдела. Это могут быть личные устройства сотрудников (например, цифровые помощники и устройства IoT) или виртуальные машины подрядчиков.
Как заявил NCSC, любое устройство или служба, которые не были настроены организацией, вероятно, не будут соответствовать требуемым стандартам безопасности и, следовательно, будут создавать риски (например, внедрение вредоносного ПО) повреждения сети.
Неуправляемые сервисы из облака также составляют часть теневых ИТ. Этими услугами могут быть:
- Услуги видеоконференцсвязи без приложений мониторинга или обмена сообщениями.
Внешние облачные хранилища, используемые для обмена файлами с третьими лицами или для работы из дома с использованием неавторизованного устройства.
Услуги по управлению проектами или планированию, используемые в качестве альтернативы корпоративным инструментам.
Исходный код хранится в сторонних репозиториях.
Как вы можете смягчить теневые ИТ?
NCSC пишет, что «всегда вы должны активно пытаться ограничить вероятность того, что теневые ИТ могут быть или будут созданы в будущем, а не просто обращаться к существующим экземплярам».
Поскольку большинство теневых ИТ возникает из-за незлонамеренных намерений сотрудников, которые хотят эффективно выполнять свою работу, организациям следует стараться предвидеть потребности персонала для предотвращения теневых ИТ.
Следует внедрить процесс обработки всех запросов сотрудников в отношении необходимых им устройств, инструментов и услуг, чтобы их не поощряли к внедрению собственных решений. Вместо этого сотрудники должны чувствовать, что их работодатель пытается помочь им и удовлетворить их профессиональные потребности.
Компании должны предоставлять сотрудникам быстрый доступ к услугам, которые могут быть за пределами регулярного использования, контролируемым образом.
Настоятельно рекомендуется развивать в организациях хорошую культуру кибербезопасности. О проблемах, связанных с политикой или процессами организации, которые мешают сотрудникам работать эффективно, следует сообщать открыто.
ПОСМОТРЕТЬ: Политика теневого ИТ TechRepublic Premium
Что касается технических мер по смягчению последствий, для более крупных организаций следует использовать системы управления активами. В идеале эти системы смогут обрабатывать ключевую информацию, такую как физические данные об устройствах, данные о местоположении, версию программного обеспечения, информацию о владении и подключении. Кроме того, платформы управления уязвимостями помогают обнаруживать новые активы, подключающиеся к корпоративной среде.
Унифицированные инструменты управления конечными точками могут использоваться, если они правильно развернуты, для обнаружения устройств, подключающихся к сети, которые не принадлежат организации. Слабым местом здесь является то, что подключение множества различных классов устройств может быть очень ресурсоемким для крупных организаций.
Сетевые сканеры могут использоваться для обнаружения неизвестных хостов в сети, но их использование следует тщательно контролировать. Компании должны разработать процесс, подробно описывающий, кто и как может получить доступ к сканерам, поскольку эти инструменты имеют привилегированный доступ для сканирования целых сетей. Если злоумышленники скомпрометируют часть сети, они захотят расширить компрометацию, найдя новые хосты.
Брокеры безопасности облачного доступа — это важные инструменты, которые позволяют компаниям обнаруживать облачные службы, используемые сотрудниками, путем мониторинга сетевого трафика. Эти инструменты часто являются частью пограничного решения службы безопасного доступа.
Раскрытие информации: я работаю в Trend Micro, но мнения, выраженные в этой статье, принадлежат мне.
Оригинал