影子IT是指企業(yè)員工使用沒有經IT批準的應用程序，企業(yè)很清楚影子IT帶來的危害，但他們并沒有意識到在云計算和BYOD時代這個問題的嚴重程度。調查顯示，企業(yè)超過85%的云應用程序沒有經過IT部門批準。

[[128402]]

安全供應商CipherCloud對其企業(yè)客戶的云計算使用數(shù)據(jù)進行了分析，結果發(fā)現(xiàn)，平均而言，北美企業(yè)使用大約1245款云應用程序。在這個數(shù)字中，86%的應用程序是未經IT部門批準的應用程序，并且員工從企業(yè)內部網絡訪問這些應用程序。

CipherCloud公司云安全全球主管Willy Leichter表示，這個數(shù)據(jù)突出了企業(yè)內影子云問題的嚴重程度。雖然企業(yè)通常知道企業(yè)內運行著未經批準的應用程序，但他們并不知道這種情況有多么廣泛。

Leichter表示：“很多人不知道影子IT的范圍。”有些企業(yè)內未經批準的應用程序的實際數(shù)量是IT經理所估計的數(shù)量的幾倍。例如，他指出，有家企業(yè)預計會找到10到15款未經批準的云計算應用程序用于文件共享目的，而實際情況是，員工正在使用70款這樣的應用程序。

對于這項研究，CipherCloud定義云應用程序為云托管服務，需要用戶輸入用戶名和密碼來訪問。這種應用程序的例子包括社交媒體服務(例如LinkedIn和Twitter)，文件共享應用程序(例如DropBox和Box)、電子郵件、安全、生產力和云存儲應用程序。

CipherCloud研究表明，最常被訪問的應用程序是發(fā)布應用程序(例如WordPress和Adobe Creative Cloud)、置業(yè)服務(例如Indeed和Resumonk)以及社交媒體網絡(例如Facebook、Twitter和LinkedIn)。諷刺的是，這三種類別也被列為是三種最危險的云應用。

CipherCloud的研究表明，52%的發(fā)布云應用、42%的社交媒體應用程序和40%的職業(yè)云應用給企業(yè)構成高風險。在評估風險時CipherCloud考慮的因素包括云應用是否使用多因素身份驗證、支持數(shù)據(jù)加密、提供第三方訪問，并獲得標準認證。

對于企業(yè)內不斷增長的未經授權的應用程序使用，BYOD政策起到了重要的作用。使用個人移動設備的員工通常會使用未經批準的云應用程序來簡化他們的工作。例如，有的員工想要在家里或辦公室外面工作，他們可能會簡單地上傳文件到其移動設備支持的文件共享應用程序，只是因為這樣做更加簡單。

老化的企業(yè)技術和IT模式也促成了影子云的問題。根據(jù)普華永道的報告顯示，面對不斷增長的業(yè)績壓力，業(yè)務組和員工正在放棄其IT部門提供的應用程序，而選擇他們認為更好用的云服務。

影子IT一直是企業(yè)面對的一大技術難題，而影子云則帶來了新的風險。普華永道指出：“影子IT相關的風險在很大程度上局限在運行解決方案來支持日常工作的個人電腦。”雖然在某些企業(yè)這種使用非常普遍，但這種影響主要局限在企業(yè)網絡內。

另一方面，對于影子云服務，企業(yè)需要應對傳輸?shù)狡髽I(yè)網絡外部和公共云的信息。如果這些信息離開企業(yè)不受控制，這種分散的未知的不受監(jiān)管的活動將會對企業(yè)帶來巨大風險，特別是在那些高度監(jiān)管的行業(yè)的企業(yè)。

SANS研究所新興安全威脅主管John Pescatore表示，如果IT能夠響應業(yè)務需求，很多這種風險可以得到緩解。員工和業(yè)務部門通常會選擇滿足其需求的云服務，因為這比等待IT來提供這些服務要快得多。

Pescatore表示：“IT工作的方式是，‘我們購買一些硬件，我們可以使用三年，或者我們買了一些軟件，使用五年。’這種模式根本不可行了，如果存在協(xié)作和同步的問題，那么，人們就會走出去找到一個可用的應用程序來為他們解決問題。”

如果IT可以為用戶提供一種方式來把信息存儲在安全的位置，并讓他們可以隨時隨地訪問這些信息，用戶就沒有理由使用未經批準的應用程序，但如果IT沒有解決方案，這種事情總是會發(fā)生，你無法阻止。