?企業(yè)的員工通常希望使用最好的工具來(lái)完成他們的工作。對(duì)于大多數(shù)員工來(lái)說(shuō)，這通常意味著使用在線SaaS應(yīng)用程序，但這些應(yīng)用程序和工具可能沒(méi)有得到企業(yè)IT部門的批準(zhǔn)和許可。許多員工正在使用影子IT(或者現(xiàn)在更多地稱之為“業(yè)務(wù)主導(dǎo)的IT”)來(lái)描述采用未經(jīng)企業(yè)IT團(tuán)隊(duì)批準(zhǔn)的技術(shù)。隨著SaaS應(yīng)用程序數(shù)量的增加，員工自然而然地采用了大量的在線工具，如今的大部分影子IT都是SaaS應(yīng)用程序。盡管各行業(yè)的企業(yè)IT團(tuán)隊(duì)盡了最大努力，但影子IT的應(yīng)用不但沒(méi)有減少，而且一直在增加，并且接近合法化，最終成為一種可以提供競(jìng)爭(zhēng)優(yōu)勢(shì)的可行IT戰(zhàn)略。

由于存在安全風(fēng)險(xiǎn)，企業(yè)采用的傳統(tǒng)策略通常是阻止員工采用各種形式的影子IT。然而，各種影子IT面臨的風(fēng)險(xiǎn)并不相同，而且企業(yè)對(duì)這些影子IT記錄在案的好處是，允許員工獲得他們認(rèn)為是其最佳工作工具的技術(shù)。因此，對(duì)于企業(yè)的首席信息官和首席信息安全官來(lái)說(shuō)，與阻止影子IT的策略相比，更好的策略是實(shí)施工具來(lái)設(shè)置適當(dāng)?shù)陌踩o(hù)欄來(lái)控制它，以確保員工采用符合企業(yè)安全和合規(guī)政策的工具。

根據(jù)調(diào)查和研究，以下五個(gè)步驟的框架在幫助企業(yè)創(chuàng)建安全可行的安全框架方面非常有效。

1、發(fā)現(xiàn)影子IT

控制影子IT的第一步是識(shí)別，以全面了解影子IT在企業(yè)中的流行程度。許多影子IT是一種即服務(wù)，甚至硬件技術(shù)也幾乎總是采用SaaS組件來(lái)運(yùn)行它。大多數(shù)企業(yè)將云訪問(wèn)安全代理(CASB)用于SaaS發(fā)現(xiàn)和安全性，但經(jīng)常收到員工的反饋，表示云訪問(wèn)安全代理(CASB)干擾太大。它們?cè)谑占瘮?shù)據(jù)和識(shí)別誰(shuí)去哪個(gè)網(wǎng)站方面做得很好，然而不擅長(zhǎng)發(fā)現(xiàn)員工正在使用的新的SaaS應(yīng)用程序。數(shù)據(jù)可能在那里，但分析師通常必須做額外的工作來(lái)確定是否是已創(chuàng)建的帳戶，特別是如果用戶使用的是本地用戶憑據(jù)而不是身份提供者。如果可以將相關(guān)數(shù)據(jù)呈現(xiàn)給分析師，這樣他們只需要采取行動(dòng)并實(shí)現(xiàn)所需的安全結(jié)果。

發(fā)現(xiàn)影子IT的解決方案是選擇一種自動(dòng)化工具或方法并提供正確的觸發(fā)器，也就是使用其他身份和訪問(wèn)管理(IAM)解決方案之外的業(yè)務(wù)憑證創(chuàng)建帳戶。將所有這些信息記錄在日志中或者必須定期合并數(shù)據(jù)，這種做法肯定是一個(gè)注定要失敗的過(guò)程。

2、優(yōu)先考慮降低影子IT的風(fēng)險(xiǎn)

企業(yè)永遠(yuǎn)不知道員工什么時(shí)候會(huì)獲得技術(shù)，會(huì)面臨哪些問(wèn)題?？梢源_定的是，企業(yè)的員工將會(huì)獲得并開始使用不斷出現(xiàn)的新技術(shù)。根據(jù)企業(yè)的員工數(shù)量，它可以從每周幾個(gè)到幾十甚至幾百個(gè)不等?？紤]到影子IT進(jìn)入企業(yè)的數(shù)量，由于面臨不同的風(fēng)險(xiǎn)，優(yōu)先級(jí)變得極為重要。

優(yōu)先考慮風(fēng)險(xiǎn)緩解是關(guān)鍵的步驟。企業(yè)不能采取一些固定的模式和方法來(lái)降低影子IT的風(fēng)險(xiǎn)，因?yàn)樗鼈円苍诓粩喟l(fā)生變化。一項(xiàng)技術(shù)對(duì)企業(yè)構(gòu)成的風(fēng)險(xiǎn)程度超出了供應(yīng)商是否獲得了SOC2或ISO27001等行業(yè)認(rèn)證。這些認(rèn)證很常見，甚至初創(chuàng)公司現(xiàn)在也正在接受這些認(rèn)證。與其關(guān)注供應(yīng)商控制的風(fēng)險(xiǎn)，不如根據(jù)以下因素評(píng)估風(fēng)險(xiǎn)，例如：

• 員工是否了解企業(yè)關(guān)于使用購(gòu)買和使用技術(shù)、軟件或SaaS的安全和風(fēng)險(xiǎn)政策?
• 是否會(huì)使用任何敏感、機(jī)密或受監(jiān)管的數(shù)據(jù)?
• 在業(yè)務(wù)組織中，是誰(shuí)批準(zhǔn)了該技術(shù)的使用?
• 該技術(shù)將與哪些系統(tǒng)集成?
• 任何非員工都會(huì)成為這項(xiàng)技術(shù)的用戶嗎?
• 企業(yè)里還有多少其他用戶?

3、保護(hù)影子IT帳戶

保護(hù)影子IT往往說(shuō)起來(lái)容易做起來(lái)難。假設(shè)能夠在某個(gè)位置或網(wǎng)絡(luò)上找到物理設(shè)備，則很簡(jiǎn)單。但軟件(幾乎都是SaaS)要困難得多，因?yàn)榭梢詮耐泄茉O(shè)備上的企業(yè)網(wǎng)絡(luò)或使用非托管設(shè)備從不同位置訪問(wèn)它。SaaS安全產(chǎn)品(例如CASB)假設(shè)可以控制網(wǎng)絡(luò)、身份或設(shè)備，但現(xiàn)實(shí)情況是可能無(wú)法控制其中的任何一個(gè)。

保護(hù)SaaS的最佳方法是在認(rèn)為SaaS帳戶違反企業(yè)政策或員工不再在企業(yè)工作時(shí)鎖定SaaS帳戶本身。取消配置帳戶本身仍然是可取的措施，但保護(hù)它以便沒(méi)有人可以訪問(wèn)該帳戶是關(guān)鍵的第一步。

4、協(xié)調(diào)跨控制點(diǎn)的安全性，降低影子IT的風(fēng)險(xiǎn)

一旦影子技術(shù)得到保護(hù)，下一步就是通過(guò)其他安全點(diǎn)來(lái)協(xié)調(diào)該應(yīng)用程序的保護(hù)。例如，如果SaaS應(yīng)用程序被認(rèn)為風(fēng)險(xiǎn)太大，那么企業(yè)中的這個(gè)應(yīng)用程序的每個(gè)用戶都應(yīng)該停止使用。作為額外的安全層，企業(yè)可能希望阻止訪問(wèn)網(wǎng)絡(luò)上的SaaS站點(diǎn)或在每次有人創(chuàng)建新帳戶時(shí)設(shè)置警報(bào)。

當(dāng)來(lái)自威脅情報(bào)源或第三方風(fēng)險(xiǎn)管理系統(tǒng)的數(shù)據(jù)表明SaaS應(yīng)用程序已被破壞或已在市場(chǎng)上找到憑據(jù)時(shí)，協(xié)調(diào)也很重要。憑據(jù)被泄露的用戶應(yīng)被迫檢查他們擁有的每個(gè)帳戶并重置密碼。盡管所有這些都可以通過(guò)現(xiàn)有工具以某種方式實(shí)現(xiàn)，但實(shí)際的工作流程通常沒(méi)有設(shè)計(jì)出來(lái)。具有開箱即用自動(dòng)化的SaaS安全產(chǎn)品在確保安全團(tuán)隊(duì)統(tǒng)一控制點(diǎn)、分析、遙測(cè)和操作以保護(hù)和控制影子SaaS方面有很大的幫助。

5、安全地接受影子IT

無(wú)論如何努力，影子SaaS都會(huì)繼續(xù)增長(zhǎng)。在許多方面，這就像現(xiàn)在大多數(shù)企業(yè)的標(biāo)準(zhǔn)自帶設(shè)備(BYOD)的發(fā)展趨勢(shì)一樣。隨著消費(fèi)技術(shù)變得與企業(yè)產(chǎn)品一樣強(qiáng)大，工作人員發(fā)現(xiàn)使用消費(fèi)設(shè)備工作變得更容易、更方便。企業(yè)最終將會(huì)讓步，并且采用旨在支持BYOD的產(chǎn)品，因?yàn)楂@得的收益超過(guò)了成本。

同樣的事情也發(fā)生在影子IT上，更具體地說(shuō)是SaaS。員工不再需要IT團(tuán)隊(duì)的幫助或許可來(lái)購(gòu)買功能更強(qiáng)大的應(yīng)用程序。他們只需要采用一個(gè)電子郵件地址和自己的信用卡，通常使用可以升級(jí)的免費(fèi)帳戶。IT和安全團(tuán)隊(duì)需要承認(rèn)這些好處并創(chuàng)建一個(gè)框架，讓員工在工作中使用正確的工具，同時(shí)對(duì)企業(yè)技術(shù)和數(shù)據(jù)進(jìn)行更好的治理和控制。