Статті

Як взяти під контроль тіньові ІТ-процеси та знизити ризики кібербезпеки

17 июня, 2022. 09:06 За матріалами Oberig IT
У наші дні ІТ-відділам необхідно відстежувати дедалі більше пристроїв та облікових записів. Адже втрата контролю над послугами, якими користуються співробітники – може призвести до появи тіньових ІТ-процесів і, як наслідок, серйозних помилок у забезпеченні безпеки та зайвих витрат.

Ця стаття містить огляд тіньових процесів ІТ, а також стратегій запобігання проблемам, пов’язаним з ними, та способам зниження ризиків безпеки.

Що таке тіньове ІТ-середовище? Просте визначення

Тіньове ІТ-середовище – це невідомі, некеровані системи, якими користуються співробітники і які не потрапляють у поле зору ІТ-відділів та служб безпеки.

Тіньові ІТ-системи можуть набувати різних форми – хмарні акаунти, програми для обміну повідомленнями, ноутбуки і т.п.

Організації, що працюють з тіньовими ІТ-системами, залишають відчинені двері для кібератак і підвищують ризики крадіжки даних. Це може призвести до фінансових втрат, погіршення репутації, інших небажаних наслідків.

Тіньові ІТ-системи стають все гострішою проблемою для організацій всіх розмірів.

За даними Everest Group, тіньові ІТ-витрати становлять 50% від загальних ІТ-витрат на великих підприємствах.

Які основні причини виникнення ризиків, пов’язаних з тіньовими ІТ-ресурсами?

Тіньові ризики ІТ-безпеки можуть бути викликані безліччю різних причин. Маючи це на увазі, розглянемо деякі приклади тіньових ІТ-систем, з якими часто стикаються компанії.

1. Робота у віддаленому та гібридному форматі

Сьогодні бізнес-користувачам потрібні спеціальні інструменти та сервіси, щоб залишатися продуктивними у віддалених та гібридних середовищах.

Для підвищення продуктивності часто використовують різні рішення для обміну текстовими повідомленнями, спільної роботи, спільного використання екрана, обміну даними і т.д.

Більше того, працівники часто мають адміністративний доступ до локальних робочих станцій та додатків. Якщо кіберзлочинець отримає доступ до пристрою з правами локального адміністратора, він зможе використовувати цей доступ для крадіжки паролів, встановлення шкідливого програмного забезпечення та витоку даних. Вони можуть навіть підвищити свої привілеї, щоб отримати доступ до ширшого ІТ-середовища.

2. Під’єднані пристрої

У працівників також можуть бути підключені домашні пристрої, які з’єднуються з їхніми робочими пристроями – розумні колонки, монітори та домашні принтери.

Всі вони зазвичай потребують програмного забезпечення для керування, налаштування та використання. Вони також мають обмежену кількість оновлень програмного забезпечення. Це часто призводить до появи застарілого та непропатченого програмного забезпечення, що робить віддалених співробітників незахищеними та вразливими для нових атак.

3. Некеровані браузери

Більшість робочих процесів зараз відбувається через інтернет-браузери, і у більшості користувачів сьогодні на комп’ютері запущено як мінімум два або більше браузерів. На жаль, більшість організацій не керують браузерами, що створює серйозну “сліпу зону” безпеки.

Браузери часто пропонують користувачам зберегти конфіденційні облікові дані, паролі та інформацію про кредитні картки. Зловмисники можуть скористатися цією важливою інформацією та отримати доступ до приватних систем та баз даних або зробити шахрайські платежі від імені компанії.

4. Програми для підвищення продуктивності

Користувачі часто звертаються до сторонніх програм для виконання завдань, не запитуючи дозволу ІТ-відділу. Ці програми можуть бути з Google Play або App Store або працювати через браузер. Програми, завантажені та встановлені без перевірки ІТ-відділу, можуть містити вразливість системи безпеки. Вони можуть не мати засобів контролю безпеки або оновлюватися не так часто, як належить, що з часом збільшує тіньовий ІТ-ризик (ризик злому).

Коли співробітники використовують тіньові ІТ-додатки, конфіденційні дані можуть зберігатися у всіляких сховищах, що може наразити на небезпеку всю вашу організацію або, принаймні, приховати бізнес-аналітику від інших співробітників.

У той же час, програмне забезпечення може мати конфліктуючі моделі безпеки, які не відповідають корпоративним політикам контролю доступу або використання даних. Наприклад, працівник у сфері охорони здоров’я може завантажити програму, яка не відповідає вимогам HIPAA. Це може зазнати ризику конфіденційних даних пацієнтів і призвести до потенційних штрафів і санкцій для організації.

5. Швидкі виробничі цикли

Розробники та команди DevOps знаходяться під тиском необхідності працювати швидко і ефективно. Проте часто жертвують безпекою заради швидкості, що збільшує ризик тіньової ІТ-безпеки.

Наприклад, розробники можуть запустити у хмарі свої екземпляри і так само швидко зникнути. Коли це відбувається, дані можуть продовжувати жити у хмарі без відома ІТ-відділу або служби безпеки.

Тіньові ІТ-політики допомагають отримати зловмисний доступ

Простіше кажучи, якщо ви не надасте користувачам доступу до безпечних інструментів та безперешкодних робочих процесів, вони можуть взяти справу у свої руки та самостійно шукати рішення. З цієї причини ІТ-відділи та служби безпеки повинні діяти обережно та балансувати між вимогами безпеки, конфіденційності та потребами продуктивності.

Для бізнес-користувачів

Для бізнес-користувачів використовуйте менеджери паролів корпоративного рівня, такі як Secret Server, що безпечніше, ніж менеджери паролів споживчого класу чи зберігання паролів у браузері.

– Використовуйте Browser Password Discovery Tool для виявлення паролів, що зберігаються у браузері серед користувачів Active Directory.

– Зміцніть контроль за допомогою рішень для контролю програм на основі політик, таких як Privilege Manager. Таким чином, ви зможете автоматично перевіряти програми, які користувачі хочуть завантажити, на відповідність спискам довірених програм та останнім даними про загрози в підозрілих програмах. Ви можете помістити в “пісочницю” будь-який невідомий, ненадійний додаток для подальшої перевірки перед тим, як надати користувачам доступ.

– Використовуйте засіб виявлення з найменшими привілеями, щоб виявити, які програми, що вже знаходяться у вашій мережі, є шкідливими або небезпечними.

Для розробників та команд DevOps

– Підключіть інструменти керування доступом до привілеїв процесу DevOps. Надайте розробникам привілеї для доступу до хмари та інструментальних ланцюжків CI/CD з швидкістю, яка їм необхідна, і в той же час забезпечте надійність, необхідну для більш жорсткого контролю над середовищем.

Для обох груп важливо не допустити тертя у робочих процесах. У цьому випадку інструменти безпеки доцільно тримати у фоновому режимі невидимим керуванням привілейованим доступом. Завдяки такому підходу бізнес-користувачі, розробники і навіть системні адміністратори можуть виконувати свою роботу, не переймаючись запам’ятовуванням паролів, не кажучи вже про їх оновлення. Насправді їм навіть не потрібно бачити паролі, оскільки все управління відбувається автоматично.

Що таке «технічний борг» і як він пов’язаний із тіньовими ІТ?

Тіньові ІТ-процеси пов’язані не тільки з бізнес-користувачами та розробниками, які працюють поза рамками ІТ-безпеки. ІТ-команди можуть бути джерелом проблем із тіньовими ІТ-процесами, коли вони не працюють узгоджено.

Відсутність координації сприяє виникненню «технічного боргу», який накопичується, коли команди беруть нові інструменти як просте рішення, замість витратити час, зусилля та капітал на довгострокову перспективу.

Наприклад, ІТ-відділ може пропустити нормальну процедуру перевірки безпечної роботи віддалених працівників.

Багато ІТ-відділів приймають короткострокові рішення щодо ІТ-завдань, розгортаючи одноцільові інструменти, щоб допомогти співробітникам підвищити продуктивність та працездатність компанії.

Вони часто купують кілька розрізнених продуктів або приймають швидкі короткострокові рішення, які збільшують технічний борг компанії.

Які витрати та ризики «технічного боргу»?

Технічний борг може бути дуже витратним для організації, що робить його великою проблемою для компаній із жорстким бюджетом та обмеженими ресурсами.

Деякі з початкових короткострокових витрат, пов’язаних з технічним боргом, включають великі витрати на оновлення, обслуговування, навчання та модернізацію.

У той самий час інструменти, зазвичай, розрізнені і залежать від користувачів. Вони також постачаються з обмеженими можливостями інтеграції.

Залежними від користувача системами також може бути дуже важко управляти масштабом, і про них легко забути. Наприклад, хтось може встановити систему, а потім піти на іншу роботу. Коли це відбувається, легко втратити уявлення про те, навіщо потрібна система та звідки вона взялася.

Як ІТ-відділ може скоротити “технічний борг” для зниження тіньових ІТ-ризиків?

Щоб ефективно скоротити «технічний борг», важливо мислити стратегічно та приймати рішення, що відповідають довгостроковим цілям компанії.

Також важливо забезпечити кібербезпеку на перспективу та відмовитися від точкових рішень на користь багатофункціональних технологій, які можуть розвиватися разом із бізнесом та згодом підвищувати його цінність.

Зрештою, інтеграція та автоматизація можуть відіграти важливу роль у скороченні «технічного боргу» та тіньових ІТ за одночасного підвищення безпеки. Для отримання додаткової інформації про те, що ви можете зробити для захисту свого ІТ-середовища та забезпечення безпеки конфіденційних даних, ознайомтесь з контрольним списком рекомендацій щодо хмарної безпеки.

З питань проведення індивідуальної демонстрації, пілотного тестування рішення Delinea і організації партнерських тренінгів звертайтеся, будь ласка: [email protected], +38 099 427 94 04.

Джерело: https://bit.ly/3xjNHFM

 

Материалы по теме:
Комментарии: