NCSC публикует новое руководство по теневым ИТ

Ведущее британское агентство по кибербезопасности выпустило новое руководство для владельцев систем и технического персонала о том, как управлять теневыми ИТ в своей организации.

Теневые ИТ относятся к устройствам и службам, которые сотрудники используют для работы без ведома ИТ-отдела. Они могут включать интеллектуальные устройства, серверы, виртуальные машины, облачные хранилища и неутвержденные средства обмена сообщениями или совместной работы.

“Поскольку они не учитываются управлением активами и не согласуются с корпоративными ИТ-процессами или политикой, они представляют риск для вашей организации”, – предупреждается в документе. “Это может привести к утечке конфиденциальных данных или распространению вредоносного ПО по всей организации”.

Учитывая потенциально серьезные последствия теневых ИТ, техническим командам следует сосредоточиться на поиске мест, где они существуют в организации, и устранении их основных причин, утверждал NCSC.

“Важно признать, что теневые ИТ редко являются результатом злого умысла. Обычно это происходит из-за того, что сотрудники пытаются использовать санкционированные инструменты или процессы для выполнения конкретной задачи”, – объяснил исследователь безопасности NCSC Саймон Б.

“Если они прибегают к небезопасным обходным путям, чтобы “выполнить работу”, то это говорит о том, что существующие политики нуждаются в доработке, чтобы персонал не был вынужден использовать теневые ИТ-решения”.

Фактически, выговор персоналу за использование несанкционированных устройств или услуг может иметь серьезные неприятные последствия, предупредил NCSC.

“Если вы обвиняете или наказываете сотрудников, их коллеги не захотят рассказывать вам о своих собственных несанкционированных действиях, и у вас будет еще меньше видимости потенциальных рисков”, – добавил Саймон Б.

“По этой причине в руководстве также указывается на важность развития надлежащей культуры кибербезопасности, чтобы сотрудники могли открыто обсуждать проблемы (в том числе там, где текущая политика или процессы препятствуют их эффективной работе)”.

В документе описываются как организационные меры по смягчению последствий, так и технические решения проблемы теневых ИТ. Последнее включает средства контроля доступа к сети, управления активами, сетевых сканеров, унифицированного управления конечными точками и брокера безопасности облачного доступа (CASB).

Это руководство поможет вам лучше определить и снизить уровни ‘теневых ИТ’ в вашей организации. Оно было написано для владельцев систем и технического персонала, чтобы они могли лучше смягчать присутствие неизвестных (и, следовательно, неуправляемых) ИТ-ресурсов в своей организации.

Что такое shadow IT?

Термин ‘теневые ИТ’ (также известный как ‘серые ИТ’) относится к неизвестным активам, которые используются в организации в деловых целях. Поскольку они не учитываются управлением активами и не согласованы с корпоративными ИТ-процессами или политикой, они представляют опасность для вашей организации. Это может привести к утечке конфиденциальных данных или распространению вредоносного ПО по всей организации.

Хотя о теневых ИТ часто думают в терминах устройств, они также применимы к облачным технологиям. Например, если пользователи хранят конфиденциальные корпоративные данные в своих личных облачных аккаунтах (чтобы получить к ним доступ из другого местоположения или устройства), это также теневые ИТ, поскольку персональное облачное хранилище, вероятно, не охвачено процессом управления рисками вашей организации. У большинства организаций будет некоторый уровень теневых ИТ, но если теневые ИТ распространены, управление рисками усложняется, потому что у вас не будет полного понимания того, что вам нужно защищать и что вы цените больше всего.

Важно признать, что теневые ИТ редко являются результатом злого умысла. Обычно это происходит из-за того, что сотрудники с трудом используют санкционированные инструменты или процессы для выполнения определенной задачи, поэтому они принимают неофициальные меры, помогающие им завершить свою работу.

Некоторые распространенные причины, приводящие к теневым ИТ, включают:

недостаточно места для хранения
невозможность поделиться данными с третьей стороной
отсутствие доступа к необходимым сервисам (например, средствам разработки)
отсутствие разрешенного средства видеоконференцсвязи (или обмена мгновенными сообщениями)
невозможность запросить активы или услуги через корпоративную систему (или процесс выполнения этого является неэффективным / медленным)
одобренные инструменты или службы SaaS, не обеспечивающие требуемую функциональность
непонимание того, что использование устройств или инструментов SaaS, управляемых лично, может привести к риску

Shadow IT – это не BYOD

При эффективной политике BYOD ваша организация имеет право собственности и определенный уровень контроля над корпоративными данными и ресурсами, разрешенными на устройстве пользователя, что позволяет управлять рисками. Это не относится к теневым ИТ. Риска может и не быть, может быть критический риск. Организация просто не знает. Следовательно, теневые ИТ представляют собой неуправляемый риск.

Чему вы можете научиться у shadow IT?

Хотя существование теневых ИТ явно нежелательно, оно предоставляет вашей организации возможности для обучения. Если сотрудникам приходится прибегать к небезопасным обходным путям, чтобы “выполнить работу”, то это говорит о том, что существующие политики нуждаются в доработке, чтобы сотрудники не были вынуждены использовать теневые ИТ-решения. Специалисты по безопасности должны сосредоточиться на поиске мест, где существует shadow IT, и, по возможности, использовать его на практике, удовлетворяя основные потребности пользователей, которым shadow стремится соответствовать.

Самое главное, вы всегда должны проявлять позитивный подход и не винить людей, которые были вынуждены перейти на теневые ИТ. Если вы обвиняете или наказываете сотрудников, их коллеги не захотят рассказывать вам о своих собственных несанкционированных действиях, и вы будете еще менее осведомлены о потенциальных рисках.

Типы теневых ИТ

В этом разделе рассматриваются основные способы, которыми теневые ИТ с наибольшей вероятностью проявляются в вашей организации, и угрозы, которые это может представлять.

Неуправляемые устройства

Широко известная область теневых ИТ-технологий – несанкционированные устройства в сети. Это может включать:

персональные устройства, принадлежащие сотрудникам в основной корпоративной сети
оборудование, предоставляющее критически важную услугу, неправильно настроено
Интернет вещей или другие интеллектуальные устройства, которые сотрудники внедрили без разрешения службы безопасности (умные дверные звонки, цифровые помощники, принтеры и т.д.)
точки доступа Wi-Fi для обеспечения покрытия или типов доступа, которые организация не предоставила
серверы или виртуальные машины, привлеченные сотрудником (или подрядчиком) для предоставления услуги без согласования

Любое устройство или служба, которые не были настроены вашей организацией, вероятно, не будут соответствовать требуемым стандартам безопасности и могут нанести ущерб сети и вашим службам (например, путем внедрения вредоносного ПО). Они также могут быть добавлены в ботнеты или стать криптомайнерами, нанося дополнительный ущерб.

Неуправляемые сервисы

Менее понятны теневые облачные сервисы. Это может включать:

неутвержденные службы обмена сообщениями или видеоконференцсвязи без мониторинга
внешние облачные службы хранения данных для обмена файлами с третьими сторонами (или для того, чтобы сотрудники могли работать из дома, используя несанкционированное устройство)
использование сторонних инструментов, которые могут собирать корпоративную информацию
неуправляемые облачные сервисы, используемые разработчиками в качестве тестовых сред
услуги по управлению проектами или планированию, используемые в качестве альтернативы корпоративным инструментам
код, хранящийся в неуправляемых репозиториях

Угрозы, исходящие от shadow IT

Теневые ИТ могут представлять угрозы, отсутствующие в корпоративных ИТ. Это может включать:

1

Кража данных

Многие средства контроля, которые организации применяют к устройствам и службам (такие как шифрование и внесение в список разрешенных / запрещенных), вряд ли будут эффективно применяться в теневых ИТ. Защита данных вызывает беспокойство, поскольку вы не можете быть уверены, где находятся ваши данные, где они обрабатываются или где они заканчиваются. Если у вас нет контроля над службами, обрабатывающими данные (или устройствами, на которых хранятся данные), вы не можете быть уверены, что создаются соответствующие резервные копии. Это может подвергнуть организацию угрозе программ-вымогателей, юридическим проблемам, связанным с обработкой данных, ущербу репутации и затратам на восстановление.
2

Эксплуатация сервисов или устройств

Такие элементы управления, как хорошо настроенные брандмауэры, список разрешенных приложений, антивирусное программное обеспечение и многофакторная аутентификация (MFA), могут помочь снизить риск компрометации. Для shadow IT вы не можете предполагать, что эти элементы управления на месте. Это относится не только к традиционным рабочим устройствам (таким как телефоны, ноутбуки и ПК), но и к встроенным устройствам с подключением к Интернету, которые были настроены (например) менеджером здания. Это может подвергнуть организацию угрозам со стороны вредоносных программ (включая программы-вымогатели), сетевого мониторинга и бокового перемещения.

Меры по смягчению последствий для теневых ИТ

В любое время вы должны активно пытаться ограничить вероятность того, что теневые ИТ могут или будут созданы в будущем, а не просто обращаться к существующим экземплярам.

Организационные меры по смягчению последствий

Важно повторить, что большинство теневых ИТ, как правило, не являются результатом преднамеренного нарушения правил, скорее результатом попыток персонала ‘выполнить свою работу’ там, где оборудование и услуги, предоставляемые корпорацией, неадекватны. Во многих случаях сотрудники могут не осознавать, что подвергают организацию риску.

Более конкретно, организациям следует:

Избегайте ненужных блокировок корпоративных ИТ-технологий, таких как предотвращение внешней совместной работы с облачным хранилищем или отсутствие платформы обмена мгновенными сообщениями. Если вы можете предвидеть потребности своих пользователей, возможно, вам удастся предотвратить запуск теневых ИТ.
Внедрите эффективный и простой процесс удовлетворения запросов пользователей, который следует внедрить как можно быстрее. Опять же, если пользователи не чувствуют, что их потребности удовлетворяются оперативно, это побуждает их внедрять собственные решения.
Внедрите процессы, с помощью которых пользователи могут быстро получить контролируемый доступ к службам, которые могут выходить за рамки обычно доступных, и которые при необходимости могут быть поставлены под все более жесткий контроль.
Внедрите процессы, которые могут поставить несанкционированный сервис под контроль, например, путем переноса данных на платформы, поддерживаемые корпорацией.
Развивайте хорошую культуру кибербезопасности, чтобы сотрудники могли открыто обсуждать проблемы, в том числе те, где текущая политика или процессы препятствуют их эффективной работе. Здоровая культура кибербезопасности повышает вероятность того, что люди будут сообщать о случаях использования теневых ИТ. Они будут неохотно сообщать об этом, если опасаются, что им (или другим сотрудникам) будет вынесен выговор. Другими словами, низкая культура безопасности означает, что у вас гораздо меньше шансов обнаружить теневые ИТ.

Помощь в удовлетворении конкретных потребностей пользователей

NCSC подготовило ряд рекомендаций, которые могут помочь организациям безопасно решать общие технологические задачи. Предоставляя эти услуги, вы можете предотвратить внедрение вашими сотрудниками теневых ИТ для удовлетворения их реальных потребностей пользователей:

руководство по выбор корпоративного решения для обмена мгновенными сообщениями
руководство по выбору услуги видеоконференцсвязи, соответствующей потребностям вашего бизнеса
руководство по безопасному развертыванию и использованию облачной службы
руководство о том, как убедиться, что ваша организация готова к увеличению надомной работы

Технические меры по смягчению последствий

Существует ряд технологий и коммерческих решений, которые могут помочь организациям управлять риском теневых ИТ в корпоративной сети. Сюда входят сертификация X.509, сетевые сканеры, брокеры безопасности облачного доступа (CASBs), защищенный пограничный доступ (SASE) и унифицированное управление конечными точками (UEM).

Контроль доступа к сети

Одним из немногих эффективных средств контроля, предотвращающих подключение сотрудниками несанкционированных устройств, является строгий контроль доступа к сети.

Наиболее эффективные средства контроля используют криптографические сертификаты, выдаваемые устройствам, чтобы решить, разрешать ли им подключение к сетям. Для Ethernet обычно используется протокол 802.1x, а для беспроводных сетей WPA2 /3 enterprise.

Сертификат X.509 – это цифровой сертификат, который использует широко принятый международный стандарт инфраструктуры открытых ключей X.509 (PKI) для проверки принадлежности открытого ключа идентификатору пользователя, компьютера или службы, содержащемуся в сертификате. Это поможет вам защитить от подключения к сети новых устройств, которые ранее не были авторизованы. Для получения дополнительной информации, пожалуйста, обратитесь к руководству NCSC по подготовке и защите сертификатов безопасности.

Однако организации должны учитывать, что могут возникнуть проблемы с контролем доступа к сети на основе сертификатов:

подготовка устройств может занять много времени, особенно при первом развертывании 802.1x
не все устройства могут поддерживать 802.1x или WPA2 / 3 Enterprise, особенно более старые устройства или некоторые принтеры, что приводит к необходимости отключения 802.1x на некоторых портах (и сотрудники могут подключать маршрутизатор или другое устройство к этим портам)
небольшие организации, не использующие коммутаторы корпоративного уровня, могут не иметь поддержки в сетевой структуре для поддержки аутентификации по стандарту 802.1
802.1x имеет некоторые недостатки, из-за которых вы можете подключить неавторизованное устройство с помощью сетевого концентратора для олицетворения устройства после его аутентификации (однако это следует рассматривать как вредоносное действие, поскольку оно намеренно обходит элемент управления)

Несмотря на эти проблемы, 802.1x и WPA2 / 3 Enterprise могут быть эффективными средствами контроля, затрудняющими подключение неавторизованных устройств, особенно в чувствительных сетях или чувствительных регионах сетей. Управление портами на основе MAC-адреса сетевого адаптера может предложить упрощенный подход к управлению доступом, хотя это значительно облегчает кому-либо уклонение от подключения устройства.

Когда элементы управления доступом подключены к управлению активами (см. Ниже), это может помочь вам понять, какие теневые устройства у вас есть. Важно постоянно обновлять это, чтобы вы могли подготовиться ко всем неожиданностям.

Управление активами

Наличие актуальной информации об ожидаемых активах в организации важно для определения теневых ИТ. В очень небольших организациях (около 20 человек или меньше) это может быть так же просто, как ведение электронной таблицы вручную. Для более крупных организаций потребуется более продвинутый инструментарий. В идеале системы управления активами должны содержать ключевую информацию, включая физические данные устройства, сведения о местоположении, версии программного обеспечения, сведения о владельце и подключении (например, имя хоста, IP-адрес, MAC-адреса сетевого адаптера и т.д.).

Чем крупнее организация, тем более автоматизированным должен быть процесс заполнения и обновления реестра управления активами, чтобы гарантировать его точность. Для получения дополнительной информации обратитесь к руководству по управлению активами NCSC.

Сетевые сканеры

Существует множество инструментов, которые позволяют сканировать внутреннюю сеть для идентификации устройств в ней, например, с помощью выделенного устройства для выполнения сканирования или агента, установленного на устройствах. Однако организациям следует осознавать, что предоставление сетевому сканеру учетных данных и возможности сканировать все диапазоны сети сопряжено с риском, что делает сам сканер ценной целью для злоумышленников. Сгенерированные списки устройств можно сравнить со списками известных активов или использовать для отслеживания появившихся активов (особенно если сканер способен идентифицировать такую информацию, как имя хоста). Внешние сканеры могут быть полезны для определения того, какие из ваших устройств могут быть обнаружены злоумышленником извне и, следовательно, потенциально использоваться для доступа к вашей сети.

CASB

Брокеры безопасности облачного доступа (CASB) стремятся выявлять использование облачных сервисов пользователями, обычно путем мониторинга трафика в сети. Разные CASB могут работать по-разному, хотя общим шаблоном является прокси-сервер для всех подключений пользователей в сети к центральному облачному сервису. Это может обеспечить видимость и потенциальный контроль над службами, с которыми взаимодействуют пользователи. Это может помочь идентифицировать использование неутвержденных облачных сервисов, хотя без взлома / перехвата зашифрованных соединений невозможно будет идентифицировать неутвержденное использование утвержденных облачных сервисов (т. Е. личных учетных записей) или обеспечить видимость того, что пользователи делают в утвержденных сервисах.

CASB часто включаются в состав решения пограничной службы безопасного доступа (SASE), которое может обеспечить дополнительную видимость и контроль над трафиком в сети.

UEM

Инструменты унифицированного управления конечными точками (UEM) предназначены для мониторинга конечных устройств вашей организации, управления ими и обеспечения их безопасности с единой информационной панели. При правильном развертывании любое устройство, подключающееся к сети, которое не принадлежит организации, должно быть идентифицировано как теневое ИТ, после чего вы либо удаляете его, регистрируете, либо внедряете. Однако обратите внимание, что в крупных организациях внедрение устройств многих различных классов может быть весьма ресурсоемким.