Обеспечение безопасности теневой ИТ в корпоративной среде

Обеспечение безопасности теневой ИТ в корпоративной среде

      Каждая организация имеет две технологические среды.

      Первая — это та, которую построила ИТ-служба, задокументировала и поддерживает видимость, а вторая — это та, которую сотрудники собрали вокруг нее, чтобы выполнять свою работу быстрее.

      Вторая среда — это теневое ИТ, и в большинстве предприятий она больше, разнообразнее и глубже интегрирована в повседневные операции, чем командам безопасности было бы комфортно признавать.

      Несанкционированные инструменты SaaS, личные учетные записи облачного хранилища, расширения браузера с широкими разрешениями на доступ к данным, ИИ-ассистенты, обрабатывающие конфиденциальные документы, и сторонние интеграции, которые никогда не проверялись никем с ответственностью за безопасность, все это составляет теневую собственность, и она расширяется быстрее, чем традиционные рамки управления могут отслеживать.

      Безопасностные последствия не являются теоретическими. Теневое ИТ создает уязвимость, которая полностью находится вне инфраструктуры мониторинга, патчей и контроля доступа, которую построили команды безопасности предприятий, и делает это через каналы, которые сотрудники часто не имеют оснований считать рискованными.

      Эта статья рассматривает, где теневое ИТ растет быстрее всего, как риск поставщика пересекается с проблемой теневого ИТ и как выглядит реалистичный подход к его управлению на практике.

      Размерность поставщика теневого ИТ

      Теневое ИТ часто рассматривается как проблема поведения сотрудников, что приводит к ответным мерам управления, сосредоточенным на соблюдении политики и повышении осведомленности пользователей. Эти меры решают симптом, не затрагивая основную структуру, которая делает теневое ИТ устойчивым. Причина, по которой сотрудники обращаются к несогласованным инструментам, заключается в том, что санкционированные альтернативы медленнее, менее функциональны или труднее доступны, чем то, что они могут обеспечить сами за считанные минуты. Пока эта разница не будет устранена, соблюдение политики будет снижать теневое ИТ на границах, не устраняя стимула, который его порождает.

      Оценка риска поставщика — это возможность, которая решает третью сторону этой проблемы в масштабах. Когда сотрудник предоставляет инструмент SaaS, он устанавливает отношения с поставщиком от имени организации, независимо от того, признает ли организация это.

      Этот поставщик может иметь доступ к корпоративным учетным данным через интеграции OAuth, может хранить данные в юрисдикциях с различными регуляторными режимами и может иметь уровень безопасности, который не выдержал бы базовой проверки, если бы кто-то подумал применить его.

      Непрерывная оценка экосистемы поставщиков, включая теневых поставщиков, которых сотрудники вводят без формального участия в закупках, дает командам безопасности видимость, чтобы понять, какой фактический риск третьих сторон существует, а не то, что утвержденный список поставщиков предполагает, что должно быть.

      Более значительный вопрос безопасности заключается не в том, используют ли сотрудники несогласованные инструменты, а в том, что эти инструменты делают с корпоративными данными и какой доступ они имеют к системам и учетным данным, которые интересуют организацию.

      Статья Forbes о теневом ИИ отметила, что сотрудники теперь регулярно используют ИИ-инструменты, к которым организация не имеет видимости, обрабатывая конфиденциальные документы, данные клиентов и внутренние коммуникации через системы, чьи практики обработки данных никогда не проверялись никем из функции безопасности.

      Профиль риска такого поведения значительно отличается от поведения сотрудника, использующего несогласованный инструмент управления проектами.

      Где возникают уязвимости

      Недавние данные о нарушениях теневого ИТ являются поучительными. Нарушение на платформе обмена сообщениями продемонстрировало, как суверенная и, казалось бы, контролируемая коммуникационная инфраструктура может скрывать уязвимости, которые остаются незамеченными именно потому, что инструмент рассматривается как доверенный без непрерывной проверки безопасности.

      Предположение о безопасности на основе институционального происхождения, а не текущей оценки — это именно тот вид мышления, который использует теневое ИТ, потому что инструменты, которые выбирают сотрудники, доверяются людьми, которые их используют, независимо от того, имеет ли это доверие какую-либо безопасность.

      Обнаружение того, что ИИ-агент выявил несколько нулевых дней в широко используемом программном обеспечении, включая инфраструктуру браузера, указывает на связанную проблему. Программные компоненты, встроенные в инструменты, которые используют сотрудники, включая теневые инструменты, работающие вне видимости ИТ, имеют профили уязвимости, которые постоянно меняются по мере появления новых исследований.

      Несанкционированный инструмент, построенный на уязвимой библиотеке, представляет собой риск, который не может быть устранен никаким количеством соблюдения политики со стороны сотрудников, потому что уязвимость существует на уровне, ниже осознания сотрудника и ниже периметра мониторинга организации.

      Слой SSL и сертификатов

      Одним из более упускаемых из виду аспектов безопасности теневого ИТ является инфраструктура сертификатов, связанная с несогласованными инструментами и интеграциями.

      Мониторинг сертификатов SSL имеет значение в контексте теневого ИТ, потому что истекшие или неправильно настроенные сертификаты на инструментах, которые сотрудники активно используют, создают уязвимость «человек посередине», которую ни сотрудник, ни команда безопасности не могут обнаружить без специального мониторинга.

      Инструменты теневого ИТ значительно менее вероятно, чем санкционированное корпоративное программное обеспечение, поддерживают строгую гигиену сертификатов, как потому, что они работают вне процессов управления сертификатами организации, так и потому, что поставщики, стоящие за ними, могут не иметь операционной зрелости, которую иначе требовали бы требования к закупкам предприятий.

      Результатом является категория уязвимости, которая находится на пересечении теневого ИТ и риска третьих сторон, видимая только для организаций, которые построили мониторинг по обеим измерениям.

      Геополитическая размерность теневого риска

      Картина бизнес-рисков для корпоративной безопасности расширилась за пределы технической уязвимости в геополитическую территорию таким образом, что управление теневым ИТ еще не полностью усвоило.

      Глобальная нестабильность, формирующая бизнес-риски, породила набор соображений вокруг суверенитета данных, юрисдикции поставщиков и происхождения цепочки поставок, которые делают национальность и регуляторную среду теневых поставщиков законной проблемой безопасности, а не просто примечанием по соблюдению.

      Сотрудник, использующий инструмент облачного хранилища, зарегистрированный в юрисдикции с обязательными законами о доступе к данным, ввел суверенный риск, который, вероятно, не был предусмотрен рамками управления данными организации.

      С увеличением геополитических напряжений практическое значение резидентности данных и юрисдикции поставщиков сделало экосистему теневых поставщиков более значительной уязвимостью, чем она была, когда эти вопросы были в основном теоретическими.

      Таблица ниже подчеркивает общие риски теневого ИТ, факторы, которые их создают, и меры контроля, которые организации могут использовать для идентификации и управления этими уязвимостями:

      Категория риска теневого ИТ

      Что создает это

      Что решает это

      

      Несанкционированный SaaS с доступом к данным

      Самостоятельное предоставление сотрудниками

      Непрерывная оценка риска поставщика по всей теневой собственности

      Инструменты ИИ, обрабатывающие конфиденциальные документы

      Принятие теневого ИИ

      Мониторинг исходящих потоков данных и разрешений OAuth

      Уязвимость сертификатов и SSL

      Плохая гигиена теневых инструментов

      Мониторинг сертификатов, расширенный за пределы санкционированной инфраструктуры

      Риск юрисдикции и суверенитета поставщика

      Непроверенная резидентность данных теневых поставщиков

      Оценка поставщика, включая регуляторный и юрисдикционный обзор

      Уязвимость в встроенных компонентах

      Сторонние библиотеки в теневых инструментах

      Мониторинг поверхности атаки по всей экосистеме поставщиков

      Создание видимости перед применением политики

      Последовательность управления теневым ИТ имеет большее значение, чем большинство программ безопасности признает. Организации, которые начинают с соблюдения политики, прежде чем построить видимость того, что на самом деле существует в их среде теневое ИТ, применяют меры против неполной картины, что означает, что усилия по соблюдению нацелены на теневое ИТ, о котором они знают, а не на теневое ИТ, которое представляет собой фактический риск.

      Создание вид

Другие статьи

Франция планирует утроить штрафы за дезинформацию на выборах, управляемую ИИ. Франция планирует утроить штрафы за дезинформацию на выборах, управляемую ИИ. Премьер-министр Лекорну хочет утроить штрафы за ложный выборный контент и создать комиссию по общественной информации, возобновив дебаты о том, кто решает, что является ложным. Первый тест автомагистрали уровня 4 с автономным вождением в ЕС: Aidoptation Первый тест автомагистрали уровня 4 с автономным вождением в ЕС: Aidoptation Бельгийская компания Aidoptation получила первый в ЕС разрешение на тестирование автомобиля с автономным управлением уровня 4 на автомагистралях со скоростью 120 км/ч, используя детерминированные модели, а не ИИ. После Samsung и Apple, Oppo может стать следующим, кто присоединится к широкому клубу складных устройств. После Samsung и Apple, Oppo может стать следующим, кто присоединится к широкому клубу складных устройств. Oppo может присоединиться к развивающейся гонке широких складных устройств Samsung и Apple с устройством на базе Snapdragon 8 Gen 6, оснащенным необычно большой батареей на 6,500 мАч. Samsung хочет установить свой собственный чип в ваш следующий ПК, и всё это связано с ускорением задач ИИ. Samsung хочет установить свой собственный чип в ваш следующий ПК, и всё это связано с ускорением задач ИИ. Сообщаемый акселератор Gaia от Samsung может привести к появлению специализированного аппаратного обеспечения для ИИ на устройствах в будущих ПК, ставя компанию в условиях все более конкурентной борьбы с Nvidia и Qualcomm. Победа John Deere в праве на ремонт на самом деле касается программного обеспечения Победа John Deere в праве на ремонт на самом деле касается программного обеспечения Соглашение FTC с John Deere — это крупнейшая победа в США в области права на ремонт, предупреждение о программной блокировке в каждом устройстве, которое вы имеете. Генераторы изображений на основе ИИ вырвались из кошмарных рук и вошли в эпоху фальшивого премиума. Генераторы изображений на основе ИИ вырвались из кошмарных рук и вошли в эпоху фальшивого премиума. Я протестировал Meta Muse, Gemini Nano Banana 2 и ChatGPT Images 2.0. Очевидные ошибки ИИ исчезают, но новые недостатки сложнее игнорировать.

Обеспечение безопасности теневой ИТ в корпоративной среде

Теневой ИТ создает уязвимость корпоративной безопасности вне мониторинга, обновлений и контроля доступа. От несанкционированного SaaS и теневого ИИ до рисков геополитической суверенности данных, эта статья рассматривает, где растет уязвимость теневого ИТ и как оценка рисков поставщиков решает проблему третьих сторон в масштабах.