如果公司能够倾听员工的意见，创建透明的指导方针，并鼓励员工就“安全性”和“生产力”之间的平衡问题进行公开讨论，那么这样的公司就有能力压制影子IT的激增。

“3W”问题引发关注

在网络安全领域从业数的十年里，我已经做好了应付各种威胁的准备：间谍、大规模的网络战亦或0 Day漏洞等等。当然，在过去的几年里，很多的威胁形式都已经从虚拟银幕中的“想象”走进现实世界，但是我常常深刻的认识到——通常引发灾难性问题的往往是一些很小的事情，而这些很小的事情正在困扰着每家公司。

例如，我曾参与一家知名企业的数据泄露事件响应项目。当时，这家公司泄露了大量私有信息，其中大部分数据属于高度机密，这些数据已被转储到开放互联网上的存储库中。此次事件是为国家而进行的黑客攻击？是复杂的黑客团体行为？亦或是遭遇了暴力登录攻击？

当然都不是！起因只是该公司的一名员工错误的将敏感数据存放在了免费的云存储账户中，而普通的数据窃贼只是在网上发布了这些数据而已。尽管，该云存储的提供商早在此次泄露事件发生的几个月前就遭到了高调的入侵，但该员工并没有更改帐户密码。如果该员工选择及时更改密码，就能够成功避免以后的泄漏事件，不至于白白耗费了数百万美元。

其实，大多数企业都经历过类似的事情。这些攻击的起因并不单单由于技能娴熟的黑客攻击，而只是源自人员疏忽，便酿造了一起起数据泄露的悲剧。面对这种情况，企业必须严审“3W”问题：

Who（何人）：任何员工都能够收集数据；任何员工都可以在有或没有许可的情况下通过信用卡和互联网访问，运行关键的公司职能。虽然大多数人都有良好的意图，但不可否认，有些人是存在恶意企图的。

What（何事/物）：员工可以收集任何类型的敏感数据；这些客户和公司的数据都是十分敏感而且有价值的，但是员工却可以在没有审核的情况下，轻松收集和存储客户的社会安全号码。一旦这些社会安全号码被黑客入侵，公司随时可能面临数百万美元的恢复成本。

Where（何地）：很多企业存在管理者不可见且不可访问的数据；在新的GDPR世界中，不存在于企业控制系统中的数据更难以检索。更糟糕的是，私人账户中的数据会在该员工离开公司时跟随所有者离开。如果该员工存储了客户名单等机密信息该怎么办呢？

根据研究显示，在一般企业中，80%的核心用户依赖于未经IT批准的软件；Logicalis全球CIO调查发现，90%的业务线（LOB）实际上绕过了IT部门，并利用云服务完成他们的工作，这也称为“影子IT”。

“影子IT”的问题由来已久。但令人惊讶的是，企业早已了解到这种威胁，却仍未能有效解决。根据Gartner的说法，“到2020年，99%的可利用漏洞发现期限将仍然是安全专业人士已知至少1年以上的。”

什么是“影子IT”？

Gartner的分析师Simon Mingay在一份研究报告中写道：广义的影子IT包括在正式IT组织的正式控制之外对IT解决方案进行收购，开发和/或运营的投资。

随着云计算和移动技术消费IT的普及，“影子IT”声名鹊起。员工可以使用私人的iPhone或Android智能手机通过企业网络快速访问国外的应用程序，从个人到专业的应用程序应有尽有，但他们多数肯定没有得到批准。

如今，影子IT变得更加多样化了。如果问首席信息官他们的业务中的影子IT是怎么样的，他们可能会随口说出购买Salesforce.com许可的营销主管，或者指向将公司文档转储到Dropbox以便随处访问的业务分析师；他们可能会抱怨使用公司信用卡从Amazon Web Services购买云基础架构的开发人员；他们可能会抱怨在世界各地用移动设备进行演示的销售人员。对于所有的场景来说，共同点都是相同的：在没有得到首席信息官的批准并在他们毫不知情的情况下发生了。

“影子IT”使黑客更容易窃取公司的数据。例如，员工总是试图以任何方式提高生产力。他们将依赖未经批准的基于云的文件存储、调查软件或消息传递应用程序。但这种行为可能会招致更多潜在的安全漏洞，使公司损失百万美元。Ponemon Institute 2017年的一项研究发现，违规的平均成本为362万美元，以及无法估量和挽回的用户信任。

威胁实例：聊天室“潜伏者”

另一个真实的故事：在调查一起大型公司的网络入侵事件中，发现该公司的网络工程团队正在使用一款免费的聊天工具进行通信，以便重新获取对自己网络的控制权。事实上，他们早在事件发生几个月前就已经开始使用该工具，且并未告诉其他人该工具的存在。而就是这样一款免费的聊天工具，成为攻击者监听和入侵他们的“帮凶”，事情究竟是怎么一回事呢？

原来这些工程师并没有让他们的信息安全团队参与审查该工具，而且对于该工具的设置也并不正确。如此一来，聊天室顺利成了攻击者的“切入口”，成功伪装成工程师混入聊天群组中，秘密窃听团队成员的一举一动。后来，他们通过识别聊天群组中的每个人，顺利隔离出了几个冒名顶替的入侵者。

虽然工程团队的本意是想要提高工作效率，迅速恢复网络控制权，但是其使用免费工具的行为却把事情变得更糟，最终导致公司花费了更多的时间和财力来修复漏洞。加上数据丢失的规模远远超过了原来的水平，公司又不得不花费数百万来通知客户，并为这些客户提供信用保护。

如何缓解影子IT威胁

面对如此严峻的安全形势，如何避免上述事件再次发生成为我们亟待解决的难题。以下是我们为大家总结的4种通过结合安全优先级和员工行为，能够最大限度降低影子IT对企业安全造成的威胁的方法：

政策和沟通：公司需要明确定义使用未经批准的服务或产品，以及保护公司数据所需遵循的具体政策。但如果缺乏员工沟通，这样的政策也将无法发挥效用。此外，公司还需要为员工提供定期培训服务，包括解释政策背后的基本原理和现实风险等内容。

坦诚布公的入职引导：新员工通常希望使用对以前的工作有帮助的生产力工具，因此入职引导必须包含数据安全策略，教导员工正确处理数据的方式。

你不了解的东西可能会伤害你：在违规事件发生之前，公司需要定期调查员工所使用的资源，并及时阐明安全风险。如果确实存在相当数量的员工需要解决方案，IT部门应该尽可能寻找能够满足安全需求的、经批准的供应商所提供的产品或服务。

员工和IT部门是伙伴关系，而不是敌对关系：企业应该尽可能促进员工与安全/ IT部门之间就“如何平衡生产力与安全性之间的关系”开展持续、有效的沟通。如果您的安全团队在员工想要提高生产力的工具时，只会反复的说，“NO！”，那么我想，员工也不会再自讨没趣去询问他们，并根据自己的意愿自行使用这些工具。

企业完全有能力压制影子IT风险，但他们必须愿意倾听员工的意见，制定透明的指导方针，并鼓励员工公开讨论有效和安全的最佳实践举措。