Как ни странно, Shadow IT может повышать производительность труда и даже превращаться в часть бизнеса. Сотрудники компаний используют облачные ресурсы для совместной работы, обмена информацией, удаленного доступа к документам, но это не всегда происходит с ведома руководителей и ИБ-специалистов. А с точки зрения безопасности Shadow IT представляет собой угрозу, поскольку конфиденциальные корпоративные данные бесконтрольно покидают периметр компании.
Shadow IT – это сторонние ИТ-решения, в том числе облачные приложения и услуги, неподконтрольные корпоративному ИТ-департаменту. Облачные решения, представляющие собой большую часть Shadow IT, могут замещать какую-либо функцию сотрудника или целое подразделение, становиться частью услуг предприятия. Статистика реального использования облачных решений в корпоративном секторе поражает: это сотни решений, а не десятки, как полагают многие специалисты по ИТ и ИБ. Однако с точки зрения безопасности облачные приложения и сервисы представляют собой «слепое пятно».
Выявляем, собираем и консолидируем
Каждой компании необходимо выявить и проанализировать использование Shadow IT в корпоративной среде. В первую очередь, требуется следующее:
- обнаружить Shadow IT и понять, кем, куда и зачем передаются корпоративные данные;
- оценить риск, которому подвергает компанию Shadow IT, с учетом требований регуляторов;
- собрать информацию для принятия решения о запрете или принятии используемых облачных решений;
- консолидировать информацию о потребностях бизнес-подразделений в сторонних решениях.
Обнаружение Shadow IT. Журналы прокси-сервера, межсетевого экрана и других компонентов ИТ содержат всю необходимую информацию для выявления облачных решений, используемых в компании. Проанализировать эти журналы можно с помощью решений класса Cloud Access Security Broker (CASB) или специализированных модулей сетевого оборудования, таких как Secure Web Gateway или NGFW. Результаты будут интересны ИТ- и ИБ-специалистам, лицам, принимающим решения.
Идентификация облачных приложений и сервисов с высоким риском. Риски облачных решений оцениваются по множеству параметров безопасности. Часть из них – одинакова для всех компаний (например, надежность аутентификации на портале облачного решения), а часть важна для конкретной компании (например, геолокация хранилища данных). Кроме того, нужно выявить сотрудников, которые используют небезопасные облачные сервисы, чтобы помочь им выбрать альтернативные решения. Зачастую сотрудники используют Shadow IT для повышения производительности труда или из-за наличия бизнес-потребности (например, в оперативном обмене большими файлами), поэтому запрет облаков без предложения альтернативы – не лучшее решение для самой компании: в современной конкурентной борьбе гибкость и скорость имеют решающее значение.
Консолидация информации об используемых бизнес-подразделениями облачных решениях. В ходе анализа и сравнения облачных сервисов, востребованных бизнес-подразделениями, формируются обоснования и рекомендации для унификации решений. Унификация поможет компании снизить затраты и упростить контроль над применяемыми решениями.
Сбор информации для принятия решения об облачных приложениях и сервисах. Взаимодействие с бизнес-подразделениями и пользователями позволит получить полное представление о требованиях, которые они предъявляют к ИТ-решениям.
Облачные приложения и сервисы для корпоративного использования должны не только обеспечивать полезные возможности, но и быть надежными, защищенными. Слаженная работа бизнес-подразделений и специалистов по ИТ и ИБ поможет добиться большей гибкости бизнес-процессов и оптимизации затрат.
Анализируем, выбираем и планируем
Для снижения доли рискованного облачного трафика и оптимизации процесса обнаружения Shadow IT лучше интегрировать CASB-решение с прокси-сервером. Комплексное решение позволит наиболее качественно проанализировать используемые в компании неочевидные ресурсы, ответив на такие вопросы:
- каковы требования к бизнес-функциям и производительности, определенные пользователями и бизнес-подразделениями;
- каковы риски для компании при принятии облачных решений с учетом требований регуляторов?
- какие приложения и сервисы используют отдельные сотрудники и бизнесподразделения без одобрения и контроля со стороны ИТ и ИБ;
- насколько они полезны, надежны, защищены и отвечают бизнес-потребностям;
- какие бизнес-подразделения используют облачные решения, могут ли эти решения становиться каналами для эксфильтрации данных;
- с какими заинтересованными сторонами следует консультироваться перед блокировкой или заменой опасного облачного приложения;
- какие новые облачные приложения и сервисы появились;
- возможна ли консолидация и унификация сервисов или аккаунтов;
- какие браузеры и платформы используют сотрудники;
- кто, зачем и насколько часто использует самые опасные приложения и сервисы;
- какие пользователи выполняют наиболее рискованные действия, и является ли их поведение намеренно вредоносным;
- какие действия предусмотрены ИТ и ИБ для предотвращения некорректного поведения пользователей (обучение, консультации и пр.)?
Кандидатами на блокировку или особый контроль обычно становятся:
- несанкционированные приложения/сервисы, которые не приносят очевидной пользы для работы;
- решения, порождающие риск нарушения требований регуляторов или корпоративных политик ИБ;
- дорогие (по трафику, стоимости подписки) приложения;
- ненужные или нежелательные функции в санкционированных приложениях.
Если облачное решение важно для бизнеса, но его применение сопряжено с повышенными рисками, то необходимо рассмотреть возможность его замены на более защищенное решение. Можно и продолжить использование выбранного решения, а риски снижать путем непрерывного мониторинга – отслеживать неправильное использование данного решения и попытки несанкционированного доступа. При этом сотрудников надо обучить тому, как наиболее безопасно задействовать такое приложение или сервис.
Обнаружив использование облачных решений, оцените риски и последствия блокировки. Заранее предупредите пользователей о намерении заблокировать ресурс, рассмотрите их отзывы. Примените политики мониторинга/блокировки, а по журналам CASB убедитесь, что они правильно работают. Обратите внимание на обращения пользователей при возникновении непредвиденных последствий.
Выберите наиболее значимые проблемы и задачи для проработки. Запланируйте ежемесячный аудит используемых в компании облачных решений, отметив:
- новые активно используемые приложения;
- нежелательное поведение пользователей;
- изменения в оценке рисков приложений.
Заблокировать, заменить или одобрить?
Необходимо, чтобы вопросы непрерывности бизнеса и функциональности нужных приложений и сервисов учитывались прежде, чем они будут заблокированы, заменены или одобрены. Для этого в экспертном совете должны присутствовать руководители заинтересованных бизнес-подразделений, специалисты по ИТ, ИБ, управлению рисками и юристы. Принимать решения можно по алгоритму, показанному на рисунке. Тесное сотрудничество бизнес-подразделений и этих специалистов позволит учесть как нужды бизнеса, так и требования безопасности.
В ходе мероприятий по выявлению и анализу Shadow IT для востребованных облачных приложений и сервисов необходимо оценить риски с учетом требований регуляторов. Нужно понять, кому и зачем нужны эти решения и отметить опасные действия пользователей.
При выборе решения CASB следует обратить внимание, главным образом, на такие характеристики:
- охват источников данных;
- спектр поддерживаемых облачных решений;
- возможности интегральной оценки рисков приложений и сервисов по основным параметрам безопасности;
- возможности оценки облачных решений по основным эксплуатационным характеристикам;
- возможности выявления опасной пользовательской активности в корпоративных облачных аккаунтах
Специализированный класс решений CASB дает возможность обнаруживать и исследовать облачные решения, защищать корпоративные данные и контролировать взаимодействие с ними пользователей. Интеграция CASB с DLP, Endpointрешениями, веб-шлюзом и межсетевым экраном обеспечит наиболее полный контроль над транзакциями с облачными решениями.
Жизненный цикл безопасного принятия облаков в корпоративную среду
Мониторинг «исключений»: некоторые облачные сервисы не являются для компании ни вредными, ни полезными, но по каким-то причинам не подлежат блокировке; в таких случаях необходим мониторинг этих «исключений».
Обнаружение Shadow IT: в первую очередь, необходимо выяснить, какие облачные приложения и сервисы применяются в компании, кто их использует.
Идентификация рисков: нужно идентифицировать приложения SaaS, представляющие опасность для компании; это могут быть слабозащищенные приложения – потенциальные каналы для хищения данных.
Проверка соответствия нормативным требованиям: часто необходимо, чтобы облачное решение соответствовало требованиям регуляторов, например в отношении обработки ПДн или финансовой информации.
Идентификация неэффективности: подразделения компании могут использовать разные, но схожие облачные решения; сравнив их функциональность и профили безопасности, можно сократить затраты и упростить контроль над этими решениями.
Выявление опасной пользовательской активности: облачный аккаунт может быть захвачен злоумышленниками, а пользователь может выполнять сомнительные операции типа массового копирования или удаления данных – такую активность в облачных аккаунтах нужно выявлять.
Блокировка облачных решений с повышенным риском: нежелательные облачные приложения и сервисы можно заблокировать на веб-шлюзе или межсетевом экране.
Контроль над утвержденными полезными облачными решениями: взаимодействие с утвержденными облачными решениями наиболее детально можно контролировать с помощью специализированных решений класса CASB, а также SWG или NGFW (при наличии таких функциональных возможностей).
Дарья Орешкина директор по развитию бизнеса Web Control
Статья была опубликована в журнале "Безопасность деловой информации" #20 2018г.