Загадка для айтишников: почему система резервного копирования, уже несколько недель отлично работающая с корпоративной CRM, начала “тормозить” при переносе данных с еще нескольких подключенных к ней приложений при несоразмерно меньшем объеме информации? Практически в полном составе ДИТ одного предприятия ломал голову над поиском ответа и даже привлек ИТ-консультанта. Проблему удалось локализовать: на сервере, купленном “на вырост”, исполняется код, который втихаря майнит криптовалюту для третьей стороны, чем нагружает “железо”, замедляет процессы резервного копирования и злит ИТ-директора.
Расследование инцидента показало, что “криптоджекинг” оказался неумышленным. Один из админов просто тестировал приложение с прицелом на его покупку. Но почему-то скачал дистрибутив не с сайта производителя, а с торрентов, и получил в результате софт с сюрпризом.
Эта реальная история — канонический кейс того, как работают и чем опасны “теневые ИТ”, то есть софт и устройства, не разрешенные к применению в компании корпоративными политиками, но используемых сотрудниками для решения бизнес-задач. Судя по опросу ИТ-специалистов, проведенных компанией Entrust Datacard, shadow IT может стать одной из главных угроз корпоративной кибербезопасности к 2025 году. Об этом говорят 77% профессионалов отрасли.
В нынешнюю эру победившего клауда shadow IT вообще появляются в компании даже проще, чем во времена господства систем on-premise. Неразрешенное ПО находится в буквальном смысле на расстоянии клика мышью. Неправильно считать, что источником “теневых ИТ” обязательно будут нечистые на руку сотрудники, чья цель — украсть информацию или саботировать работу организации. Как раз наоборот. Нерегламентированный софт, как и в примере, который мы привели выше, чаще появляется стараниями наиболее мотивированных сотрудников. Такие ”новаторы” знают, как двигаться к выдающимся бизнес-результатам, но считают, что существующий в компании набор ПО недостаточен и не способствует прогрессу.
Программные инструменты для совместной работы, облачные хранилища и приложения на все случаи жизни нередко являются способом такие препятствия успешно преодолеть. Способом, надо сказать, весьма распространенным — вероятно, в силу отсутствия у компаний понимания правильного реагирования на инциденты shadow IT. По данным Entrust Datacard, каждый третий ИТ-сотрудник заявляет, что в его организации никак не прописаны санкции в отношении работников от последствий применения ими “теневых ИТ”.
Именно поэтому маркетолог не задумывается, что загрузка таблицы с персональными данными клиентов в облако публичного провайдера может стать причиной их утечки. Дата-аналитик не забивает себе голову необходимостью удалить массив данных после успешной проверки гипотезы в Amazon Web Services. А генеральный директор может не заметить, как его восьмилетний сын устанавливает на папин смартфон желанную игру с вредоносным кодом из непонятного магазина приложений и тем самым открывает двери злоумышленникам, практически приглашая их в ИТ-периметр организации.
“Новаторы” возразят: любой облачный сервис — штука подчас более стабильная, чем корпоративное приложение. Это верно: Microsoft, Amazon, Google и другие провайдеры прикладывают много усилий к обеспечению безаварийной работы их SaaS, инфраструктуры и платформ. Но за сохранность клиентских данных они не отвечают. Более того, принимая пользовательское соглашение, вы автоматически подписываетесь под тем, что разделяете так называемую модель распределенной ответственности (shared responsibility model).
Этот подход в том или ином виде зафиксирована в документах каждого провайдера облачных услуг. Поэтому любой эпизод, связанный с последствиями утечки данных с публичного облачного сервиса, становится проблемой пользователя, а не поставщика услуги. И возвращает компании к необходимости самим контролировать своих пользователей и следить за контролем над соблюдением ими корпоративных политик.
Очевидно, что пытаться запретить сотрудникам (особенно “новаторам” и особенно на удаленке) использовать приложения, не входящие в список “официального” ПО, принятого в компании так же невозможно, как невозможно остановить прогресс. Что в этом случае можно предпринять?
Компания Spin Technology, которая давно и продуктивно работает над проблемой shadow IT, предлагает как минимум “подсветить” теневой софт и устройства, чтобы взять обнаруженное под контроль, раскрыв над нерегламентированными приложениями “зонтик” платформы SpinOne. Она интегрируется с Google Workspace или Microsoft 365 — самыми популярными облачными пакетами для небольших и средних компаний.
Платформа следит, как и куда передаются данные, как осуществляется доступ, как с данными взаимодействуют сторонние приложения, и нет ли во всем этом признаков нарушений корпоративных норм кибербезопасности. Контроль над данными и приложениями возложен на SpinAudit. Это часть SpinOne, которая использует искусственный интеллект и неусыпно наблюдает за поведением учетных записей вашего облачного аккаунта, а при возникновении отклонений — сигнализирует о них.
Вот какие отклонения она “обучена” замечать:
Утечка данных из разрешенного к использованию облачного хранилища за пределы рабочего пространства;
“Атака посредника” (man-in-the-middle, или MITM), которая означает фактическое “прослушивание” корпоративной переписки или перехват файлов, которыми обмениваются сотрудники;
Перенос данных в личную облачную учетную запись;
Появление в обойме используемых сотрудниками сторонних приложений;
Атака программ-вымогателей и предотвращение их распространения на всю организацию;
Перехват учетной записи администратора;
Попытки входа в систему методом подбора паролей (брутфорс);
Эпизоды намеренного или случайного шеринга конфиденциальных данных с пользователями за пределами организации
В следующих постах мы углубимся в тему безопасного использования набора облачных сервисов и выясним, что для этого следует предпринять. Следите за обновлениями в блоге AggreGroup на Facebook, задавайте вопросы и заказывайте демонстрацию SpinOne через форму ниже.
Заполните форму и наш специалист свяжется
с вами в течение часа