你知道公司裡有許多東西埋伏在黑暗中嗎?你無法掌握的東西可能反過來害到你。Insider Pro專欄作家 Mike Elgan 將揭露企業裡的IT危機何在,以及消除這些隱憂的6大心法。
文/Mike Elgan 譯/葉庭筠譯 校/曹乙帆
員工有偷偷瞞著你什麼事嗎?
答案是:有的。
如果你是組織裡的IT專家、安全專業技術人員、CXO主管、管理人員或領導人的話(通常看這篇文章的人就是),那貴公司的員工可能正把資訊存在你不知道的地方,以及在未獲公司合法授權下安裝軟、硬體和使用雲端服務。
這些隱而未現的資源往往為公司帶來巨大而且不斷成長的安全風險。Gartner指出,到明年底,對企業成功的攻擊有1/3會發生在地下IT資源中。
而且這些資源還會帶來其他較次要的問題。
本文將探討有關暗資料與地下IT的最新趨勢與迫切問題,乃至對地下IoT物聯網的全面性檢視與因應之道。
暗資料(dark data)
暗資料是不為IT所知的非結構化、未標籤、無分類的資料。這裡講的是暗文件、地下試算表、祕密感測器紀錄和其他內容。
這些資料有許多是儲存在公有雲服務、行動裝置之一或兩個環境中。
Veritas Technologies一份針對英國IT決策者和資料管理員所做的報告發現,英國企業有將近半數資料是屬於「暗資料」(亦即未分類或未加標籤的資料)。這表示這些資料無法得到應有的管理、存取或保護,其中包括對公司很有價值的資產。
雲端資料的問題很特殊。Veritas報告顯示,許多人誤以為儲存在雲端上的資料相關的防護和法規遵循是服務供應商的責任。
暗資料沒有非黑即白的分別。例如經常有公司員工把文件寄給自己以便在家工作。公司網路上的拷貝是經過合法授權的,但是在Gmail和在家中MacBook上的拷貝就屬於暗資料。它們內容上都有一模一樣的敏感資訊,只是它們已不在公司安全系統的防護範圍內。更糟的是,員工可能在家編修文件、寄回公司繼續作業,然後用已被惡意軟體感染的拷貝直將將合法授權的拷貝文件覆寫掉。
暗資料帶來4種問題:
- 它為網路攻擊開了大門。因為它沒有保護、不為人所知,駭客可利用暗資料搞清楚公司內部組織、員工、資產位置和誰知道還有什麼等等。
- 暗資料可能包含高層應該知道、到頭來卻不可得的分析洞見。如果資料全部蒐集起來,公司可以完整資訊運作。但如果其中有半數是暗資料,那麼主管只能依據手中一半的資料下決策。
- 暗資料是一種浪費和無效率的東西。因為當不知道或找不到這些資料,員工只好再製作一份,就造成了重工問題。
- 暗資料不合法,至少它們使符合沙賓法案、GDPR及其他法規的遵循之舉變得更複雜。
地下IT(shadow IT)
地下IT是指運行在IT部門已知或掌控範疇之外的所有未授權電腦系統、裝置、應用或雲端服務。
地下IT崛起的原因是近年來熱門的IT趨勢,像是IT消費化、自帶裝置(Bring Your Own Device, BYOD)、儲存及雲端服務低價化及普及化,以及「智慧」裝置和IoT數量的激增等。
對抗地下IT第一招是BYOD公司政策。在BYOD政策之下,員工只要把自家PC和其他裝置帶到公司、插上公司網路就可以開始如常作業了。
即使以Oauth標準存取的應用程式都可算在地下IT。這些東西可讓未獲許可的應用程式取得合法應用的存取權。是的,若員工以臉書(Facebook)帳號來驗證雲端服務或應用的話,那臉書伺服器就成為一種地下IT裝置。
桌機、筆電、平板及智慧型手機的設計至少都有考慮安全性,至於烤麵包機嘛…,多半沒有。
地下IoT是地下IT的子題,但值得我們更加留意,因為在今天它的安全風險又比別種IT更高。
地下IoT(shadow IoT)
IoT裝置是具有運算能力和連網能力的非電腦物件。
企業和其他大型組織內的IoT裝置和感測器的數量急劇成長,而其中許多是在IT不知情、沒允許或未納入管控的情況下運作。
網路管理設備商Infoblox去年公佈的一份報告發現,受訪的英、美和德國企業中有1/3估計他們公司網路上有1,000個以上的地下IoT裝置。
這裡講的可能是隨身碟、網路攝影機、智慧音箱、智慧顯示器、動作偵測器、智慧咖啡機、Wi-Fi連網自動販賣機、智慧手錶、路由器、健康塑身智慧手環、微波爐、智慧電視、遊戲機、智慧烤吐司機、智慧燈泡、智慧空調、門鎖、資料收集終端機、印表機、醫療裝置等等。
Gartner預期到今年底連網IoT裝置會達到142億個,到2025年底將上看250億個。
5G革命可能讓情形雪上加霜。愛立信(Ericsson)預測,在5G網路的推波助瀾下到2023年全球蜂巢網路的IoT連線數將達到35億。
地下IoT安全威脅的第一個案例是2016年透過賭場大廳的連網魚缸溫度計存取賭場網路。一旦駭客一腳跨入大門(我是說跨進水族箱),他們就能透過溫度計存取到一些「土豪」級客人的機密資料庫。
還不只如此。IoT似乎本質上就不利安全,地下IoT裝置對網路安全、資料隱私、實體安全、運作等等都帶來威脅。
IoT裝置往往缺乏企業級安全功能,而且使用者安裝和組態時往往連變更預設密碼之類最基礎的安全知識也沒有。
Zscaler一項研究指出,超過90%的企業IoT裝置網路交易是發生在非加密、明碼通道上。
同一份研究發現一些IoT裝置在明碼HTTP網路上執行驗證和更新。
80%左右的IoT是無線裝置,也給駭客開了Wi-Fi、LTE、Zigbee等等多道方便之門。
IoT裝置經常搭載現成常用的內部元件,這表示,即使是一台不起眼的裝置也可能內含知名而為駭客熟悉的Wi-Fi晶片組或其他元件。許多IoT裝置可能是千奇百怪、名不見經傳的小玩意,但若你以為這樣很低調就能確保安全就大錯特錯了。
更糟的是,地下IoT裝置一方面很難被IT部門發現,另一方面卻很容易被駭客找到,只要在網路上搜尋一下這些裝置就會現形。
地下IoT裝置有的支援、也有的不支援遠端更新。
在早年(2016年以前)多數IoT攻擊常被捲入劫持路由器發動阻斷式服務(DDoS)的攻擊事件中。現在專家預測,未來幾年內IoT攻擊對象會更多樣化,造成更不可預期的災難。
IoT裝置需要良好的密碼管理、加密通道通訊、定期更新的韌體,以及必要時能透過封鎖不必要的傳輸埠來進行內、外部網路的隔離。但若IT不知道有這些裝置或不知道它們所在位置,上述的安全管理之舉都不會發生。
有些地下IoT裝置為員工所有,有些實際連到員工身上(例如健康量測手環等),它們隨著員工來來去去。但也有其他裝置是從合法授權通路買來並屬於公司所有財產。像是印表機等辦公室設備、像智慧咖啡機等茶水間裝置,只要你能想到的東西都有可能是地下IoT裝置。就算東西是公司買的,但並不代表IT都能清楚知道並掌握。
暗黑及地下資源存在的原因
暗資料和地下IT的存在,不是任何人的錯,但也是所有人的錯。暗黑科技存在的原因有三:
- 創意與企圖心。
員工產生暗資料和使用地下IT裝置是為了規避公司安全政策。他們的目的就是要完成任務,當他們看到障礙物,就會想方設法繞過障礙,把工作做得更好。許多地下IT裝置都是在被IT明白拒絕後偷偷安裝的。
- 無知。
員工並不知道暗資料和地下IT對公司在巨觀或微觀層次上都是個問題,例如員工在公司桌上放台電子相框播放家人相片,但根本沒有考慮安全性。
- 政策失敗。
許多暗黑與地下科技是完全合法授權的,只是核准的人並沒想到要通知IT部門。例如公司內有些部門決定某個專案透過Slack或Dropbox和海外或外部承包商交流互動。再不然公司以Wi-Fi連網的新式「智慧」販賣機來取代舊機。抑或行銷部門實驗「體驗」式行銷作法,表示他們會引進各種裝置,並放在內部網路上測試。
不過在暗資料和地下IT存在的理由中潛藏了能解決更廣泛問題的解決方案。
讓暗資料和地下IT現形的方法
至於要怎麼除去籠罩IT資源的陰影,在此提出以下建議:
- 簡化核准流程。最大限度地加快IT裝置被核准的速度、降低獲准難度。
- 充份溝通。確保大家都完全了解核准流程,並加強暗資料和地下IT危險性的內部訓練。
- 將IoT裝置隔離在專屬Wi-Fi網路內,預設封鎖這些裝置的來電。
- 監控向外傳送的異常行為流量。
- 使用自動化工具清查網路上所有裝置並建冊管理。
- 建立一份清楚的授權資源清單,拒絕清單以外任何資源的網路存取。
暗資料和地下IT、地下IoT不可能完全消除殆盡,但每做多一分,風險就少一分。你讓愈多IT資源走出黑暗迎向光明,貴公司運作就會愈順暢。