• 登入
  • 註冊網站會員
CIO Taiwan
  • 活動
  • 影音
  • 趨勢分析
  • CIO IT經理人雜誌
  • CSO精選
  • 電子報
  • 下載
  • 聯繫我們
沒有結果
查看所有結果
CIO Taiwan
沒有結果
查看所有結果
首頁 精選文章

讓企業暗資料、地下IT/IoT無所遁形

2020-08-19
分類 : 精選文章
0
A A
0
1200-2389283-portrait-hacker

你知道公司裡有許多東西埋伏在黑暗中嗎?你無法掌握的東西可能反過來害到你。Insider Pro專欄作家 Mike Elgan 將揭露企業裡的IT危機何在,以及消除這些隱憂的6大心法。

文/Mike Elgan 譯/葉庭筠譯 校/曹乙帆


員​工有偷偷瞞著你什麼事嗎?

答案是:有的。

如果你是組織裡的IT專家、安全專業技術人員、CXO主管、管理人員或領導人的話(通常看這篇文章的人就是),那貴公司的員工可能正把資訊存在你不知道的地方,以及在未獲公司合法授權下安裝軟、硬體和使用雲端服務。

這些隱而未現的資源往往為公司帶來巨大而且不斷成長的安全風險。Gartner指出,到明年底,對企業成功的攻擊有1/3會發生在地下IT資源中。

而且這些資源還會帶來其他較次要的問題。

本文將探討有關暗資料與地下IT的最新趨勢與迫切問題,乃至對地下IoT物聯網的全面性檢視與因應之道。

內容目錄 隱藏
暗資料(dark data)
地下IT(shadow IT)
地下IoT(shadow IoT)
暗黑及地下資源存在的原因
讓暗資料和地下IT現形的方法

暗資料(dark data)

暗資料是不為IT所知的非結構化、未標籤、無分類的資料。這裡講的是暗文件、地下試算表、祕密感測器紀錄和其他內容。

這些資料有許多是儲存在公有雲服務、行動裝置之一或兩個環境中。

Veritas Technologies一份針對英國IT決策者和資料管理員所做的報告發現,英國企業有將近半數資料是屬於「暗資料」(亦即未分類或未加標籤的資料)。這表示這些資料無法得到應有的管理、存取或保護,其中包括對公司很有價值的資產。

雲端資料的問題很特殊。Veritas報告顯示,許多人誤以為儲存在雲端上的資料相關的防護和法規遵循是服務供應商的責任。

暗資料沒有非黑即白的分別。例如經常有公司員工把文件寄給自己以便在家工作。公司網路上的拷貝是經過合法授權的,但是在Gmail和在家中MacBook上的拷貝就屬於暗資料。它們內容上都有一模一樣的敏感資訊,只是它們已不在公司安全系統的防護範圍內。更糟的是,員工可能在家編修文件、寄回公司繼續作業,然後用已被惡意軟體感染的拷貝直將將合法授權的拷貝文件覆寫掉。

暗資料帶來4種問題:

  1. 它為網路攻擊開了大門。因為它沒有保護、不為人所知,駭客可利用暗資料搞清楚公司內部組織、員工、資產位置和誰知道還有什麼等等。
  2. 暗資料可能包含高層應該知道、到頭來卻不可得的分析洞見。如果資料全部蒐集起來,公司可以完整資訊運作。但如果其中有半數是暗資料,那麼主管只能依據手中一半的資料下決策。
  3. 暗資料是一種浪費和無效率的東西。因為當不知道或找不到這些資料,員工只好再製作一份,就造成了重工問題。
  4. 暗資料不合法,至少它們使符合沙賓法案、GDPR及其他法規的遵循之舉變得更複雜。

地下IT(shadow IT)

地下IT是指運行在IT部門已知或掌控範疇之外的所有未授權電腦系統、裝置、應用或雲端服務。

地下IT崛起的原因是近年來熱門的IT趨勢,像是IT消費化、自帶裝置(Bring Your Own Device, BYOD)、儲存及雲端服務低價化及普及化,以及「智慧」裝置和IoT數量的激增等。

對抗地下IT第一招是BYOD公司政策。在BYOD政策之下,員工只要把自家PC和其他裝置帶到公司、插上公司網路就可以開始如常作業了。

即使以Oauth標準存取的應用程式都可算在地下IT。這些東西可讓未獲許可的應用程式取得合法應用的存取權。是的,若員工以臉書(Facebook)帳號來驗證雲端服務或應用的話,那臉書伺服器就成為一種地下IT裝置。

桌機、筆電、平板及智慧型手機的設計至少都有考慮安全性,至於烤麵包機嘛…,多半沒有。

地下IoT是地下IT的子題,但值得我們更加留意,因為在今天它的安全風險又比別種IT更高。

地下IoT(shadow IoT)

IoT裝置是具有運算能力和連網能力的非電腦物件。

企業和其他大型組織內的IoT裝置和感測器的數量急劇成長,而其中許多是在IT不知情、沒允許或未納入管控的情況下運作。

網路管理設備商Infoblox去年公佈的一份報告發現,受訪的英、美和德國企業中有1/3估計他們公司網路上有1,000個以上的地下IoT裝置。

這裡講的可能是隨身碟、網路攝影機、智慧音箱、智慧顯示器、動作偵測器、智慧咖啡機、Wi-Fi連網自動販賣機、智慧手錶、路由器、健康塑身智慧手環、微波爐、智慧電視、遊戲機、智慧烤吐司機、智慧燈泡、智慧空調、門鎖、資料收集終端機、印表機、醫療裝置等等。

Gartner預期到今年底連網IoT裝置會達到142億個,到2025年底將上看250億個。

5G革命可能讓情形雪上加霜。愛立信(Ericsson)預測,在5G網路的推波助瀾下到2023年全球蜂巢網路的IoT連線數將達到35億。

地下IoT安全威脅的第一個案例是2016年透過賭場大廳的連網魚缸溫度計存取賭場網路。一旦駭客一腳跨入大門(我是說跨進水族箱),他們就能透過溫度計存取到一些「土豪」級客人的機密資料庫。

還不只如此。IoT似乎本質上就不利安全,地下IoT裝置對網路安全、資料隱私、實體安全、運作等等都帶來威脅。

IoT裝置往往缺乏企業級安全功能,而且使用者安裝和組態時往往連變更預設密碼之類最基礎的安全知識也沒有。

Zscaler一項研究指出,超過90%的企業IoT裝置網路交易是發生在非加密、明碼通道上。

同一份研究發現一些IoT裝置在明碼HTTP網路上執行驗證和更新。

80%左右的IoT是無線裝置,也給駭客開了Wi-Fi、LTE、Zigbee等等多道方便之門。

IoT裝置經常搭載現成常用的內部元件,這表示,即使是一台不起眼的裝置也可能內含知名而為駭客熟悉的Wi-Fi晶片組或其他元件。許多IoT裝置可能是千奇百怪、名不見經傳的小玩意,但若你以為這樣很低調就能確保安全就大錯特錯了。

更糟的是,地下IoT裝置一方面很難被IT部門發現,另一方面卻很容易被駭客找到,只要在網路上搜尋一下這些裝置就會現形。

地下IoT裝置有的支援、也有的不支援遠端更新。

在早年(2016年以前)多數IoT攻擊常被捲入劫持路由器發動阻斷式服務(DDoS)的攻擊事件中。現在專家預測,未來幾年內IoT攻擊對象會更多樣化,造成更不可預期的災難。

IoT裝置需要良好的密碼管理、加密通道通訊、定期更新的韌體,以及必要時能透過封鎖不必要的傳輸埠來進行內、外部網路的隔離。但若IT不知道有這些裝置或不知道它們所在位置,上述的安全管理之舉都不會發生。

有些地下IoT裝置為員工所有,有些實際連到員工身上(例如健康量測手環等),它們隨著員工來來去去。但也有其他裝置是從合法授權通路買來並屬於公司所有財產。像是印表機等辦公室設備、像智慧咖啡機等茶水間裝置,只要你能想到的東西都有可能是地下IoT裝置。就算東西是公司買的,但並不代表IT都能清楚知道並掌握。

暗黑及地下資源存在的原因

暗資料和地下IT的存在,不是任何人的錯,但也是所有人的錯。暗黑科技存在的原因有三:

  1. 創意與企圖心。

    員工產生暗資料和使用地下IT裝置是為了規避公司安全政策。他們的目的就是要完成任務,當他們看到障礙物,就會想方設法繞過障礙,把工作做得更好。許多地下IT裝置都是在被IT明白拒絕後偷偷安裝的。
  1. 無知。

    員工並不知道暗資料和地下IT對公司在巨觀或微觀層次上都是個問題,例如員工在公司桌上放台電子相框播放家人相片,但根本沒有考慮安全性。
  1. 政策失敗。

    許多暗黑與地下科技是完全合法授權的,只是核准的人並沒想到要通知IT部門。例如公司內有些部門決定某個專案透過Slack或Dropbox和海外或外部承包商交流互動。再不然公司以Wi-Fi連網的新式「智慧」販賣機來取代舊機。抑或行銷部門實驗「體驗」式行銷作法,表示他們會引進各種裝置,並放在內部網路上測試。

不過在暗資料和地下IT存在的理由中潛藏了能解決更廣泛問題的解決方案。

讓暗資料和地下IT現形的方法

至於要怎麼除去籠罩IT資源的陰影,在此提出以下建議:

  • 簡化核准流程。最大限度地加快IT裝置被核准的速度、降低獲准難度。
  • 充份溝通。確保大家都完全了解核准流程,並加強暗資料和地下IT危險性的內部訓練。
  • 將IoT裝置隔離在專屬Wi-Fi網路內,預設封鎖這些裝置的來電。
  • 監控向外傳送的異常行為流量。
  • 使用自動化工具清查網路上所有裝置並建冊管理。
  • 建立一份清楚的授權資源清單,拒絕清單以外任何資源的網路存取。

暗資料和地下IT、地下IoT不可能完全消除殆盡,但每做多一分,風險就少一分。你讓愈多IT資源走出黑暗迎向光明,貴公司運作就會愈順暢。

這篇文章對您有幫助嗎?
👍👎
標籤: BYOD地下IoT地下IT暗資料自帶裝置
上一篇文章

NEC場景展示中心開幕

下一篇文章

微軟2020亞太技術年會登場

相關文章

Vector illustration Artificial intelligence in human resources
精選文章

人工智慧從四個方向強化企業人力資源策略

2022-07-06
1200-AdobeStock_224036496
精選文章

大型企業資訊長必須具備的七項領導特質

2022-07-05
1200-609Z_AI_vs_human3
精選文章

AIOps 在企業管理上的優缺點

2022-06-28
下一篇文章
DevDays Asia 2020

微軟2020亞太技術年會登場

發佈留言 取消回覆

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

點擊看文章

📈 CIO點閱文章週排行

  • 華碩集團資安長金慶柏

    【專訪】華碩集團資安長金慶柏

    0 分享
    分享 0 Tweet 0
  • 微服務的迷思:不要為微而微

    0 分享
    分享 0 Tweet 0
  • 植樹育林 電子製造業如何達碳中和?

    0 分享
    分享 0 Tweet 0
  • 2022年度CIO大調查報告下載

    0 分享
    分享 0 Tweet 0
  • 大型企業資訊長必須具備的七項領導特質

    0 分享
    分享 0 Tweet 0
  • 明鏡為鑒:10個數位轉型成功案例

    0 分享
    分享 0 Tweet 0
  • 華利實業穩居全球前五大製鞋業採用 HPE Superdome Flex作為 SAP S/4HANA 平台

    0 分享
    分享 0 Tweet 0
  • AI最常見的應用有哪些?

    0 分享
    分享 0 Tweet 0
  • 人工智慧從四個方向強化企業人力資源策略

    0 分享
    分享 0 Tweet 0
  • 【專訪】政治大學法學院副教授臧正運

    0 分享
    分享 0 Tweet 0

追蹤我們的 Facebook

透過行動條碼加入

數位及平面

  • CIO Taiwan 網站
  • CIO 電子報
  • 《CIO IT經理人》數位版雜誌 (Zinio)
  • 《CIO IT經理人》平面雜誌

關注社群

  • Line 加入好友
  • Facebook 粉絲頁

合作夥伴

  • CIO協進會
  • CIO.com

關於我們

  • 關於我們
  • 隱私權政策

旗訊科技股份有限公司 | 100 台北市中正區杭州南路一段15-1號19樓 | TEL: 886-2-2321-4335

Copyright© Flag Information Co.,Ltd. All Rights Reserved.

  • 登入
  • 註冊
沒有結果
查看所有結果
  • 活動
  • 影音
  • 最新文章
  • 產業速報
  • 新聞速寫
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 專欄
  • 精選文章
  • 原生現場
  • 供應商視野
  • 線上調查
  • CIO IT 經理人雜誌
  • 電子報
  • 下載
  • 聯繫我們

© 2020 CIO Taiwan 版權所有

CIO Taiwan 歡迎你回來!

可用 使用者名稱 或 Email 登入

忘記密碼 註冊

歡迎註冊 CIO Taiwan 網站會員

請設定 Email 及 使用者名稱(使用者名稱不接受中文、將來無法更改)

欄位皆為必填 登入

找回密碼

請輸入 使用者名稱 或 Email 以重設密碼

登入

您已閒置超過 3 分鐘了,為您推薦其他文章!點擊空白處、ESC 鍵或關閉回到網頁

王儷玲

第11屆金融業CIO高峰會秋季場 會後報導

開放金融成趨勢 台灣需完備法規 文/林裕洋 爆發至今未歇的COVID-19疫情,

網頁文章首圖1200x630

如何用資料分析獲得卓越成果

要有成功的資料分析效果就必須要有好的工具、資料管理以及策略。現在有一些不錯的方法

1200-(更新圖)資安人才培育計劃.002

資安人才培育計畫為產業拔尖又打底

巾幗不讓鬚眉 醫療資安女力興起 教育部先進資通安全實務人才培育計畫長年透過教育體

1200-Vast Architecture interior 3

【金融業】Vast Bank 大膽押注加密貨幣的關鍵IT技術

總部設在美國奧克拉荷馬州塔爾薩市(Tulsa)的 Vast Bank 資訊長 S

Holographic display isometric neon, digital futuristic technology, user interface development design, building mobile application, big data processing, cyber security isometric vector

妥善掌控資料的5種方法

COVID-19正改變著經濟運作的方式,也預言了人們對資料的需求將發生變化和增長

Concept image of cables and connections for data transfer in the digital world.3d rendering.

區塊鏈與人工智慧的結合

如今,工程師可以用區塊鏈技術,創造人工智慧區塊,與其他的人工智慧區塊協同合作。

ciotaiwan-logo-600-white

文章分類

  • 產業速報
  • 專欄
  • 影音
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 原生現場
  • 精選文章
  • 趨勢分析
  • 供應商視野
  • 新聞速寫
  • 下載
  • Sponsors

熱門標籤

  • 最新文章
  • 雲端運算
  • 人工智慧
  • 數位轉型
  • 製造業
  • 物聯網
  • 資料與分析
  • 資安
  • 區塊鏈
  • 5G
  • 儲存
  • 基礎架構

活動

  • CIO價值學院
  • 企業防疫與持續營運計畫 線上座談會
  • 亞太CIO線上高峰論壇
  • 製造業CIO論壇
  • 金融CIO高峰會
  • Asia Leadership Forum 2020
  • 智慧醫療研討會
  • 商業服務科技論壇
  • CIO大調查

影音

  • 影音