Оглавление:
Видео: Overclocked IV: PG | Marss (Zss) vs Rogue | Light (Fox) - Grand Finals (Ноябрь 2024)
С точки зрения ИТ-специалистов облачные сервисы - это обоюдоострый меч. С одной стороны, облачные сервисы могут радикально сократить затраты и время внедрения даже продвинутых программных сервисов, поскольку теперь они не требуют длительного времени на настройку, настройку и тестирование, а также большого количества дорогостоящего серверного оборудования. Просто зарегистрируйтесь и отправляйтесь. С другой стороны, эту простоту внедрения также изучают пользователи, и многие из них настраивают свои собственные учетные записи служб, как в отдельности, так и в команде, и используют их для хранения и управления всеми видами корпоративных данные без какого-либо управления ИТ, пока что-то пойдет не так.
Теневые ИТ-системы или системы информационных технологий (ИТ), разработанные внутри компании лицами, не являющимися официальными ИТ-специалистами, могут стать серьезной проблемой безопасности и защиты данных. По крайней мере, эти системы содержат службы, которые не защищены остальными мерами безопасности, которые использует ИТ. И, в худшем случае, они обеспечивают дополнительную и в значительной степени незащищенную поверхность атаки, которая часто скрывается непосредственно в вашей корпоративной сети. Ваш первый ответ может искоренить этих сотрудников, наказать их и уничтожить их теневую ИТ.
Вы можете подумать, что мошеннические облачные сервисы не так серьезны, как примеры аппаратного обеспечения, которые я только что упомянул, но на самом деле проблемы очень похожи. Сотрудник, скажем, разработчик, решает быстро приобрести экземпляр виртуализированного облачного сервера в Amazon Web Services (AWS) или Google Cloud Platform, чтобы она могла быстро протестировать какой-то новый код, за которым она работает, без необходимости ждать запроса. через это. Через несколько минут она выполняет свою работу. Она оплачивает услугу с помощью своей кредитной карты, полагая, что после утверждения кода она может просто оплатить ее.
Вы не могли бы охотиться за таким пользователем так же усердно, как если бы кто-то развертывал мошеннический маршрутизатор, потому что между AWS и персональным маршрутизатором есть два ключевых различия: во-первых, просто найти мошеннический сервер нашего разработчика нелегко. Как сообщает исследовательская фирма Statista (см. Ниже), управление и управление несколькими облаками являются двумя наиболее серьезными проблемами, с которыми сталкиваются ИТ-специалисты в эпоху облачных вычислений. Без предварительного знания неофициальной учетной записи этого пользователя, как вы можете быстро отследить ее, не нарушая при этом свою собственную политику безопасности в отношении конфиденциальности и защиты данных? Во-вторых, Amazon управляется целой армией опытных ИТ-специалистов, которые ничего не делают в течение всего дня, за исключением обеспечения бесперебойной и безопасной работы службы. Так как же вам нужно гоняться за сервером, которым они управляют?
Проблемы управления облачными вычислениями во всем мире в 2019 году
(Изображение предоставлено Statista)
Rogue IT Risks
Пользователи, которые создают свои собственные облачные сервисы, обычно мало знают о сетевой безопасности; если бы они это сделали, они бы не делали то, что делают, так, как делают. Они знают, что хотят использовать некоторые важные функции, которые предлагает облачный сервис, и они, вероятно, знают, как заставить его работать для решения проблемы. Но когда дело доходит до настройки брандмауэра, они понятия не имеют, и, поскольку служба работает через Интернет (который в любом случае предоставляется через настроенный ИТ-отделом брандмауэр), они, вероятно, считают, что они полностью защищены. Все, о чем они действительно беспокоятся, - это выполнять свою работу наилучшим образом, как они знают, что на самом деле хорошо.
Итак, если вы ответите этим мотивированным сотрудникам, чтобы они обрушились на них, как тонна кирпичей, наказать их и закрыли их мошенническое облако, тогда вы можете пересмотреть свое мнение. Конечно, возможно, они игнорируют правила, которые вы сделали, чтобы сохранить контроль над ИТ. Но, скорее всего, они делают это по нескольким веским причинам, по крайней мере, одна из них - это вы.
В конце концов, вы создали среду, и, похоже, именно в ней мошенническое облако считается лучшим способом для этих людей выполнять свою работу. Это означает, что, как внутренний поставщик ИТ-услуг, вы не отвечаете со скоростью, необходимой бизнесу. Этим сотрудникам был нужен этот облачный сервис сегодня; как долго им нужно было ждать, пока ты им не поможешь?
Как обнаружить мошенников
По словам Пабло Вильярреаля, директора по безопасности (CSO) Globant, компании, которая помогает в цифровом преобразовании, поиск облачных сервисов не обязательно очевиден. Если мошенническое облако использует того же поставщика, что и остальная часть вашей компании, то почти невозможно определить разницу между трафиком на мошенническое облако и вашим обычным облачным трафиком. В случае нашего вышеупомянутого сервера разработчика, если у компании уже есть несколько десятков виртуализированных серверов Amazon, выполняющих другие рабочие нагрузки, насколько легко было бы выделить ее один мошеннический сервер, основанный исключительно на анализе трафика? Хотя правильно настроенный межсетевой экран следующего поколения и соответствующее программное обеспечение могут это делать, работа, необходимая для этого, является значительной.
Вильярреал сказал, что самый эффективный способ - это просмотреть выписки по кредитным картам, когда сотрудники представляют расходы, и найти их таким образом. Решения для отслеживания расходов более высокого уровня могут фактически быть настроены для пометки определенных типов расходов, поэтому их поиск может быть, по крайней мере, несколько автоматизирован. Но он также говорит, что ваш следующий шаг очень важен, и он направлен на сотрудников, а не на них.
«Предложите предоставить необходимые им услуги», - сказал он. «Как только вы воспользуетесь мошенническими сервисами, вы сможете строить отношения с пользователями».
Он сказал, что, используя мошенническое облако, вы можете использовать его в своей собственной безопасности и помочь пользователям обеспечить эффективную работу своего облачного экземпляра. Кроме того, если вы уже используете облачные сервисы, то, вероятно, вы можете получить тот же сервис со значительной скидкой.
6 шагов к внедрению Rogue IT
Но помните, что каждый мошеннический сервис, который вы найдете, будь то в AWS или чем-то более автономным, например Dropbox Business, является признаком неудовлетворенной потребности. Сотрудникам нужна была услуга, и вы либо не могли предоставить ее, когда они в ней нуждались, либо они не знали, что вы можете. В любом случае, основная причина лежит на ИТ, но, к счастью, эти проблемы относительно легко устранить. Вот шесть шагов, которые вы должны предпринять в самом начале:
Познакомьтесь с этим человеком и выясните, почему он или она решили создать службу, а не использовать ИТ-отдел. Скорее всего, ИТ-отделам требуется слишком много времени, чтобы ответить, но это может быть и по другим причинам, включая запрет, который может привести к тому, что они не смогут удовлетворить свои бизнес-потребности.
Узнайте больше о мошенническом облачном сервисе, который они используют, что они на самом деле делают с ним и что они сделали для его защиты. Вы должны убедиться, что это безопасно, пока вы находитесь в процессе переноса его внутрь.
Посмотрите на свои собственные процедуры. Сколько времени требуется команде, чтобы запросить доступ к вашим облачным сервисам? Насколько вовлечен процесс утверждения? Какую помощь вы готовы предоставить? Насколько сложно получить что-то простое, например, IP-адрес? Насколько сложно включиться в корпоративный план резервного копирования?
Что может сделать ваш ИТ-отдел, чтобы сделать ненужные мошеннические облачные учетные записи ненужными? Например, можете ли вы предоставить средства для быстрого и простого создания учетных записей у утвержденных поставщиков? Можете ли вы предоставить корпоративную облачную учетную запись, которую сотрудники смогут использовать с минимальной задержкой? Можете ли вы предоставить персонал для работы в качестве консультантов, поскольку ни у одного ИТ-отдела нет дополнительного персонала?
Что может сделать ваш отдел, чтобы стимулировать инновации в отделах, не связанных с ИТ? Можете ли вы предоставить меню ИТ-услуг, которые доступны по запросу? Возможно, служба быстрого реагирования для команд, которые делают что-то действительно инновационное, но нуждаются в помощи, такой как включение машинного обучения (ML) в часть своего бизнеса? Помните, что если вы не можете или не хотите помочь, то без вас будет мотивированная команда, и это то, что вы пытаетесь предотвратить.
Самое главное, используйте опыт, чтобы измерить и улучшить то, что ваш ИТ-персонал делает, чтобы реагировать со скоростью бизнеса.
- Лучшее программное обеспечение для защиты конечных точек и безопасности на 2019 год Лучшее программное обеспечение для защиты конечных точек и безопасности на 2019 год
- Лучшие решения «инфраструктура как услуга» на 2019 год Лучшие решения «инфраструктура как услуга» на 2019 год
- Лучшие решения для управления мобильными устройствами (MDM) на 2019 год Лучшие решения для управления мобильными устройствами (MDM) на 2019 год
Я знаю, что в этот момент вы, может быть, все обнюхиваете, утверждая, что у вас нет ресурсов. Но дело в том, что если ваши сотрудники сами делают хорошую работу, вам не нужно много дополнительных ресурсов. И если вы попытаетесь предотвратить подобные действия с помощью железного кулака, то, скорее всего, это будет продолжаться за кулисами, и вы рискуете столкнуться с инцидентом безопасности или провалом бизнеса, который потребует гораздо больше ресурсов, чем вы. когда-нибудь
Даже мега-провайдеры, такие как Amazon и Google, взломаны. Если у вас есть множество корпоративных данных об этих сервисах, которые не защищены так же, как ваши официальные магазины, то вы можете легко столкнуться с неприятной проблемой и совершенно не подозревать об этом, пока не станет слишком поздно. Конечно, вы можете указать пальцем на пользователя, который зарегистрировался без разрешения, но это не удовлетворит сердитого главного сотрудника по информационной безопасности (CISO), который хочет знать, почему ИТ-отделы не могут учитывать X процентов виртуальных серверов компании. И это не поможет вашим клиентам (которые часто являются невольными жертвами), потому что их личные данные подвергаются раскрытию.
«Сотрудники будут счастливее», - отметил Вильярреал, отметив, что наказание сотрудников за их мотивацию обычно приводит к тому, что они перестают быть мотивированными. Никто не собирается поблагодарить вас за это. Используя мошенническую службу, вы не только радуете пользователей и мотивируете их, но также создаете канал связи, основанный на доверии. Если они доверяют вам, нет никаких оснований, чтобы подписаться на услуги втихаря. Они просто сообщат вам об этом, поскольку вы знаете, что это лучше для вас обоих.
