影子 IT 的密码风险 - 未管理服务威胁企业的原因
本文约需 12 分钟阅读
影子 IT - 即员工未经 IT 部门批准使用 SaaS 和云服务 - 是现代企业中最容易被忽视的密码安全风险之一。 根据 Gartner 2024 年的调查,企业平均使用超过 1,200 个云服务,其中约 975 个 (超过 80%) 是在 IT 部门不知情的情况下引入的。当员工使用企业邮箱注册未经授权的服务并重复使用密码时, 一个外部服务的泄露就可能成为入侵整个企业网络的突破口。问题的核心不在于使用外部服务本身, 而在于 IT 管控范围之外的服务无法执行密码策略。 本文分析影子 IT 为何构成如此严重的密码风险,并提出以治理而非禁止为核心的现实方案。
影子 IT 的实态 - 管理外服务比想象中更普遍
影子 IT 是指员工在未经 IT 部门正式批准或管理的情况下用于工作的软件、云服务和设备的总称。具体包括个人自行签约的 SaaS 工具 (项目管理、文件共享、聊天、设计工具等)、免费增值云服务,以及从个人拥有的智能手机和平板电脑进行的业务访问等。
影子 IT 扩大的背后有结构性因素。IT 部门的审批流程可能需要数周,而 SaaS 只需一张信用卡即可立即开始使用。对于一线员工来说,为了优先保证工作效率而引入非正式工具的动机非常强烈。CIO Magazine 2024 年调查显示,67% 的员工表示"等待 IT 部门批准会影响工作"。这种结构性差距是产生影子 IT 的根本原因。
从密码角度看影子 IT 的三大风险
使用企业邮箱注册个人 SaaS
最严重的风险是员工使用企业邮箱注册未经授权的 SaaS。这种行为危险的原因有三个。第一,如果外部服务被入侵,攻击者可以确认企业邮箱地址有效,并将其添加到钓鱼和社会工程攻击的目标列表中。第二,许多 SaaS 使用邮箱地址作为登录 ID,企业邮箱泄露意味着攻击者已经获得了"用户名"的一半。第三,密码重置邮件会发送到企业邮箱,因此一旦邮箱账户被入侵,所有服务都会被连锁劫持。
密码重复使用导致的连锁入侵
当员工在企业系统和影子 IT 服务之间重复使用相同密码时,一个服务的泄露会直接导致其他服务被入侵。 这就是凭证填充攻击的 运作机制。根据 2024 年 SpyCloud 报告,在数据泄露中密码被曝光的用户中,64% 在多个服务中 重复使用相同密码。当涉及影子 IT 时,密码重复使用的 危险性会呈指数级放大,因为 IT 部门无法检测或应对他们不知道存在的服务的泄露。
离职后的账户遗留
员工离职时,IT 部门会停用其管理下的企业账户 (Active Directory、Google Workspace 等)。但是,影子 IT 服务上的账户由于 IT 部门不知道其存在而不会被停用。当离职者的账户以与企业邮箱相同的密码继续存在,数月后外部服务被入侵时,本应已失效的认证信息可能被用于攻击。Osterman Research 2024 年调查报告显示,89% 的离职员工在离职后仍能访问至少一个与前雇主相关的服务。
通过影子 IT 的信息泄露 - 实际事件模式
由影子 IT 引起的安全事件集中在特定的攻击模式上。以下是实际报告的代表性模式。
模式 1:从 SaaS 泄露横向扩展。市场部员工使用企业邮箱注册了免费设计工具,并设置了与企业系统相同的密码。该设计工具发生数据泄露,攻击者使用泄露的凭证登录企业 VPN。从内部文件服务器窃取了 50 万条客户数据。在这种模式中,由于初始入侵点在 IT 管理范围之外,SIEM 或日志监控难以在早期阶段检测到。
模式 2:离职者账户被滥用。销售人员在职期间自行签约了 CRM 工具并导入了客户列表。离职后账户仍然有效,前员工跳槽到竞争对手后带走了客户列表。企业数月内未发现数据泄露。在这个案例中,IT 部门不知道 CRM 工具的存在,因此在离职时的账户清查中被遗漏。
模式 3:通过影子 IT 放大钓鱼攻击。攻击者从被入侵的影子 IT 服务中获取员工邮箱地址后, 冒充公司 IT 部门发送针对性钓鱼邮件。由于钓鱼邮件引用了实际的影子 IT 服务名称, 点击率远高于普通钓鱼邮件。这导致凭证被盗,最终引发影响核心业务系统的数据泄露。 关于此类事件的应对方法,请参阅数据泄露应对一文。
影子 IT 的检测与可视化
无法管理的东西就无法保护。影子 IT 对策的第一步是可视化员工正在使用哪些外部服务。通过组合以下方法,可以掌握影子 IT 的全貌。
- CASB (云访问安全代理) 部署:分析网络流量,自动检测员工正在访问的云服务。Netskope、Microsoft Defender for Cloud Apps、Zscaler 等是代表性产品。CASB 可以实时检测影子 IT,并根据风险评分阻止或警告访问。
- DNS 日志分析:分析企业网络的 DNS 查询日志,识别对已知 SaaS 域名的访问模式。虽然精度不如 CASB,但作为无需额外成本即可实施的初步措施非常有效。
- SSO (单点登录) 部署:将所有业务应用集成到 SSO 平台,IT 部门可以集中管理认证流程。还可以构建检测未集成到 SSO 的服务访问的机制。
- 邮件流分析:从企业邮件服务器日志中检测 SaaS 服务注册确认邮件和密码重置邮件的模式。通过监控"Welcome to..."、"Verify your email"等主题行模式,可以近实时地掌握新的影子 IT 注册。
这些检测方法应与SIEM系统集成以进行集中监控。关键不仅是检测影子 IT,还要将其与认证事件关联以识别密码相关风险。 对于采用零信任安全模型的 组织,影子 IT 的可视化是实施有效访问控制的前提条件。
治理而非禁止 - 现实的影子 IT 治理方案
完全禁止影子 IT 是不现实的。即使禁止,员工也会为了工作效率继续使用非正式工具,使用反而会转入地下,可视性进一步降低。有效的方法是将影子 IT 视为"需要治理的对象"而非"需要禁止的对象",构建能够安全使用的机制。
通过 SSO 集成实现认证集中化
最有效的治理措施是将所有业务应用与SSO (单点登录)集成。当员工可以通过 SSO 访问已批准的 SaaS 时,使用个人密码创建单独账户的动机会大幅降低。 SSO 还使 IT 部门能够在所有集成服务中统一执行密码策略和多因素认证。 对于不支持 SSO 的服务,应部署企业级密码管理器, 确保每个服务使用唯一的强密码。
加速服务审批流程
影子 IT 产生的根本原因是 IT 部门的审批流程太慢。如果审批需要数周,员工就会自行签约而不等待。对策是根据风险级别设计分级审批流程。低风险 SaaS (个人生产力工具等) 自动批准或 24 小时内简易审查,中风险 (处理数据的工具) 3 个工作日内安全审查,高风险 (处理客户数据或机密信息的工具) 详细安全评估。
要了解安全对策的全貌,影子 IT 安全相关书籍 (Amazon)也可供参考。
个人可以采取的影子 IT 密码对策
在组织层面的对策完善之前,个人层面也可以大幅降低风险。以下对策从今天就可以开始实践。
- 严格分离企业邮箱和个人邮箱:非工作 SaaS 使用个人邮箱注册,企业邮箱仅用于 IT 部门批准的服务。仅此一项就能阻断外部服务泄露直接关联企业账户的风险。
- 为每个服务设置唯一密码:使用 passtsuku.com 生成 16 个字符以上的随机密码,并用密码管理器管理。完全消除重复使用,可以将一个服务泄露波及其他服务的风险降为零。
- 离职或调动时盘点个人注册的服务:离职或部门调动时,列出所有用于工作的个人注册 SaaS 账户,删除不需要的,将必要的移交给继任者。密码管理器的注册列表是盘点的基础资料。
- 向 IT 部门报告可疑服务使用:如果发现同事在工作中使用未经授权的服务,请向 IT 部门报告。这不是告密,而是保护整个组织安全的正当行为。营造鼓励报告的文化是管理层和 IT 部门的责任。
立即开始影子 IT 对策
- 审计自己的影子 IT 使用情况:列出所有使用企业邮箱注册的服务。检查每个服务是否存在密码重复使用,使用 passtsuku.com 立即更改所有重复密码
- 将使用企业邮箱注册的非工作服务迁移到个人邮箱。无法迁移的向 IT 部门申请正式批准
- 部署密码管理器,为每个服务生成 16 个字符以上的唯一密码。将邮箱账户的多因素认证作为最高优先级
- 向 IT 部门提议影子 IT 可视化和 SSO 部署。从 CASB 免费试用或 DNS 日志分析开始,逐步加强治理
常见问题
- 应该完全禁止影子 IT 吗?
- 完全禁止是不现实的,而且往往适得其反。即使禁止,员工也会为了效率继续使用非正式工具,使用转入地下,可视性进一步降低。有效的方法是构建能够安全使用的治理机制,如 SSO 集成和简化服务审批流程。
- 最简便地降低影子 IT 密码风险的方法是什么?
- 最简便且最有效的是在全公司部署密码管理器。使用密码管理器,可以为包括影子 IT 在内的所有服务设置唯一的强密码,将重复使用导致的连锁入侵风险降为零。标准化使用 passtsuku.com 生成 16 个字符以上密码并保存到密码管理器的做法。
- 应该如何管理离职者的影子 IT 账户?
- 将"个人注册 SaaS 盘点"纳入离职流程非常重要。让离职者根据密码管理器的注册列表申报使用的服务,删除或移交包含企业数据的账户。如果部署了 CASB,可以自动检测与离职者企业邮箱关联的服务。离职后,在一定期间内监控企业邮箱地址,确认是否收到密码重置邮件也是有效的。