Согласно отчету McAfee, современное предприятие использует в среднем около 1950 облачных сервисов, из которых менее 10% управляются корпорациями. Чтобы избежать кражи данных (а средний ущерб от каждой такой утечки в Соединенных Штатах составляет 7,9 миллиона долларов), компаниям необходимо взять под контроль несанкционированное использование облака. Все уже знакомы с проблемами, связанными с shadow IT. Подключенные приложения сегодня представляют не менее серьезные риски для безопасности.
Что такое подключенные приложения?
Такие платформы, как Office 365, позволяют командам и конечным пользователям устанавливать и подключать сторонние приложения и разрабатывать пользовательские программы для решения стоящих перед ними задач. Например, Корпорация Майкрософт продвигает Microsoft Store с десятками тысяч приложений, которые пользователи могут устанавливать в корпоративной среде Office 365. Эти приложения дополняют и расширяют функциональность Microsoft Office и повышают производительность пользователей.
Примерами могут служить WebEx для организации собраний в Outlook или Survey Monkey для проведения опросов в Microsoft Teams.
Во время установки эти приложения часто просят пользователя предоставить доступ к ресурсам. Это могут быть данные, хранящиеся в приложении (например, SharePoint), информация из календаря или сообщение из почтового ящика. Предоставление сторонним приложениям доступа к облачным сервисам ставит перед компанией три задачи.
Проблема 1 – Риски отправки данных третьим лицам
Что, если приложение само по себе небезопасно? Например, приложения для преобразования Word в PDF запрашивают доступ ко всем ресурсам; в результате корпоративные данные перемещаются из облачного приложения компании в потенциально небезопасные приложения, которые могут содержать вредоносное ПО, активно используемое хакерами.
Но даже если приложения хорошо защищены, они все равно могут получать доступ к облачным ресурсам, таким как почта, облачный диск, календарь, которые содержат корпоративную информацию. Например, приложение Evernote для Outlook используется для хранения данных электронной почты. Само по себе это приложение безопасно, но компания не может разрешить сотрудникам работать с ним, поскольку это создает предпосылки для утечки корпоративных данных.
Проблема 2 – Невозможность контролировать с помощью доступных средств
Подключенные приложения напрямую взаимодействуют с авторизованными облачными службами, и на эти подключения не распространяются существующие сетевые политики и элементы управления. Например, компания может внедрить правила безопасности на уровне веб-шлюза или брандмауэра для предотвращения несанкционированной передачи файлов. Но это не помешает сотрудникам загружать приложение из магазина и обходить эти меры безопасности. Даже политики предотвращения потери данных на основе API (DLP) не могут блокировать отправку информации в подключенные приложения. Это означает, что организациям следует проявлять большую осмотрительность и внедрять лучший контроль за использованием таких программ своими сотрудниками.
Проблема 3 – Общая ответственность
Модель совместной ответственности применима и к подключенным приложениям. Облачные сервисы, такие как Google и Microsoft, предоставляют клиентам возможность размещать приложения в своих магазинах, но при условии, что компании будут нести ответственность за данные и действия пользователей, а также за использование таких подключенных приложений в соответствии с политиками безопасности и соответствия требованиям.
Итог
Каждый день разрабатываются новые приложения, помогающие сотрудникам быть более продуктивными и упрощающие сложные процессы. Сотрудники используют DropBox для отправки больших файлов или онлайн-редактор PDF для срочного редактирования. Хотя эти приложения полезны, проблема теневых ИТ набирает обороты. Специалисты по безопасности могут только догадываться, какие облачные сервисы используют их коллеги и какую опасность представляют эти приложения. Из-за отсутствия прозрачности специалистам по информационной безопасности очень сложно управлять затратами и рисками, связанными с облаком.