Mostanában egyre gyakrabban fordul elő, hogy a publikus felhős szolgáltatásokat korábban csak tisztes távolból figyelő cégek is egyre több ilyen jellegű szolgáltatást vesznek igénybe – sokszor a biztonsági csapatok és a vezetőség tudta nélkül. Felmérések szerint a legtöbb döntéshozó súlyosan alábecsüli az irányítása alatt álló szervezetek által használt felhős szolgáltatások számát. Tulajdonképpen szinte semmi sem akadályozza meg a dolgozókat abban, hogy e-mail címüket megadva regisztráljanak a legkülönfélébb szolgáltatásokat nyújtó weboldalakra. Nemcsak az IT-csapat hozhat létre ilyen szolgáltatást, hanem a különböző részlegek is igénybe vehetik, például a marketing részleg hírlevélküldő és rendezvényszervező szolgáltatásokat, a HR-osztály toborzó oldalakat használhat, stb.
Az ilyen külső működtetésű, sokszor csak egyes részlegek által, de az IT-biztonsági csoport és a legfelsőbb vezetés engedélye nélkül használt szolgáltatásokat nevezzük ”shadow IT”-nak. Mondanunk sem kell, hogy a felügyeleten kívül eső alkalmazások használata számos kockázatot rejt magában. Egyrészt ellenőrizetlen hátterű oldalakra kerülhetnek ki belsős adatok, ami a különféle belső és külső szabályozások megszegését jelentheti (pl. GDPR, PCI DSS és egyéb előírások és adatvédelmi törvények), de pénzügyi károkat is okazhat több hasonló célú szolgáltatás különböző részlegek általi párhuzamos használata. Ehhez persze még hozzá kell adni a biztonsági kockázatokat is.. Legjellemzőbb példa erre a Solarwinds esete, ahol az egyik alkalmazott gyenge jelszóval (solarwinds123) külső szolgáltatáson létrehozott accountja okozta az adatszivárgást, aminek következtében azután több ezer ügyfél rendszereit fertőzhették meg a támadók. De tanulságos példa a Nissannal történt incidens is, ahol egy Git servert az alapértelmezett „admin/admin” jelszóval használtak.
Megvéd a Scirge
Ezekre a problémákra eddig bonyolult, a hálózati infrastrukturába sokszor jelentős módosításokat követelő rendszereket alkalmaztak: web proxy-kat, CASB-megoldásokat stb. A Scirge egy magyar startup, megoldásuk pedig jelentős infrastruktúra-igény nélkül tudja a feladatokat abszolválni. Böngészőbe épülő pluginon alapul és képes az otthonról dolgozó alkalmazottak felügyeletét is megoldani. Fontos tudni, hogy a jelszavakat helyben vizsgálja és csak a jelszavak hash értékei tárolódnak a központi szerveren.
- A Scirge egyrészt képes átfogó képet adni a felhasználók által hivatalos e-mail címekkel igénybe vett webes szolgáltatásokról, így információval szolgál a shadow IT használatról.
- Képes jelszó-szabályokat érvényesíteni és felhívni a figyelmet a már használatban lévő gyenge, vagy többször felhasznált jelszavakra.
- Megmutatja a felhasználók között megosztott, közösen használt accountokat.
- Gazdag riportlehetőséggel rendelkezik, így megmutatja az egyes használatban lévő szolgáltatások tényleges felhasználó számát, valamint világosan látszódnak az esetlegesen már használaton kívüli alkalmazások is, ezzel segíti a pontosabb és gazdaságosabb működést.
A Scirge rendelkezik egy Horizon Cloud Intelligence modullal is, aminek révén további információkkal gazdagítja a rendszert, megmutatja az egyes igénybe vett szolgáltatások megbízhatóságát, származási helyét és életkorát, ezzel segítve a kockázatelemzést. Mindezeken felül a szolgáltatás az interneten ismerté vált, kiszivárgott e-mail/jelszó-adatbázisokban előforduló kompromittálódott accountok esetén is képes riasztani.
Ezek után már csak arra van szükség, hogy az érintett cégek felismerjék a problémát és elkezdjék a Scirge használatát.
A blogbejegyzés az IT Business cikkének átdolgozott változata.