Shadow IT یا فناوری سایه، استفاده از سیستمهای IT، دستگاهها، نرم افزارها، برنامهها و خدمات، بدون دانش گروه فناوری اطلاعات یا گروه امنیتی درون سازمان میباشد. این فناوری در سالهای اخیر با توجه به خدمات و برنامههای مبتنی بر ابر، رشد چشمگیری داشته است. shadow IT میتواند شامل خدمات مبتنی بر ابر، نرم افزار یا سخت افزار باشد.
زمینهی اصلی نگرانی امروز، رشد سریع خدمات مبتنی بر ابر است. امروزه کاربران ترجیح میدهند از طریق خدمات مبتنی بر ابر به برنامههای خود دسترسی داشته باشند.
با این که shadow IT میتواند به بهرهوری کارمندان کمک نموده و باعث ایجاد نوآوری شود، در عین حال میتواند از طریق نشت دادهها، نقض احتمالی انطباق و موارد دیگر، برای سازمان خطراتی جدی به همراه داشته باشد.
جنبههای مختلف فناوری سایه چیست؟
این فناوری شامل تمامی فعالیتهای مرتبط با IT به هر شکلی است که دپارتمان IT در آنها مشارکت ندارد، که شامل موارد ذیل میگردد:
رایجترین شکل SHADOW IT چیست؟
خدمات ابری به خصوص SaaS به بزرگترین ردهی shadow IT تبدیل شده است. تعداد خدمات و برنامهها افزایش یافته و کارمندان به طور مرتب و بدون نیاز به گروه IT، آنها را نصب نموده و از آنها استفاده میکنند.
مزایای shadow IT SaaS چیست؟
کاربران میتوانند به سرعت و به سادگی به ابزاری دست پیدا کنند که باعث بهرهوری بیشتر شده و به آنها کمک نموده تا با همکاران خود تعامل موثرتری داشته باشند.
چالشهای فناوری سایه
زمانی که بخش IT از خدمات و برنامههای تصویب شدهی خود مطلع نیست، شکافهای امنیتی بسیار جدی رخ میدهد. از دیگر مشکلاتی که ممکن است رخ دهد میتوان به پراکندگی برنامه، اتلاف وقت، اتلاف هزینه و ناهماهنگی اشاره نمود.
برنامه کاربردی shadow IT چیست؟
هر برنامهای که توسط یک دپارتمان یا یک کاربر به منظور اهداف تجاری و بدون دخالت گروه IT تصویب شود، یک برنامهی shadow IT محسوب میشود. این برنامهها را میتوان به سه دسته اصلی تقسیم نمود:
- برنامههای مبتنی بر ابر که توسط شبکههای سازمانی قابل دسترسی هستند.
- برنامههای متصل به سرور ابری که با رمز OAuth قابل دسترسی هستند (با استفاده از اعتبار یک برنامه SaaS اصلی مانند Microsoft Office 365 یا Google’s G Suite)
- نرم افزار بستهبندی شده که توسط یک دپارتمان یا یک مصرف کننده نهایی خریداری شده و بر روی سیستم دانلود میگردد. گفتنی است این نوع به دلیل محبوبیت راهحلهای SaaS، به ندرت مورد استفاده قرار میگیرد.
خطر برنامههای shadow IT دسترسی به شبکه
با استفاده از فناوری اطلاعات، صدها مورد از این برنامهها در شرکتهای معمولی مورد استفاده قرار میگیرند. اما عدم آگاهی کامل نسبت به آنها، منجر به شکاف امنیتی میگردد.
با این که برخی از برنامهها بدون ضرر هستند، اما سایر برنامههایی که دارای قابلیتهایی نظیر به اشتراک گذاری یا ذخیره سازی فایلها هستند، ممکن است خطراتی برای سازمانها و اطلاعات مهم آنها داشته باشند.
بخشهای فناوری اطلاعات و امنیت میبایست بررسی کنند که کدام برنامهها مورد استفاده قرار میگیرند و چه خطراتی ممکن است به همراه داشته باشند.
خطر برنامه های OAuth-enabled shadow IT
برنامههای OAuth-enabled بسیار ساده هستند زیرا آنها از اعتبار سایر برنامهها استفاده میکنند. اما آنها نیز شامل مجوزهای دسترسی به برنامههای اصلی مانند Office 365 و G Suite میباشند.
قابل ذکر است این مجوزها، سطح حمله را افزایش داده و میتوانند جهت دسترسی به دادههای مهم از طریق file sharing و ابزارهای ارتباطی مورد استفاده قرار گیرند. برنامههای OAuth-enabled به صورت ابر به ابر با هم ارتباط برقرار میکنند و به شبکه سازمانی وارد نمیشوند. از اینرو برای بسیاری از سازمانها به عنوان نقطه کور شناخته شدهاند.
حملات اخیر مرتبط با OAuth، نکاتی مانند لزوم آگاهی و بینش بهتر و همچنین کنترل برنامهها را برجسته نمودهاند.