美國交通部對Shadow IT的安全管理啟示錄

在RichardMcKinney開始計劃為美國交通部（DOT）的辦公設備部署Microsoft Office 365的過程中，shadow IT給他上了寶貴的一課。對於其他想要升級或加固辦公及網路系統的政府部門領導人來說，這個故事同樣具有很好的教育意義。

FreeBuf百科：什麼是「shadow IT」？

隨著法規日趨完備、網路建設與應用漸趨成熟，以及軟硬體技術的不斷精進，企業信息安全的重要性，但也面臨更為嚴峻的挑戰。尤其是近年來，因為智慧手持裝置的興起，愈來愈多的員工，希望能使用自己熟悉的智能型手機或平板工作，BYOD(BringYour Owe Device)的風潮也已經漸漸被企業所接受，但也因此衍生過去從未發生過的資安議題，Shadow IT的問題也開始延燒。

雲安全聯盟（CSA）將shadow IT定義為「在企業IT部門以外所發生的技術投入和部署，包括個別員工、團隊和業務部門所採用的雲應用程序。」近一半的受訪者(49%)表示，關於shadow IT，他們主要關心的是企業數據在雲中的安全性。

在此之前，McKinney曾是美國交通部（DOT）的首席信息官，但是他卻在前段時間向DOT遞交了辭呈。

實際上，在他走馬上任之前，DOT的網路安全狀況簡直是「一片狼藉」。當時，微軟公司剛剛推出了Office 365，而且Office 365在政府部門內的受歡迎程度非常高，但隨之而來的安全問題也不容忽視，因為任何時候都有可能有上百個未經授權的設備可以不受任何監控地訪問DOT的網路系統，而這種情況是每一位CIO都不願意看到的。

近期，McKinney在接受CIO.com的採訪時表示：

毫無疑問，當初並沒有人專門為DOT設計過一套合適的網路系統。由於交通部門的業務範圍非常廣，而交通部門的各種終端聯網設備數量也越來越多，因此DOT急需一個量身定做的網路系統來更好地管理這些設備。但是，我們現在甚至連一份部門網路系統的完整設計藍圖都還沒有。

前人栽樹，後人可以乘涼嗎？

於是McKinney必須有所行動了，他聘請了一家名叫「Decisive Communications」的供應商來整理

美國交通部

當時雜亂無章的網路系統，並識別所有遠程訪問該網路的未經授權設備。Decisive所用的技術來自於Riverbed公司，在該公司的技術人員對

美國交通部

的網路進行了分析之後，立刻發現了超過兩百多個之前從未檢測到的聯網設備，而且其中還有很多設備使用的仍是出廠密碼。

原來，

美國交通部

的很多下屬部門（包括交通哨崗）都會在自己的辦公地點添加各式各樣的網路設備來滿足職員的需求。比如說，如果辦公室里的十六孔交換機全部插滿了網線，而此時辦公室還有很多設備仍然需要更多的網線（假設無線網路不是可選項），所以交警們的解決方案可能就是上「X寶」然後網購一台新的交換機來滿足需求。

如果有需要的話，很多地方辦公室通常會自行購買消費者級別的聯網設備，這種情況越來越常見了。因此，我們在將來會購買更多的企業級設備，並且還需要將之前這些不符合政府部門安全要求的設備替換掉。

信息安全的阿喀琉斯之踵

在發現了這些未經授權的網路設備之後，McKinney不得不停下手頭上的工作，因為這些不知從何而來的設備肯定會影響DOT的系統安全性，這一點是毋庸置疑的。如果這些潛在的網路接入點能夠一直在一個缺乏中心管理節點或可視化管理方案的網路系統中運行的話，那麼我們同樣可以認為，惡意攻擊者一樣可以在不受任何監控的情況下滲透並感染DOT的網路系統。更糟糕的是，由於DOT的網路系統存在嚴重的設計缺陷，因此當攻擊者入侵了該系統中的一個安全薄弱點之後，他就可以訪問更多的敏感信息。

McKinney表示，由於整個網路全部是聯通的（未進行網路分割），那麼當攻擊者成功滲透進了DOT的網路系統之後，他就可以輕而易舉地遍歷整個網路。正是由於網路系統中的所有設備全部是「拴在一條繩上的螞蚱」，所以整個系統的安全性將完全取決於「安全薄弱點」的健壯程度，也就是所謂的「木桶原理」。

除此之外，這些安全缺陷已經不僅僅是一種簡單的IT問題了。McKinney表示，他已經對DOT的網路系統進行了一次徹底的安全掃描，但是目前還沒有發現任何證據可以表明

美國交通部

的網路系統或資料庫遭到過非法入侵。但是他同時指出，技術高超的黑客在入侵之後是不會留下痕迹的。

因此，McKinney必須將他的發現上報給政府高層。McKinney說到：「我認為這是一種潛在的安全漏洞，而我必須將這個信息上報給政府領導，這也是我應盡的責任。因為現在不僅只有

美國交通部

存在這個問題，政府的很多其他部門同樣也存在這種問題。」

解決方案：重構網路架構

在發現了Shadow IT所帶來的安全問題之後，McKinney啟動了一個重構

美國交通部

網路架構的項目，目前該項目仍在進行之中。根據他的描述，技術人員將在網路系統中增加更多的集中化控制，並對各個部門內部的網路系統進行更加清晰的劃分。

除此之外，

美國交通部

目前也在著手改進部門引進新的網路設備的內部管理流程。當部門需要引入新的網路設備時，有關人員必須要將信息上報給管理層，並以此來禁止部門職員通過一些不安全的網路設備來擴展不受管理的網路接入點。McKinney表示：「其實

美國交通部

早就已經出台了相關的政策了，即禁止部門在沒有經過正規管理審核的情況下擅自添加網路設備，但是很多人往往會直接忽略這條規定。」

McKinney認為這是一個非常好的開始，我們必須要百分之百地了解自己的網路系統，包括網路架構、伺服器、以及所有的網路接入點。只有當我們清楚地知道自己擁有什麼，我們才能更好地保護它們。

* 參考來源：networkworld， FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: