?企業的員工通常希望使用最好的工具來完成他們的工作。對于大多數員工來說，這通常意味著使用在線SaaS應用程序，但這些應用程序和工具可能沒有得到企業IT部門的批準和許可。許多員工正在使用影子IT(或者現在更多地稱之為“業務主導的IT”)來描述采用未經企業IT團隊批準的技術。隨著SaaS應用程序數量的增加，員工自然而然地采用了大量的在線工具，如今的大部分影子IT都是SaaS應用程序。盡管各行業的企業IT團隊盡了最大努力，但影子IT的應用不但沒有減少，而且一直在增加，并且接近合法化，最終成為一種可以提供競爭優勢的可行IT戰略。

由于存在安全風險，企業采用的傳統策略通常是阻止員工采用各種形式的影子IT。然而，各種影子IT面臨的風險并不相同，而且企業對這些影子IT記錄在案的好處是，允許員工獲得他們認為是其最佳工作工具的技術。因此，對于企業的首席信息官和首席信息安全官來說，與阻止影子IT的策略相比，更好的策略是實施工具來設置適當的安全護欄來控制它，以確保員工采用符合企業安全和合規政策的工具。

根據調查和研究，以下五個步驟的框架在幫助企業創建安全可行的安全框架方面非常有效。

1、發現影子IT

控制影子IT的第一步是識別，以全面了解影子IT在企業中的流行程度。許多影子IT是一種即服務，甚至硬件技術也幾乎總是采用SaaS組件來運行它。大多數企業將云訪問安全代理(CASB)用于SaaS發現和安全性，但經常收到員工的反饋，表示云訪問安全代理(CASB)干擾太大。它們在收集數據和識別誰去哪個網站方面做得很好，然而不擅長發現員工正在使用的新的SaaS應用程序。數據可能在那里，但分析師通常必須做額外的工作來確定是否是已創建的帳戶，特別是如果用戶使用的是本地用戶憑據而不是身份提供者。如果可以將相關數據呈現給分析師，這樣他們只需要采取行動并實現所需的安全結果。

發現影子IT的解決方案是選擇一種自動化工具或方法并提供正確的觸發器，也就是使用其他身份和訪問管理(IAM)解決方案之外的業務憑證創建帳戶。將所有這些信息記錄在日志中或者必須定期合并數據，這種做法肯定是一個注定要失敗的過程。

2、優先考慮降低影子IT的風險

企業永遠不知道員工什么時候會獲得技術，會面臨哪些問題。可以確定的是，企業的員工將會獲得并開始使用不斷出現的新技術。根據企業的員工數量，它可以從每周幾個到幾十甚至幾百個不等。考慮到影子IT進入企業的數量，由于面臨不同的風險，優先級變得極為重要。

優先考慮風險緩解是關鍵的步驟。企業不能采取一些固定的模式和方法來降低影子IT的風險，因為它們也在不斷發生變化。一項技術對企業構成的風險程度超出了供應商是否獲得了SOC2或ISO27001等行業認證。這些認證很常見，甚至初創公司現在也正在接受這些認證。與其關注供應商控制的風險，不如根據以下因素評估風險，例如：

• 員工是否了解企業關于使用購買和使用技術、軟件或SaaS的安全和風險政策?
• 是否會使用任何敏感、機密或受監管的數據?
• 在業務組織中，是誰批準了該技術的使用?
• 該技術將與哪些系統集成?
• 任何非員工都會成為這項技術的用戶嗎?
• 企業里還有多少其他用戶?

3、保護影子IT帳戶

保護影子IT往往說起來容易做起來難。假設能夠在某個位置或網絡上找到物理設備，則很簡單。但軟件(幾乎都是SaaS)要困難得多，因為可以從托管設備上的企業網絡或使用非托管設備從不同位置訪問它。SaaS安全產品(例如CASB)假設可以控制網絡、身份或設備，但現實情況是可能無法控制其中的任何一個。

保護SaaS的最佳方法是在認為SaaS帳戶違反企業政策或員工不再在企業工作時鎖定SaaS帳戶本身。取消配置帳戶本身仍然是可取的措施，但保護它以便沒有人可以訪問該帳戶是關鍵的第一步。

4、協調跨控制點的安全性，降低影子IT的風險

一旦影子技術得到保護，下一步就是通過其他安全點來協調該應用程序的保護。例如，如果SaaS應用程序被認為風險太大，那么企業中的這個應用程序的每個用戶都應該停止使用。作為額外的安全層，企業可能希望阻止訪問網絡上的SaaS站點或在每次有人創建新帳戶時設置警報。

當來自威脅情報源或第三方風險管理系統的數據表明SaaS應用程序已被破壞或已在市場上找到憑據時，協調也很重要。憑據被泄露的用戶應被迫檢查他們擁有的每個帳戶并重置密碼。盡管所有這些都可以通過現有工具以某種方式實現，但實際的工作流程通常沒有設計出來。具有開箱即用自動化的SaaS安全產品在確保安全團隊統一控制點、分析、遙測和操作以保護和控制影子SaaS方面有很大的幫助。

5、安全地接受影子IT

無論如何努力，影子SaaS都會繼續增長。在許多方面，這就像現在大多數企業的標準自帶設備(BYOD)的發展趨勢一樣。隨著消費技術變得與企業產品一樣強大，工作人員發現使用消費設備工作變得更容易、更方便。企業最終將會讓步，并且采用旨在支持BYOD的產品，因為獲得的收益超過了成本。

同樣的事情也發生在影子IT上，更具體地說是SaaS。員工不再需要IT團隊的幫助或許可來購買功能更強大的應用程序。他們只需要采用一個電子郵件地址和自己的信用卡，通常使用可以升級的免費帳戶。IT和安全團隊需要承認這些好處并創建一個框架，讓員工在工作中使用正確的工具，同時對企業技術和數據進行更好的治理和控制。