行业新闻与博客

什么是影子 IT？

 影子 IT + 数字证书= Ticking Timebomb 

当您的员工在工作中使用您的 IT 或安全团队不知道的软件或硬件时 - 那就是影子 IT。将这些工具称为“未经批准”的使用可能有点强烈，但无论哪种方式，员工都忽略了通过适当的渠道并通知正确的各方。

 存在与此相关的风险。

 在 IT 世界中，当你问某人时，“什么是影子 IT？” 你得到的答案会有很大差异，业内人士将其称为威胁，其他人则更乐观，并建议组织接受它。

 从一些有利的角度来看，尤其是如果您是销售标准渠道之外的产品的公司之一。这对商业有利。当然你喜欢这样。

 但是当谈到网络安全时，事情并不那么乐观。特别是在数字证书的情况下，Shadow IT 可能导致意外的到期，运营停机，收入损失和合规性处罚。

 所以，今天我们将讨论影子 IT，影子证书可能发生的坏事，以及如何通过良好的证书管理选择完全避免这些问题。

Shadow IT 是好事还是坏事？ 

美在旁观者的眼中。如果您是安全团队或 IT 管理员的负责人，影子 IT 很可能是您职业的疱疹 - 您永远无法完全摆脱它，所以您最好的选择就是管理它和您一样能够。 

如果你是像惠普这样的科技公司的负责人，你会更加慈善。 “我们接受用户对新技术，新工具和新流程进行浅层探索的想法。如果他们发现这些使他们的工作更容易的应用程序或服务，使他们更有效地销售或更好地运营供应链或更好地采购人才，那么每个人都会赢。“ 或思科： 获得授权的用户可以快速轻松地获得可提高工作效率的工具，并帮助他们与同事和合作伙伴进行高效互动。

 据迈克菲称，80％的员工承认在没有 IT 部门批准的情况下在工作中使用 SaaS 应用程序。事实上，对于许多员工而言，他们甚至不会三思而后行。

 一般来说，Shadow IT 应用程序有三种：

• 可从公司网络访问的基于云的应用程序 
• 使用 0Auth 令牌可访问基于云的应用程序 
• 加载到设备或系统中的现成软件 

但这只是应用程序。还有硬件，可以是从员工的个人电话到为组织内部特定功能而获得的专有技术。 

如果 IT 部门或安全团队不了解它，那就是影子 IT。

 与硬件或应用程序相比，数字证书更像是 Shadow IT 资产。但它甚至可能更加危险，因为即使是单一的证书也不会意识到打开了一系列潜在危险的大门。我们将在短时间内了解这些内容，现在让我们关注这个： 

虽然可以在其他环境中对 Shadow IT 进行不可知，但在涉及安全证书时 - 这无疑是一件坏事。 

数字证书和影子 IT 可能出现什么问题 

对于许多组织而言，证书到期的威胁似乎相当抽象，直到它粗暴地抨击他们的脸。这通常足以让它成为焦点。当你听到“操作停机时间”或“生产力损失”这样的事情时，在你实际处理它之前并没有多大意义。

 例如，像 LinkedIn 这样的公司，只有一个证书到期并淘汰其链接缩短服务。这意味着任何试图点击 LinkedIn 缩短链接的人都会收到错误，无法到达目的地。仅仅是停机时间，考虑到 LinkedIn 每年赚的钱，花费数百万美元。而这甚至都没有让所有生气的客户无法使用该服务，或者使用该服务进行营销而无法联系到自己的客户。 而最后一部分很难量化，但在某种程度上，它归结为信任。信任是货币。当您说自己时，客户和业务合作伙伴希望您对业务开放。他们相信您的服务能够顺利运行 - 不会中断。当事情不能以这种方式发挥作用时，信任开始变得紧张。

 同样，你无法量化所有这些。 

仍然，KeyFactor 试图。在最近的一项研究中，它在对数百名 IT 和安全专业人员进行投票后，在 24 个月内推断了每个组织的成本。

 它开始加起来。

数字证书的问题在于，在考虑更大的图景时很容易忽视它们。例如，你正在开展一个优先项目，你正处于最后的危机之中，将其交给他们 - 纯粹是因为某人获得了证书，IT / 安全从不风。

 这完全可以理解。甚至四五年前，在更大的计划中，它仍然没有那么重要。但是现在数字证书的使用已经爆发，PKI 已经成为互联网和网络的重要组成部分 - 它可能是灾难性的。 

当证书过期时，您所拥有的许多策略和机制可以帮助安全性最终阻碍您的组织。以美国政府于 2019年关闭为止，因为联邦网站被认为是 HSTS 预载列表 - 需要安全连接才能到达网站 - 随着关机的继续和更多证书到期，它使这些网站成为可能在证书中断期间完全无法访问。

 当过期的数字证书（无论是 SSL / TLS 还是签名）是在标准渠道之外获得的，您实际上是在相当于鹅追逐的 PKI 上发送您的 IT 团队。随着管理层和高级管理人员向后呼吸，他们现在必须找到导致问题的证书，获得替换件然后安装它并随时进行任何配置调整。

 您是否希望在凌晨 3 点被传唤为高级管理人员和利益相关者进行证书轮换舞会？这可能不是任何人想要跳的手榴弹。 

同样，它很容易让它发生。关键是不要批评任何人 - 它应该指出它不需要首先发生。 

防止影子 IT 证书

 在古罗马，公司过去通过将序列号和有效日期刻入实习生的肉体来跟踪数字证书。当他们的空间不足时，你的实习就结束了。通常，由于专有原因，记录需要在之后被粉碎，这证明......有问题。 

今天，我们已经远远超出了那些原始的证书管理系统，但许多组织仍在牺牲 PKI 众神的 X.509 祭坛上的未付款。证书管理实际上从未如此简单。

 坦率地说，企业客户是所有这些中最大的赢家。如今，组织可以选择由 CA 自己运行的证书管理平台，就像您在 Sectigo 证书管理器或 DigiCert 的 Cert Central 平台上看到的那样。或者您可以使用 Venafi 或 KeyManager Plus 等第三方平台，通过单一统一界面或模块访问多个 CA. 

使用这些工具之一，防御 Shadow IT 证书非常简单。

扫描和库存

 配置证书管理解决方案因平台而异，有些可以通过几次单击设置，而其他可能需要提供商协助您。无论哪种方式，一旦您的证书管理解决方案启动并运行，您可以快速轻松地扫描和清点您的网络。

 只需查询要扫描的域，IP 地址或网络，您的管理工具将完成剩下的工作。它将找到当前驻留在您的网络上的所有证书并将其全部记录下来。在某些情况下，您甚至可以获得存储它们的位置。您可以定期扫描，每天，每周，每月 - 虽然建议不要在扫描之间再扫描（甚至一个月之间推动它）。   

扫描完成后，您应该拥有可从仪表板查看的所有数字证书的列表。当我们讨论可见性时，这就是我们所指的。正如伟大的 Yogi Berra 所说，如果你看不到它，你就无法按时更新它。 

自动化一切 

在证书管理方面，自动化是你的朋友，毕竟，手动处理所有这些证书需要花费大量的时间和精力。只有少数证书才是这样。在规模上几乎是一个要求。 

有多种自动化方法。许多组织喜欢使用 Microsoft CA 和活动目录，可以通过 Sectigo 证书管理器等平台进行管理。 

越来越多的 CA 也开始支持 ACME 协议，该协议允许您在服务器上安装客户端 / 代理，并完全自动化所有证书请求，续订和撤销。DigiCert，Sectigo，让我们加密，无数其他 CA 支持 ACME，可以配置为定期 ping 服务器。几个星期前我们在 ACME 上进行了深入研究。这很棒。只需设置并忘记它。

升级通知 FTW

 仅仅因为你自动化的东西并不意味着你不应该仍然了解事情。通知有助于此。在制定证书管理决策时，您应该做的第一件事就是创建一个安全策略来管理谁有权做什么。

 该政策的一部分应该是一个通知结构，随着其升级，它继续在其他更高位置的利益相关者中循环。在到期前 60 天，您可能只想向 IT 管理员发送通知，但随着到期日期越来越近，越来越多的人需要了解它。如果需要，一直到高管。

 如果没人知道，没人能解决问题。如果每个人都知道并且没有人修复它，那就是组织文化问题，我们没有多少专业知识，甚至最好的证书管理工具都无法帮助解决这个问题。 通常它是前者。组织只是不知道。虽然我们不能真正找出犯这种错误的错误 - 它发生了 - 随之而来的后果并不能说明它是否是偶然的。他们达到了你的底线。