ShadowIT e l’importanza di un CASB di nuova generazione

Qualche giorno fa, su LinkedIn ho avuto modo di leggere di ShadowIT. Siamo sempre appassionati di “nuove” Buzzwords” ma di cosa si tratta ?

ShadowIT questo sconosciuto.. per davvero

Lo ShadowIT  è il cosiddetto IT Ombra, cioè strutture IT completamente non autorizzate che esistono in azienda. Un esempio ? L’utilizzo di Dropbox non autorizzato all’interno dell’azienda, o anche al di fuori di essa. E’ il solito problema dell’azienda che dice di non usare il cloud senza sapere che in realtà i suoi dipendenti il cloud lo usano, eccome. Skype, Gmail, Google Docs, Dropbox, Slack ma anche fogli Excel con macro che sostituiscono i gestionali (vedi immagine).

Quando si parla di ShadowIT si parla di tutti i fenomeni e oggetti che fondamentalmente non sono controllati dall’IT centrale e sui quali non c’è necessariamente una presa di posizione da parte del management.

 

ShadowIT è già realtà.. complicazioni comprese

Rimarreste stupiti nello scoprire quanti servizi cloud sono già utilizzati nella vostra azienda senza che ne siate mai venuti a conoscenza. Non si contano i casi in cui ci si aspetta di trovare poche decine di servizi cloud durante un audit e poi si scopre che in realtà ce sono centinaia di tipologie, più o meno diverse.  Se i dipendenti utilizzano strumenti non approvati dal dipartimento IT,  è probabile che ci sia qualcosa che non va nelle policy aziendali. 

Quasi tutte le organizzazioni moderne oggi si trovano di fronte a una qualche forma di “ombra”: i dipendenti potrebbero utilizzare il proprio Google Drive o Dropbox per rendere disponibili i file off-site, o forse usare una licenza privata di Word Online. E purtroppo, i dati cloud non conosciuti possono essere difficili da gestire con il GDPR (ecco, l’ho scritto)

Strumenti vecchi per problemi nuovi

E’ evidente che riuscire a gestire questo genere di flussi è estremamente complesso. Ci sono i firewall, vero, ma all’esterno dell’azienda diventa un problema. Ci sono gli endpoint, ma spesso non sono sufficientemente adeguati, e in pratica non nascono per controllare questo genere di problema.
E’ ovvio che il problema del data leakage diventa enorme e identificare questo genere di questione ( e magari istruire i propri utenti) non è sempre semplice.

I CASB di prima generazione (CASB: Cloud Access Security Broker) si affidano a degli elenchi manuali di app “cloud” per poter rilevare lo ShadowIT. Un po’ come fanno alcuni Firewall Applicativi, cercano signature e pattern noti. Ogni app quindi deve essere valutata singolarmente in modo che il suo livello di rischio possa essere identificato. Deve inoltre essere associato a domini e indirizzi IP in modo che possa essere rilevato nei registri di rete o nei proxy. Sfortunatamente, esistono così tante app che è impossibile raccogliere tutte le informazioni necessarie manualmente.

Nuovi strumenti e nuove risposte

Sembra complicato eh? BeSafe ha trovato una risposta in Bitglass, il Next-Generation CASB.

Grazie ad un Next-Gen CASB è possibile automatizzare questo processo per stare al passo con il numero in continua espansione di app cloud.

La classificazione automatica delle app è infatti un’attività complicata. Può essere difficile separare quelli che sono affidabili da quelli dannosi. Con Bitglass, l’apprendimento automatico valuta le nuove app effettuando ricerche nelle loro pagine Web per selezionare parole chiave e informazioni. Da lì, questi dati vengono automaticamente confrontati con quelli di app cloud simili per determinare il rischio relativo di ogni applicazione.

Un’altra sfida per il rilevamento dello ShadowIT è l’associazione appropriata dei log del traffico Web con le singole app. Se i dati per queste associazioni sono incompleti, la misura in cui vengono utilizzate app specifiche può essere completamente travisata. I log del traffico web delle aziende in genere forniscono i domini (indirizzi IP) visitati dai dipendenti. Tuttavia, questi indirizzi IP possono essere associati ad AWS o reti di distribuzione del contenuto (CDN) che mascherano le app associate. Ad esacerbare ulteriormente questo problema, è il fatto che più app possono condividere un singolo dominio. Ad esempio, Office 365 ha molte app su un servizio. Per questo motivo, i prodotti di rilevamento dello ShadowIT devono analizzare sottodomini e dati URL per identificare le app e differenziare quelle secondarie.

Attraverso il machine learning, Bitglass è in grado di scoprire e categorizzare automaticamente le nuove app – il database è in costante crescita. Non c’è quindi bisogno di preoccuparsi di elenchi piccoli o obsoleti di app che potrebbero trascurare quelle principali o le secondarie utilizzate dai dipendenti. 

Incuriosito ? Chiedici qualche informazione in più!

 

Se l'articolo ti è piaciuto, lascia un like !
Oppure condividi questa pagina

Maurizio Bertaboni

Nato a Milano, vive da sempre sul lago di Garda. Suona il pianoforte, il basso elettrico e da qualche anno si cimenta con il violino. Si è di recente iscritto a un corso di scultura del legno. Ottiene misteriosamente la maturità classica nonostante dedichi interamente le sue giornate al PC, trascurando gli amici Seneca e Cicerone. Nel 1999 si avvicina al mondo Linux, nel 2000 incontra i Macintosh, diventa web designer e infine sistemista. Nel 2006 decide di mettersi in proprio come consulente in ambito enterprise, scoprendosi, ogni giorno di più, programmatore. Dal 2010 è in BeSafe in qualità di socio, dove si butta a capofitto nella programmazione sicura (in ambienti opensource) legata all’erogazione di servizi. Da sempre appassionato di retrocomputing e modding, si sente l’"hacker del gruppo"

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.