Justo antes de la Navidad pasada, en un caso único en su tipo, JPMorgan recibió una multa de $ 200 millones para los empleados que usaron aplicaciones no autorizadas para comunicarse sobre la estrategia financiera. No se menciona el uso de información privilegiada, la venta al descubierto o cualquier malevolencia. Solo empleados que eluden la regulación usando, bueno, Shadow IT. No porque trataron de ofuscar u ocultar algo, simplemente porque era una herramienta conveniente que preferían sobre cualquier otro producto sancionado (que JPMorgan ciertamente tiene bastantes).
La visibilidad de aplicaciones desconocidas y no autorizadas ha sido requerida por los reguladores y también recomendada por la comunidad del Centro para la Seguridad de Internet durante mucho tiempo. Sin embargo, parece que todavía hay demanda de enfoques nuevos y mejores. Gartner ha identificado la gestión de la superficie de ataque externo, el riesgo de la cadena de suministro digital y la detección de amenazas de identidad como las tres principales tendencias en las que centrarse en 2022, todas las cuales están estrechamente relacionadas con Shadow IT.
Los «ID ocultos», o en otras palabras, las identidades y cuentas de empleados no administrados en servicios de terceros a menudo se crean utilizando un simple registro basado en correo electrónico y contraseña. Las soluciones CASB y SSO corporativas se limitan a unas pocas aplicaciones sancionadas y tampoco se adoptan ampliamente en la mayoría de los sitios web y servicios. Esto significa que gran parte de la superficie externa de una organización, así como las identidades de sus usuarios, pueden ser completamente invisibles.
Sobre todo, estos Shadow ID permanecen sin administrar incluso después de que los empleados dejan la organización. Esto puede dar lugar a un acceso no autorizado a datos confidenciales de clientes u otros servicios basados en la nube. Las identidades creadas por los empleados, pero relacionadas con el negocio, tampoco se ven para la mayoría de las herramientas IDM/IAM. El cementerio de cuentas olvidadas pertenecientes a ex-empleados o aplicaciones abandonadas crece cada día, hasta el infinito.
Y a veces, los muertos se levantan de sus tumbas, como con la Comisión Conjunta de Ética Pública, cuyo sistema heredado fue violado este año, a pesar de que ha estado fuera de uso desde 2015. Con razón notificaron a sus usuarios heredados porque entienden que la reutilización de contraseñas puede a lo largo de varios años y, según Verizon, las credenciales robadas siguen siendo el principal contribuyente a todo tipo de infracciones y ataques. Entonces, cuando las Shadow ID se quedan atrás, crean un riesgo eterno que nadie puede ver ni administrar.
¿Cómo informar sobre Shadow IT y Shadow ID?
Desafortunadamente, el monitoreo de la red no da en el blanco, ya que esas herramientas están diseñadas para filtrar el tráfico malicioso, brindar protección contra la fuga de datos y crear reglas basadas en categorías para la navegación. Sin embargo, son completamente ciegos a los inicios de sesión reales y, por lo tanto, no pueden diferenciar la navegación, las cuentas privadas y los registros de aplicaciones corporativas (o sitios de phishing). Para descubrir y administrar Shadow IDs y Shadow IT, es necesario implementar un monitoreo a nivel de aplicación y de cuenta, que pueda crear una fuente confiable y global de la verdad en toda la organización.
Descubrir estos activos a través del monitoreo del uso de credenciales relacionadas con el negocio en cualquier sitio web permite una vista unificada de las aplicaciones no autorizadas o no deseadas. Los inventarios de aplicaciones y cuentas brindan visibilidad del verdadero alcance de los servicios externos y las identidades utilizadas en toda la organización. Además, permiten la revisión de proveedores externos sobre sus políticas, medidas de seguridad y autenticación, y cómo están administrando y manteniendo sus datos.
Es imposible categorizar adecuadamente todos los cuartos de millón de nuevos dominios que se registran cada día en todo el mundo, por lo que monitorear aquellos que aparecen en nuestros terminales es el enfoque correcto. Como efecto secundario, revelar inicios de sesión en aplicaciones sospechosas o nuevas dar visibilidad a los ataques de phishing exitosos que no se impidieron en una puerta de enlace o del lado del cliente, y donde los empleados entregaron credenciales importantes.
Scirge es una herramienta basada en navegador que proporciona una visibilidad completa de Shadow IDs y Shadow IT, higiene de contraseñas para cuentas web corporativas y de empresas de terceros, e incluso educación y concienciación de los empleados en tiempo real. Y también tiene una versión completamente gratuita para auditar su huella en la nube, para que pueda obtener una vista inmediata del alcance de Shadow IT entre sus empleados.