当Richard McKinney开始将美国交通部(DOT)迁移到微软Office 365时,他吸取到了宝贵的影子IT教训,其他人在升级和巩固其系统时可借鉴这个教训。
最近刚刚辞去DOT首席信息官职位的McKinney在职时一直在进行转型任务,但当部署Office 365时,他很快发现情况的复杂性,数百台未经授权在网络中运行而未被发现。
McKinney称:“当时我们并没有网络的总体蓝图。”所以McKinney开始创建这样的网络视图,他聘请了名为Decisive Communications公司来梳理DOT的网络以及识别在环境中运行的未授权设备。Decisive使用Riverbed的技术来分析其网络,并迅速发现超过200个以前未检测到的联网设备,包括很多仍然在使用默认密码的设备。
▲Credit: Thinkstock
事实证明,美国交通部的各个行政岗位的工作人员通常不得不自己去加强地方办事处的网络能力。16端口的交换机已经用尽,而办公室仍然在增加更多的工作人员,他们的解决方案可能是去网上购买新的交换机来满足更多用户的需求。
“这就像是自助服务,”McKinney称,“它们更像是消费类设备,而我们会购买更多企业级设备。”
安全和“最薄弱的环节”
对所有这些未经授权网络设备的发现让McKinney停下了工作,他开始思考有关DOT系统安全性的问题。毕竟,如果这么多潜在入口点都在网络运行,而没有中央管理或可视性,这听起来非常不安全。此外,由于网络的平面设计,且没有整体架构的网络,攻击者很容易横向移动到更敏感的关键任务领域。
显然,这些安全问题比IT问题更重要。
McKinney称他还对网络进行了彻底扫描,并没有发现DOT数据或系统受到攻击,但他还发现熟练的攻击者并不会留下任何痕迹。无论如何,McKinney都将其发现报告给了领导层。
由于影子IT相关的安全问题,领导层让McKinney启动项目来重新架构DOT的网络,这个项目仍然在进行中,目前已经给其网络带来更集中的控制和更清晰的分区来隔离不同部门的系统。
这一经验还让其办公室更改了新设备进入网络的内部流程,包括通知不同DOT管理层不能继续使用未经授权和不受管理网络设备,设备进入网络必须通过正式的变更管理流程。
“我认为我们都应该确保对基础设施和网络的清晰的了解,我们必须知道我们拥有什么,并且管理所知道的事物。”
本文转自d1net(转载)