美国交通部对Shadow IT的安全管理启示录

在RichardMcKinney开始计划为美国交通部（DOT）的办公设备部署Microsoft Office 365的过程中，shadow IT给他上了宝贵的一课。对于其他想要升级或加固办公及网络系统的政府部门领导人来说，这个故事同样具有很好的教育意义。

FreeBuf百科：什么是“shadow IT”？

随着法规日趋完备、网络建设与应用渐趋成熟，以及软硬件技术的不断精进，企业信息安全的重要性，但也面临更为严峻的挑战。尤其是近年来，因为智慧手持装置的兴起，愈来愈多的员工，希望能使用自己熟悉的智能型手机或平板工作，BYOD(BringYour Owe Device)的风潮也已经渐渐被企业所接受，但也因此衍生过去从未发生过的资安议题，Shadow IT的问题也开始延烧。 云安全联盟（CSA）将shadow IT定义为“在企业IT部门以外所发生的技术投入和部署，包括个别员工、团队和业务部门所采用的云应用程序。”近一半的受访者(49%)表示，关于shadow IT，他们主要关心的是企业数据在云中的安全性。

在此之前，McKinney曾是美国交通部（DOT）的首席信息官，但是他却在前段时间向DOT递交了辞呈。

实际上，在他走马上任之前，DOT的网络安全状况简直是“一片狼藉”。当时，微软公司刚刚推出了Office 365，而且Office 365在政府部门内的受欢迎程度非常高，但随之而来的安全问题也不容忽视，因为任何时候都有可能有上百个未经授权的设备可以不受任何监控地访问DOT的网络系统，而这种情况是每一位CIO都不愿意看到的。

近期，McKinney在接受CIO.com的采访时表示：

毫无疑问，当初并没有人专门为DOT设计过一套合适的网络系统。由于交通部门的业务范围非常广，而交通部门的各种终端联网设备数量也越来越多，因此DOT急需一个量身定做的网络系统来更好地管理这些设备。但是，我们现在甚至连一份部门网络系统的完整设计蓝图都还没有。

前人栽树，后人可以乘凉吗？

于是McKinney必须有所行动了，他聘请了一家名叫“Decisive Communications”的供应商来整理美国交通部当时杂乱无章的网络系统，并识别所有远程访问该网络的未经授权设备。Decisive所用的技术来自于Riverbed公司，在该公司的技术人员对美国交通部的网络进行了分析之后，立刻发现了超过两百多个之前从未检测到的联网设备，而且其中还有很多设备使用的仍是出厂密码。

原来，美国交通部的很多下属部门（包括交通哨岗）都会在自己的办公地点添加各式各样的网络设备来满足职员的需求。比如说，如果办公室里的十六孔交换机全部插满了网线，而此时办公室还有很多设备仍然需要更多的网线（假设无线网络不是可选项），所以交警们的解决方案可能就是上“X宝”然后网购一台新的交换机来满足需求。

如果有需要的话，很多地方办公室通常会自行购买消费者级别的联网设备，这种情况越来越常见了。因此，我们在将来会购买更多的企业级设备，并且还需要将之前这些不符合政府部门安全要求的设备替换掉。

信息安全的阿喀琉斯之踵

在发现了这些未经授权的网络设备之后，McKinney不得不停下手头上的工作，因为这些不知从何而来的设备肯定会影响DOT的系统安全性，这一点是毋庸置疑的。如果这些潜在的网络接入点能够一直在一个缺乏中心管理节点或可视化管理方案的网络系统中运行的话，那么我们同样可以认为，恶意攻击者一样可以在不受任何监控的情况下渗透并感染DOT的网络系统。更糟糕的是，由于DOT的网络系统存在严重的设计缺陷，因此当攻击者入侵了该系统中的一个安全薄弱点之后，他就可以访问更多的敏感信息。

McKinney表示，由于整个网络全部是联通的（未进行网络分割），那么当攻击者成功渗透进了DOT的网络系统之后，他就可以轻而易举地遍历整个网络。正是由于网络系统中的所有设备全部是“拴在一条绳上的蚂蚱”，所以整个系统的安全性将完全取决于“安全薄弱点”的健壮程度，也就是所谓的“木桶原理”。

除此之外，这些安全缺陷已经不仅仅是一种简单的IT问题了。McKinney表示，他已经对DOT的网络系统进行了一次彻底的安全扫描，但是目前还没有发现任何证据可以表明美国交通部的网络系统或数据库遭到过非法入侵。但是他同时指出，技术高超的黑客在入侵之后是不会留下痕迹的。

因此，McKinney必须将他的发现上报给政府高层。McKinney说到：“我认为这是一种潜在的安全漏洞，而我必须将这个信息上报给政府领导，这也是我应尽的责任。因为现在不仅只有美国交通部存在这个问题，政府的很多其他部门同样也存在这种问题。”

解决方案：重构网络架构

在发现了Shadow IT所带来的安全问题之后，McKinney启动了一个重构美国交通部网络架构的项目，目前该项目仍在进行之中。根据他的描述，技术人员将在网络系统中增加更多的集中化控制，并对各个部门内部的网络系统进行更加清晰的划分。

除此之外，美国交通部目前也在着手改进部门引进新的网络设备的内部管理流程。当部门需要引入新的网络设备时，有关人员必须要将信息上报给管理层，并以此来禁止部门职员通过一些不安全的网络设备来扩展不受管理的网络接入点。McKinney表示：“其实美国交通部早就已经出台了相关的政策了，即禁止部门在没有经过正规管理审核的情况下擅自添加网络设备，但是很多人往往会直接忽略这条规定。”

McKinney认为这是一个非常好的开始，我们必须要百分之百地了解自己的网络系统，包括网络架构、服务器、以及所有的网络接入点。只有当我们清楚地知道自己拥有什么，我们才能更好地保护它们。