當(dāng)Richard McKinney開始將美國(guó)交通部(DOT)遷移到微軟Office 365時(shí)，他吸取到了寶貴的影子IT教訓(xùn)，其他人在升級(jí)和鞏固其系統(tǒng)時(shí)可借鑒這個(gè)教訓(xùn)。

最近剛剛辭去DOT首席信息官職位的McKinney在職時(shí)一直在進(jìn)行轉(zhuǎn)型任務(wù)，但當(dāng)部署Office 365時(shí)，他很快發(fā)現(xiàn)情況的復(fù)雜性，數(shù)百臺(tái)未經(jīng)授權(quán)在網(wǎng)絡(luò)中運(yùn)行而未被發(fā)現(xiàn)。

McKinney稱：“當(dāng)時(shí)我們并沒(méi)有網(wǎng)絡(luò)的總體藍(lán)圖。”所以McKinney開始創(chuàng)建這樣的網(wǎng)絡(luò)視圖，他聘請(qǐng)了名為Decisive Communications公司來(lái)梳理DOT的網(wǎng)絡(luò)以及識(shí)別在環(huán)境中運(yùn)行的未授權(quán)設(shè)備。Decisive使用Riverbed的技術(shù)來(lái)分析其網(wǎng)絡(luò)，并迅速發(fā)現(xiàn)超過(guò)200個(gè)以前未檢測(cè)到的聯(lián)網(wǎng)設(shè)備，包括很多仍然在使用默認(rèn)密碼的設(shè)備。

　　▲Credit: Thinkstock

事實(shí)證明，美國(guó)交通部的各個(gè)行政崗位的工作人員通常不得不自己去加強(qiáng)地方辦事處的網(wǎng)絡(luò)能力。16端口的交換機(jī)已經(jīng)用盡，而辦公室仍然在增加更多的工作人員，他們的解決方案可能是去網(wǎng)上購(gòu)買新的交換機(jī)來(lái)滿足更多用戶的需求。

“這就像是自助服務(wù)，”McKinney稱，“它們更像是消費(fèi)類設(shè)備，而我們會(huì)購(gòu)買更多企業(yè)級(jí)設(shè)備。”

安全和“最薄弱的環(huán)節(jié)”

對(duì)所有這些未經(jīng)授權(quán)網(wǎng)絡(luò)設(shè)備的發(fā)現(xiàn)讓McKinney停下了工作，他開始思考有關(guān)DOT系統(tǒng)安全性的問(wèn)題。畢竟，如果這么多潛在入口點(diǎn)都在網(wǎng)絡(luò)運(yùn)行，而沒(méi)有中央管理或可視性，這聽起來(lái)非常不安全。此外，由于網(wǎng)絡(luò)的平面設(shè)計(jì)，且沒(méi)有整體架構(gòu)的網(wǎng)絡(luò)，攻擊者很容易橫向移動(dòng)到更敏感的關(guān)鍵任務(wù)領(lǐng)域。

顯然，這些安全問(wèn)題比IT問(wèn)題更重要。

McKinney稱他還對(duì)網(wǎng)絡(luò)進(jìn)行了徹底掃描，并沒(méi)有發(fā)現(xiàn)DOT數(shù)據(jù)或系統(tǒng)受到攻擊，但他還發(fā)現(xiàn)熟練的攻擊者并不會(huì)留下任何痕跡。無(wú)論如何，McKinney都將其發(fā)現(xiàn)報(bào)告給了領(lǐng)導(dǎo)層。

由于影子IT相關(guān)的安全問(wèn)題，領(lǐng)導(dǎo)層讓McKinney啟動(dòng)項(xiàng)目來(lái)重新架構(gòu)DOT的網(wǎng)絡(luò)，這個(gè)項(xiàng)目仍然在進(jìn)行中，目前已經(jīng)給其網(wǎng)絡(luò)帶來(lái)更集中的控制和更清晰的分區(qū)來(lái)隔離不同部門的系統(tǒng)。

這一經(jīng)驗(yàn)還讓其辦公室更改了新設(shè)備進(jìn)入網(wǎng)絡(luò)的內(nèi)部流程，包括通知不同DOT管理層不能繼續(xù)使用未經(jīng)授權(quán)和不受管理網(wǎng)絡(luò)設(shè)備，設(shè)備進(jìn)入網(wǎng)絡(luò)必須通過(guò)正式的變更管理流程。

“我認(rèn)為我們都應(yīng)該確保對(duì)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)的清晰的了解，我們必須知道我們擁有什么，并且管理所知道的事物。”