一、報導摘要

近年來，企業資安環境日益複雜，其中一個最棘手且難以掌握的威脅，便是所謂的**「影子IT」（Shadow IT）**。影子IT指的是在企業IT部門不知情或未批准的情況下，由員工私自使用或部署的軟硬體、雲端服務或應用程式。一份由資安團隊Intruder發布的報告，以實際證據揭示了這些未受監管的系統如何成為駭客攻擊的溫床，從而顯著擴大企業的整體攻擊面。該團隊透過子網域列舉與憑證透明度（Certificate Transparency, CT）日誌等技術，在短短數天內便發現了大量包含高度敏感資料的未受保護資產，其中包括開放的備份檔案、無須驗證的後台管理介面以及存有敏感憑證的Git儲存庫。這份報告證實，許多企業正面臨著潛在的巨大資安風險，而他們對此可能一無所知。

二、影子IT的形成與資安風險

影子IT的出現通常源於員工為提高工作效率，而選擇使用自己熟悉或更便捷的工具。例如，使用未經公司批准的雲端儲存服務來分享文件、使用第三方專案管理工具來追蹤進度，或是開發人員在未正式註冊的情況下自行架設測試網站。儘管這些行為的出發點是良善的，但它們所帶來的資安風險卻是致命的。

• 缺乏資安防護： 未經IT部門批准的系統通常缺乏基本的資安防護，例如防火牆、加密、定期更新和存取控制。這些系統可能存在未修補的漏洞，容易成為駭客的攻擊目標。
• 資料外洩： 敏感的公司數據可能在不經意間被儲存在未受保護的雲端服務上，一旦這些服務被入侵或設定錯誤，將導致嚴重的資料外洩。
• 憑證外洩： 員工可能會在這些未授權的系統上重複使用公司帳號或憑證，一旦這些系統被入侵，駭客便能利用這些憑證入侵公司的核心網路。
• 繞過資安政策： 影子IT讓員工得以繞過公司的資安政策和合規要求，這使得企業無法有效監控和管理其數位資產，從而在資安管理上產生盲點。

三、實際案例揭露的資安威脅

Intruder團隊的報告透過數個實際案例，清晰地展示了影子IT所帶來的具體威脅：

• 未受保護的網站備份： 報告發現，許多未受監管的子網域上，公開暴露著網站的備份檔案。這些備份通常以可下載的壓縮檔形式存在，任何人都可以直接存取並下載。其中一個案例，研究人員發現一個備份檔案中包含了活躍的API金鑰、原始碼以及整個資料庫的完整備份。這意味著駭客可以輕易地獲取所有數據和憑證，進而完全控制該網站或其相關系統。
• 開放的Git儲存庫： 開發人員可能因為方便而在公共平台上建立Git儲存庫，用來測試或分享程式碼。然而，報告發現，這些儲存庫通常缺乏適當的存取控制，甚至包含有敏感憑證。例如，團隊發現了一個公開的Git儲存庫，其中包含了用於外部服務的MySQL憑證和OpenAI代幣。這些憑證一旦被駭客利用，後果不堪設想。這類事件凸顯了開發者資安衛生習慣的重要性。
• 無須驗證的管理面板： 令人震驚的是，研究人員還發現了許多無須任何驗證即可登入的後台管理面板。這些面板通常用於管理網站、應用程式或基礎設施，其中包含高度敏感的資料，例如伺服器日誌、使用者密碼、API金鑰和應用程式數據。在某些案例中，甚至發現了駭客先前已經入侵的痕跡。這類資產的存在，為駭客提供了一個暢通無阻的入侵後門，讓他們能直接跳過所有傳統的資安防護。

四、對企業資安管理者的建議

Intruder的報告明確指出，解決影子IT帶來的資安風險，關鍵在於持續性的資產盤點與監控。

1. 全面資產盤點： 企業應建立一個持續性的資產盤點流程，利用自動化工具來掃描和列舉所有可能的子網域和數位資產。這包括但不限於透過子網域列舉技術、憑證透明度日誌、域名查詢日誌等方式，來找出那些「隱藏」在暗處的系統。
2. 漏洞管理計畫： 將所有新發現的數位資產納入企業既有的漏洞管理計畫中。這意味著對這些系統進行定期掃描，檢查其是否包含已知的漏洞，並確保所有資安設定都符合公司的政策。
3. 自動化工具導入： 考慮導入自動化的資產監控和漏洞管理平台。這些工具可以幫助資安團隊持續不斷地尋找新的威脅，並在駭客發現並利用它們之前，及時修復漏洞。
4. 員工資安教育： 建立強化的員工資安教育計畫，向員工解釋影子IT的風險，並提供安全、便捷的替代方案。鼓勵員工在發現工作流程中存在效率瓶頸時，主動與IT部門溝通，共同尋找合規的解決方案。

總結而言，影子IT不再是一個無關緊要的管理問題，而是一個實質性的資安威脅。企業必須主動出擊，將其資安管理範圍從已知的資產擴展到所有潛在的數位盲點，才能真正保護自己免於駭客攻擊。

資料來源：https://www.bleepingcomputer.com/news/security/shadow-it-is-expanding-your-attack-surface-heres-proof/