Shadow IT: Riziko, které firmy často podceňují

Shadow IT – tedy systémy a služby provozované ve firmě bez vědomí IT / bezpečnostního týmu – je dlouhodobým a přetrvávajícím problémem. Ačkoliv bezpečnostní politiky většinu těchto aktivit formálně zakazují, v praxi se do infrastruktury organizací stále dostávají neautorizované aplikace, vývojářské instance nebo datové zálohy. Každý z těchto skrytých systémů přitom představuje potenciální vstupní bod pro útočníka.

Bezpečnostní tým společnosti Intruder se rozhodl otestovat, jak rychle a snadno lze takové případy odhalit. Výsledky? Během několika dnů objevili desítky exponovaných systémů, které obsahovaly citlivá data, přístupové údaje a administrační rozhraní bez jakékoliv ochrany. A žádný z těchto případů nevyžadoval složité metody nebo pokročilé techniky útoku.

Jak se Shadow IT odhaluje?

Jednou z nejefektivnějších metod, jak identifikovat neznámé a nezabezpečené systémy, je enumerace subdomén. Vývojáři mohou bez větších překážek nasazovat nové služby, ale aby byly přístupné, zpravidla vyžadují vlastní subdoménu. Tyto subdomény jsou veřejně dohledatelné prostřednictvím Certificate Transparency logů, tedy veřejného registru vydaných TLS certifikátů.

Bezpečnostní analytici z Intruderu využili kombinaci vyhledávání podle klíčových slov (např. „git“, „backup“, názvy běžných technologií) a fingerprintingových nástrojů. Výsledkem bylo přes 30 milionů hostitelů, z nichž mnohé vykazovaly závažné bezpečnostní nedostatky.

Co ukázalo rychlé testování?

Otevřené zálohy a přístupové údaje: Subdomény určené pro zálohování často umožňovaly přístup k veřejně indexovaným souborům – včetně databázových dumpů, zdrojového kódu a aktivních autentizačních tokenů. V některých případech šlo o přihlašovací údaje, které v době testování stále fungovaly.

Citlivá data ve veřejně přístupných Git repozitářích: I vlastní Git servery mohou být bezpečnostním rizikem, pokud jsou špatně nakonfigurované. Intruder objevil např. repozitář aplikace pro správu jazykových modelů (LLM), který obsahoval aktivní přístupové klíče pro služby jako Redis, MySQL nebo OpenAI. Repozitář nebyl nijak chráněn a mohl být indexován veřejně.

Admin rozhraní bez autentizace: Administrační panely přístupné přímo z internetu patří k častým slabinám. Ačkoliv některé vyžadují přihlášení, jiné jsou přístupné zcela bez omezení. Například instance Elasticsearch s otevřeným přístupem vykazovaly známky kompromitace včetně ransomwarových vzkazů. Přes tyto panely byl dostupný detailní pohled na infrastrukturu, uživatelská data nebo logy aplikací.

Systematická chyba u poskytovatele hostingu: Zvlášť závažným případem byla konfigurace u jednoho poskytovatele hostingu, kde se stejná chyba (veřejně přístupné zálohy) opakovala napříč více než stovkou domén. Jednotlivé případy mohly působit jako izolované incidenty, ale pohled z vyšší úrovně odhalil chybu v celém nasazovacím procesu poskytovatele.

Doporučení pro obranu: Zkušenosti z tohoto testování potvrzují, že řízení útočného vektoru není možné bez znalosti všech aktiv, která jsou vystavena do internetu. Shadow IT znamená pro bezpečnostní týmy slepou skvrnu – a to i v organizacích s jinak robustním řízením zranitelností.

Efektivní strategie obrany zahrnuje nepřetržité monitorování nově vznikajících subdomén, automatické zařazení nově objevených aktiv do zranitelnostního managementu a využívání nástrojů pro správu útočné plochy (ASM), které zajišťují automatické skenování skrytých a neautorizovaných aktiv

Vážné rizko

Shadow IT nepředstavuje jen provozní problém, ale vážné bezpečnostní riziko. Organizace, které se spoléhají pouze na známá aktiva a tradiční skenování zranitelností, přehlížejí zásadní část své expozice. Důležité je jednat dříve než útočníci – a to znamená dělat z neviditelného viditelné.

Zdroj: intruder.io

Zdroj ilustračního obrázku: vygenerováno pomocí AI