Le shadow apps rappresentano un segmento del Shadow IT e sono applicazioni SaaS acquistate senza la conoscenza del team di sicurezza. Sebbene possano essere legittime, operano all'interno di aree cieche per il team di sicurezza aziendale, esponendo l'azienda agli attacchi. Queste applicazioni possono includere istanze di software già in uso dall'azienda. Ad esempio, un team di sviluppatori potrebbe creare la propria istanza di GitHub per tenere separato il proprio lavoro dagli altri sviluppatori. Potrebbero giustificare l'acquisto notando che GitHub è già un'applicazione approvata, poiché utilizzata da altri team. Tuttavia, poiché la nuova istanza è utilizzata al di fuori della visibilità del team di sicurezza, manca di governance. Potrebbe archiviare dati aziendali sensibili e non avere protezioni essenziali come l'MFA abilitata, l'SSO applicato o potrebbe soffrire di controlli di accesso deboli. Queste configurazioni errate possono facilmente portare a rischi come il furto di codice sorgente e altri problemi.

Classificazione delle Shadow Apps

Le shadow apps possono essere classificate in base alla loro interazione con i sistemi dell'organizzazione. Due tipi comuni sono le Island Shadow Apps e le Integrated Shadow Apps.

Le Island Shadow Apps sono applicazioni che non sono integrate con l'ecosistema IT dell'azienda. Operano in isolamento dai sistemi aziendali e spesso servono a uno scopo specifico, come la gestione delle attività, l'archiviazione dei file o la comunicazione. Senza visibilità sul loro utilizzo, i dati aziendali possono essere gestiti in modo errato, portando alla possibile perdita di informazioni sensibili poiché i dati sono frammentati su varie piattaforme non approvate.

Le Integrated Shadow Apps sono molto più pericolose, poiché si connettono o interagiscono con i sistemi approvati dell'organizzazione attraverso API o altri punti di integrazione. Queste applicazioni possono sincronizzare automaticamente i dati con altri software, scambiare informazioni con applicazioni sanzionate o condividere l'accesso tra le piattaforme. A causa di queste integrazioni, gli attori delle minacce potrebbero compromettere l'intero ecosistema SaaS, con le shadow apps che fungono da gateway per accedere ai sistemi integrati.

Rischi Principali delle Shadow Apps

Uno dei rischi principali delle shadow apps è che potrebbero non rispettare i protocolli di sicurezza dell'organizzazione. I dipendenti che utilizzano app non sanzionate potrebbero archiviare, condividere o elaborare dati sensibili senza la corretta crittografia o altre misure protettive in atto. Questa mancanza di visibilità e controllo può portare a perdite di dati, violazioni o accessi non autorizzati. Molti settori sono regolati da rigidi quadri normativi (ad esempio, GDPR, HIPAA). Quando i dipendenti utilizzano shadow apps non esaminate o approvate dai team IT o di conformità dell'organizzazione, l'organizzazione potrebbe violare inconsapevolmente queste normative, portando a multe salate, azioni legali e danni reputazionali.

Le shadow apps ampliano la superficie di attacco dell'organizzazione, fornendo più punti di ingresso per i criminali informatici. Queste app potrebbero non aver rafforzato i loro controlli di accesso, consentendo agli hacker di sfruttarle e accedere alle reti aziendali. I dipartimenti IT devono avere visibilità sulle app utilizzate all'interno dell'organizzazione per gestire e proteggere efficacemente i dati dell'azienda. Quando vengono utilizzate le shadow apps, i team IT potrebbero non essere in grado di rilevare trasferimenti di dati non autorizzati o essere inconsapevoli dei rischi derivanti da applicazioni obsolete o insicure.

Soluzioni per la Gestione della Postura di Sicurezza SaaS (SSPM)

Le soluzioni di gestione della postura di sicurezza SaaS (SSPM) sono essenziali per la sicurezza SaaS. Non solo monitorano configurazioni, utenti, dispositivi e altri elementi dello stack SaaS, ma sono essenziali per rilevare tutte le identità non umane, comprese le shadow applications. Le SSPM rilevano tutte le applicazioni SaaS che si connettono a un'altra app (SaaS-to-SaaS), consentendo ai team di sicurezza di rilevare le shadow apps integrate.