当理查德·麦金尼着手运输部(DOT)部迁移到Microsoft Office 365,他得到了在影子IT,一个宝贵的一课,因为他们希望提升和巩固他们的系统,可以作为一个警示其他政府领导人。
麦金尼,谁只在最近DOT辞去CIO,曾导致出现转机的使命at the department since his arrival, but when it came time for the Office 365 rollout, he quickly discovered how chaotic the situation was, with hundreds of unauthorized devices running undetected on the sprawling network.
“没有人在很多年前坐了下来,专为交通运输部的网络,”麦金尼告诉CIO.com在最近的一次采访,描述了如何在部门的庞大的操作的各种前哨已经“在一起”,网络设备,需要应运而生。“我们没有一个总体,作为 - 是该部门的网络蓝图。”
So McKinney set out to create one. He hired a vendor called Decisive Communications to comb through the DOT's network and identify the unauthorized devices running in that far-flung environment. Decisive used technology from Riverbed to analyze the network, and quickly found more than 200 previously undetected networking devices, including many that still had factory-issued passwords.
[ Related:CIO们的影子IT的大大低估程度]
事实证明,had not been uncommon for staffers at the various administrative outposts of the Transportation Department to take it upon themselves to beef up networking capacity at the local office. Say a 16-port switch filled up and the office was still adding more staff -- the solution might be to go to Best Buy and buy a new switch to accommodate additional users.
"It was like self-serving, if you will," McKinney says. "They tended to be more like consumer devices," he explains, whereas "we would buy more enterprise-ready equipment."
"That brought us a laundry list of equipment that we needed to replace," McKinney says.
安全和“最薄弱环节”
所有这些未经授权的网络设备的发现给麦金尼停顿,提高对交通部门的系统的安全性明显的担忧。毕竟,如果所有这些潜在的切入点是没有中央管理或知名度的网络上运行,这是不是不合理的担心恶意行为者可能已经渗透到系统中。更重要的是,由于网络的“扁平化”的设计 - 没有总体架构的专案开发的产品 - 一种侵入网络的一个低风险的角落里能买得起更敏感,关键领域的访问,麦金尼说。
“一旦你在网络上得到了很容易穿过网络。这不是分割的,”他说。“我认为开车回家的一点,我们在这一起和链条仅是强如最薄弱的环节。”
[ Related:Department of Transportation CIO Leading a Turnaround Mission]
而且很明显,这些安全问题都不仅仅是一个IT问题更大。麦金尼说,他发起的网络进行全面扫描,发现没有证据表明DOT数据或系统被泄露,但他也指出,熟练的入侵者“不要离开饼干的痕迹。”在任何情况下,麦金尼带来了他的研究结果,以部门的黄铜。
“我觉得这是潜在的安全漏洞,这是我的责任,告诉它的政治领导,”他说。“[这是]不仅是一个大开眼界的我们,也大开眼界我们的部门领导地位。”
影子IT启示和相关的安全问题导致麦金尼推出一个项目,重新构建了DOT的网络,努力,虽然仍在进行中,已引入更多的集中控制和更清晰的分割,以封锁现场部门内各主管部门的系统。
经验也迫使他的办公室,改变内部流程,引进新设备,网络,包括政策指令,把各种点主管部门的通知是临时性的,无担保和非托管的网络扩张的时代已经过去。
“我们也在这一点上推出的政策备忘录,告诉整个部门会有不增加设备到网络,而无需通过正式的变更管理过程中去,”他说。“我们有一个,但人们一直忽视它。”
Now, an alumnus of the federal government, he is preaching a message of network visibility and centralized management.
“我认为这是真正的好开始,以确保你有你的基础设施和网络,服务器和到互联网所有连接的清晰和全面的了解,”他说。“我为你一个巨大的支持者一定要知道你拥有什么,而你要管理你所知道的好。”
这个故事,最初是由出版的“DOT如何发现它的网络是由IT影子妥协”CIO 。