加入我们的每日和每周的新闻通讯,获取有关行业领先的AI覆盖范围的最新更新和独家内容。了解更多
安全负责人和CISO发现,越来越多的影子AI应用程序一直在损害其网络,在某些情况下已经有一年多了。
他们不是典型攻击者的贸易。它们是其他值得信赖的员工创建AI应用程序的工作,而安全部门的监督或批准,旨在完成从过去创建的自动化报告到使用Generative AI(Genai)来简化营销自动化,可视化和高级的应用程序。数据分析。Shadow AI应用程序由公司专有数据提供支持,正在培训使用私人数据的公共领域模型。
Shadow AI是什么,为什么要生长?
以这种方式创建的广泛的AI应用程序和工具很少(如果有的话)具有护栏。Shadow AI引入了重大风险,包括意外数据泄露,违反合规性和声誉损害。
这是数字类固醇,使使用它的人可以在更少的时间内完成更详细的工作,经常击败截止日期。整个部门都有Shadow AI应用程序,它们用来将更多的生产力挤压到更少的时间。我每周都会看到这一点,”葡萄etArora,CTOWinwire,最近告诉VentureBeat。部门跳上未经认可的AI解决方案,因为直接的好处太诱人而忽略了。
•我们每天看到50个新的AI应用程序,并且我们已经对12,000多个分类进行了分类。”提示安全性,在最近接受VentureBeat的采访中。这些违约默认约有40%以培训您喂养它们的任何数据,这意味着您的知识产权可以成为其模型的一部分。”
创建影子AI应用程序的大多数员工恶意地行为或试图伤害公司。他们努力应对日益复杂的工作,长期短缺和更严格的截止日期的努力。
正如戈兰(Golan)所说,这就像在环法自行车赛中兴奋剂一样。人们想要优势而不意识到长期后果。
一个虚拟的海啸,没人看到
戈兰告诉VentureBeat。``假装不存在的不是保护您 - 它使您蒙蔽了双眼。使用。为期10天的审计发现了65个未经授权的解决方案,大多数没有正式许可。
阿罗拉(Arora)同意,说:“数据证实,一旦员工批准了AI途径和明确的政策,他们就不再被迫在隐形中使用随机工具。这降低了风险和摩擦。阿罗拉(Arora)和戈兰(Golan)强调,他们在客户公司中发现的影子AI应用程序数量的速度正在增加。
进一步支持他们的主张是最近的结果软件AG调查那发现75%知识工作者已经使用了AI工具,并且46%说即使被雇主禁止,他们也不会放弃他们。大多数影子AI应用程序都依赖Openaichatgpt和Google双子座。
自2023年以来,Chatgpt允许用户在几分钟内创建定制的机器人。VentureBeat了解到,负责销售,市场和定价预测的典型经理今天在Chatgpt中平均有22个不同的定制机器人。
可以理解73.8%CHATGPT帐户的非公司是缺乏安全实现的安全性和隐私控制。双子座的百分比更高(94.4%)。在一项Salesforce调查中,一半以上(55%)接受调查的全球员工承认使用未批准的AI工具。
戈兰解释说,这不是一个单一的飞跃。``这是一波不断增长的功能在外面启动的。它或安全知道。
Shadow AI正在慢慢拆除企业的安全外围。许多人注意到了他们在组织中使用的Shadow AI使用的基础。
为什么影子AI如此危险
•戈兰警告说,如果您粘贴了源代码或财务数据,它有效地存在于该模型内。阿罗拉(Arora)和戈兰(Golan)发现公司培训公共模型,违约将使用影子AI应用程序完成各种复杂任务。
一旦专有数据进入公共域模型,任何组织就会开始面临更大的挑战。对于通常具有重要合规性和监管要求的公共组织而言,这尤其具有挑战性。戈兰指出了即将到来的欧盟AI法案,如果私人数据流入未批准的AI工具,则可以在罚款,罚款和警告中划分GDPR。
传统的端点安全性和数据丢失系统(DLP)系统和平台旨在检测和停止,传统的端点安全性和数据丢失系统和平台也有运行时漏洞和迅速注入攻击的风险。
照明影子AI:Arora的蓝图,用于整体监督和确保创新
Arora正在发现整个在雷达下使用AI驱动的SaaS工具的业务部门。借助多个企业团队的独立预算授权,业务部门正在快速且经常没有安全签名。
Arora告诉VentureBeat,突然之间,您有数十个鲜为人知的AI应用程序处理公司数据或风险审查。”
来自Arora的蓝图的主要见解包括以下内容:
- Shadow AI蓬勃发展,因为现有的IT和安全框架旨在检测它们。阿罗拉(Arora)观察到,传统的IT框架使Shadow AI缺乏对确保业务安全所需的合规性和治理的可见性来壮成长。Arora指出,大多数传统的IT管理工具和流程都缺乏对AI应用程序的全面可见性和控制。”
- 目标:实现创新而不会失去控制。Arora很快指出,员工是故意恶意的。他们只是面临着长期的时间短缺,工作量越来越长,截止日期更紧。AI被证明是创新的特殊催化剂,不应完全禁止。Arora解释说,组织的至关重要的是,在使员工能够有效地使用AI技术的同时,定义策略。” Arora解释说。总禁令经常在地下驾驶AI使用,这只会放大风险。
- 为集中的AI治理提供理由。他建议,与其他IT治理惯例一样,集中的AI治理是管理Shadow AI应用程序蔓延的关键。他看到业务部门采用AI驱动的SaaS工具 - 没有任何合规性或风险审查。统一的监督有助于防止未知应用程序悄悄泄漏敏感数据。
- 连续微调检测,监视和管理影子AI。最大的挑战是发现隐藏的应用程序。Arora补充说,检测它们涉及网络流量监视,数据流分析,软件资产管理,申请甚至手动审核。
- 不断平衡灵活性和安全性。没有人愿意扼杀创新。提供安全的AI选项可确保人们倾向于偷偷摸摸。Arora指出,您可以杀死AI的采用,但可以安全地进行。
开始为影子AI治理制定七部分的策略
Arora和Golan建议他们的客户发现Shadow AI应用程序在其网络和劳动力中泛滥的Shadow AI应用程序遵循这七个指南的影子AI治理:
进行正式的影子AI审核。建立一个基准的基准,该基线基于全面的AI审核。使用代理分析,网络监视和库存来启动未经授权的AI使用。
建立一个负责人AI的办公室。在其安全,法律和合规性中集中政策制定,供应商审查和风险评估。阿罗拉(Arora)看到这种方法与他的客户合作。他指出,创建这个办公室还需要包括强大的AI治理框架和对潜在数据泄漏的员工培训。预先批准的AI目录和强大的数据治理将确保员工使用安全,认可的解决方案工作。
部署AI AWARE安全控制。传统工具错过了基于文本的利用。采用以AI为重点的DLP,实时监控和自动化,以贴上可疑提示。
设置集中的AI库存和目录。经过批准的AI工具的审查列表减少了临时服务的诱惑,当它和安全性主动地经常更新列表时,创建Shadow AI应用程序的动机将减少。这种方法的关键是保持警惕,并响应用户对安全高级AI工具的需求。
授权员工培训这提供了为什么影子AI对任何业务有害的例子。阿罗拉说,如果员工不了解,政策是一文不值的。”教育员工安全的AI使用和潜在的数据不当风险。
与治理,风险和合规性(GRC)和风险管理集成。阿罗拉(Arora)和戈兰(Golan)强调,AI的监督必须与对规范部门至关重要的治理,风险和合规过程有关。
意识到毯子禁令失败,并找到新的方法来快速提供合法的AI应用程序。戈兰很快指出,毯子禁令永远不会起作用,具有讽刺意味的是,更大的影子AI应用程序创建和使用。Arora建议他的客户提供企业安全的AI选项(例如Microsoft 365 Copilot,Chatgpt Enterprise),并提供明确的指导方针,以供负责任。
安全解锁AI的福利
通过结合一种集中的AI治理策略,用户培训和主动监控,组织可以在不牺牲合规性或安全性的情况下利用Genai的潜力。阿罗拉(Arora)的最后要点是:一个由一致的政策支持的单个中央管理解决方案至关重要。您将在维护公司数据的同时增强创新能力,这是两者中最好的。与其彻底阻止它,不如将具有远见的领导者专注于提高安全的生产力,以便员工可以在其条款上利用AI的变革力量。
