2025-08-25
8分钟阅读
公司环境的数字景观一直是效率和安全性之间的战场。多年以来,这以“阴影“使用未经许可的笔记本电脑或云服务来使工作更快地完成工作的员工成为狩猎这些流氓系统的硕士,制定了防火墙和政策,以使混乱命令。
但是,新的边界是不同的,可以说更加微妙和危险。
想象一支工程师团队,深入开发了开创性的新产品。他们正处于紧迫的截止日期,而初级工程师试图优化他的工作流程,将专有算法的片段粘贴到了一个受欢迎的公共AI Chatbot中,要求它重构代码以提高性能。该工具很快返回了修订的代码,工程师对结果感到满意,对其进行检查。他们没有意识到的是他们的查询和代码片段现在已成为AI Service Service的培训数据的一部分,或者可能由提供商记录和存储。没有任何人注意到,该公司的知识产权中的关键部分刚刚被派出了组织的控制之外,这是一个无声且不受监控的数据泄漏。
这不是一个假设的情况。这是新现实。由这些功能强大的AI工具授权的员工现在正在使用它们,从总结机密文档到生成营销副本,甚至是编写代码。传统的安全工具通常看不见公司,这些数据通常是不可见的,这些工具从未构建来了解浏览器选项卡与大型语言模型相互作用的细微差别。这种安静,不受管理的用法是“影子AI”,它代表了一个新的高风险安全盲点。
为了应对这一点,我们需要一种新的方法,该方法可为这一新的应用程序提供可见性,并为安全团队提供所需的控制,而不会阻碍使这些工具如此有价值的创新。
这是它报告的Cloudflare阴影所在的地方。它不是要阻止威胁的列表,而是一种可见性和分析工具,旨在帮助您在问题成为危机之前了解问题。Cloudflare无需依靠猜测或试图手动寻找每个未经批准的应用程序,而是客户可以利用其流量中的见解来获得清晰的,数据驱动的图片,以了解其组织的应用程序使用情况。
该报告提供了您的应用程序活动的详细,分类的视图,并很容易缩小到AI活动。我们利用我们的网络和威胁情报功能来识别和分类AI服务,识别诸如ChatGpt,Github Copilot等通用模型,例如Github Copilot,以及用于营销,数据分析或其他内容创建的专业工具,例如Leonardo.ai。这种颗粒状视图使安全团队不仅可以看到那员工正在使用AI应用,但是哪个AI应用程序,以及用户正在访问的应用程序。
尖锐的用户可能已经注意到我们有一个阴影一段时间的功能 - 那么发生了什么变化?而Cloudflare Gateway则是我们的保护网络网关(SWG),已经录制了一些数据,一段时间以来,用户想要更深入的见解并报告其组织的应用程序使用情况。CloudFlare网关每天为我们的最大用户处理数亿行的应用程序使用数据,该规模正在将查询问题引起较大的时间窗口。此外,原始实现缺乏过滤和自定义功能,无法正确调查AI应用程序的使用情况。我们知道这是我们的客户喜欢的信息,但是我们做得很好,可以向他们展示它。
解决这是一项跨团队的努力,需要我们的分析和报告工程师进行全面改革。您可能最近看到了我们的工作2025年7月的博客文章详细介绍了我们如何采用TimeScaledB来支持我们的分析平台,解锁我们的分析,使我们能够汇总并压缩长期数据以极大地提高查询性能。这解决了我们最初在规模周围面临的问题,使我们的最大客户长期以来查询他们的数据。我们的爬行者从Gateway收集原始的HTTP流量数据,我们将其存储到时间尺度数据库中。
一旦数据在数据库中,我们就会在数据库中围绕阴影IT和AI用例构建了特定的,实现的视图,以支持该功能的分析。尽管我们构建的现有HTTP分析均以帐户上的HTTP请求为中心,但这些特定视图围绕与应用程序相关的信息,例如:我的哪些用户将未批准的应用程序?他们要消耗多少带宽?意外的地理位置与未经浏览的应用程序相互作用中是否有最终用户?哪些设备使用最多的带宽?
在过去的一年中,该团队为我们遇到的分析定义了一个固定的框架。我们的时间表图和顶部N图都可以按持续时间和所示的相关数据点进行过滤,从而使用户可以深入到特定的数据点,并查看其公司流量的详细信息。我们通过检查我们拥有的数据并研究AI应用程序如何向客户提出可见性挑战来对其进行了大修。从那里我们利用现有框架并建造了IT仪表板的阴影。这提供了我们知道客户需要的应用级可见性。
1。代理您与网关的流量
系统的核心是Cloudflare网关,无论用户在哪里,您组织的所有互联网流量都有在线过滤器和代理。当员工试图访问AI应用程序时,他们的流量通过CloudFlareâ的全球网络流动。CloudFlare可以检查包括主机名在内的流量,并将流量映射到我们的应用程序定义。TLS检查对于网关客户来说是可选的,但是ShadowIt Analytics需要它。
交互记录并绑定到用户身份,设备姿势,消耗带宽甚至地理位置的位置。这种丰富的环境对于理解谁在使用哪些AI工具,何时和从哪里使用。
2。审查申请使用
然后,所有这些颗粒数据都在我们的阴影报告在您的Cloudflare中,一个仪表板。只需过滤AI应用程序,因此您可以:
高级概述:立即了解您组织的AI采用。请参阅使用的最高AI应用程序,总体使用趋势以及正在处理的数据量。这将帮助您确定和针对您的安全和治理工作。
颗粒钻头:需要更多细节吗?单击任何AI应用程序以查看特定用户或访问它的组,其使用频率,位置和传输数据量。此详细信息可帮助您查明使用公司周围AI的团队,以及向这些应用程序流入多少数据。
Shadowit Analytics仪表板
3。标记申请批准状态
我们知道,并非所有的AI工具都是平等创建的,您组织的舒适度将会有所不同。影子AI报告引入了一个灵活的框架申请批准状态,允许您正式对每个检测到的AI应用程序进行分类:
得到正式认可的:这些是通过您的内部安全审查的AI应用程序,符合您的政策,并已正式批准使用。
未批准:这些是红灯应用。也许他们有关于数据隐私政策,漏洞的历史,或者只是与您的业务目标不符。
在评论中:对于那些灰色区域的应用程序或新发现的工具,此状态使您的团队在进行全面的尽职调查的同时承认他们的用法。它为您提供时间做出明智的决定而无需立即干扰。
在仪表板中查看并标记申请状态
这些批准状态与Cloudflare网关政策。这使您可以在CloudFlare的网络边缘自动执行您的AI决策,从而确保每个员工在工作的任何地方都保持一致的安全性。
在这里,您如何将决策转化为内联保护:
块未批准的AI:最简单,最直接的动作。创建一个网关HTTP策略,该策略将所有流量阻止标记为“未批准”的任何AI应用程序。这立即关闭了风险的数据剥落。
限制“审查”曝光:对于仍在评估的应用程序,您可能不需要一个硬块,而是对潜在风险的软限制:
数据丢失预防(DLP):CloudflareDLP检查和分析流量是否敏感数据(例如,信用卡号,PII,内部项目名称,源代码),然后可以阻止转移。通过将DLP应用于“审核” AI应用程序,您可以防止包含此专有数据的AI提示,并通知用户为什么会阻止提示。这可能使我们可怜的初级工程师免于他们的注意力。
限制特定的行动:仅阻止文件上传,允许基本交互,但可以防止质量数据出口。
孤立风险会议:路由流量通过Cloudflare的浏览器隔离。浏览器隔离在安全的远程容器中执行浏览器会话,从您的公司网络中隔离所有数据交互。有了它,您可以控制文件上传,剪贴板操作,减少键盘输入等等,并在查看该应用程序时减少与应用程序的互动。
审计“批准”用法:即使对于您信任的AI工具,您也可能需要记录所有互动以进行合规性审核或应用特定的数据处理规则以确保持续遵守内部政策。
此工作流使您的团队能够始终如一地审核您的组织AI使用情况,并轻松更新政策以快速,轻松地降低安全风险。
带有CloudFlare Log Explorer的取证
尽管Shadow AI报告提供了出色的见解,但安全团队通常需要进行更深入的法医调查。对于这些高级情况,我们提供CloudFlare Log Explorer。
Log Explorer允许您直接在Cloudflare仪表板或API中存储和查询Cloudflare日志Siems每次调查。它提供完整上下文的原始,未采样的日志数据,从而实现快速和详细的分析。
Log Explorer客户可以通过预先填充的SQL查询来潜入Shadow AI日志中Cloudflare Analytics,对AI用法进行更深入的调查:
日志搜索
如何使用Log Explorer调查Shadow AI:
跟踪特定的用户活动:如果Shadow AI报告标记“评论”或“未批准” AI应用程序上具有较高活动的用户,则可以通过用户,应用程序类别或特定的AI Services访问Log Explorer并查询。
分析数据剥落尝试:如果您配置了DLP策略,则可以与AI应用程序类别一起搜索DLP匹配。这有助于确定将敏感数据上传到AI应用程序的尝试,并准确指出正在传输的数据。
识别异常AI用法:Shadow AI报告可能会显示特定AI应用程序的使用情况。在Log Explorer中,您可以在特定时间范围内按应用程序状态(在评论或未批准)中过滤。然后,寻找异常的模式,例如单个源IP地址的大量请求,或意外的地理起源,这可能表明账户或逃避政策逃避尝试。
如果AI可见性是您组织的挑战,那么Shadow AI报告现已用于CloudFlare One客户,这是我们更广泛的Shadow IT发现功能的一部分。登录到您的仪表板今天开始重新获得可见性并塑造您的AI治理策略。
准备现代化如何确保对AI应用程序的访问?接触凭借我们的Cloudflare,一位有关如何恢复可见性和控制的安全专家。
或者,如果您还没有准备好与某人交谈,那么CloudFlare中的几乎所有功能都可以免费提供50个用户。我们许多最大的企业客户首先要根据我们的免费计划探索产品,并且你可以在这里开始。
如果您有反馈或想要帮助塑造Cloudflare如何增强阴影AI的可见度,请考虑加入我们的用户研究计划。
Cloudflare的连接云保护整个公司网络,帮助客户建造有效的互联网规模应用程序,加速任何网站或互联网应用程序,,,,DDOS攻击的病房,保持黑客在海湾,可以帮助您您零信任的旅程。
访问1.1.1.1从任何设备开始使用我们的免费应用程序,该应用程序使您的互联网更快,更安全。