CISO的噩夢:影子AI
責編:gltian |2023-10-30 14:30:15影子IT,即員工使用未授權IT工具的現象,在職場中已經存在了幾十年。現在,隨著生成式AI的野蠻生長,CISO開始意識到,他們正面臨比影子IT更加可怕的內部威脅:影子AI。
對于企業來說,員工使用的影子AI(尤其是生成式AI)雖然可帶來生產力的大幅提升,但由于生成式AI自身正面臨提示注入等多種攻擊,很可能給企業帶來數據泄露、內容安全等新興威脅。
此外,國內外的大語言模型正在大量IT系統中飛速普及,很多與應用程序集成的大語言模型可以訪問外部資源(例如從其它網站檢索內容),并且可能通過API調用與其他應用程序進行交互,攝入不受信任的、甚至惡意的輸入,后者可用于操縱輸出結果。因此,如果企業員工使用未經安全評估、審核的生成式AI工具,很有可能給企業帶來意想不到的災難性后果。
影子AI已成頭號難題
根據Gartner的報告,2022年82%的數據泄露是“員工不安全或疏忽行為造成的”,而影子AI正在加速放大這種“人為因素”產生的威脅。
根據The Conference Board的一項調查,56%的北美企業員工在工作中使用生成式AI,但只有26%的企業制定了明確的生成式AI使用政策。在沒有制訂AI政策的企業中,使用影子AI的員工中只有40%向主管如實匯報。
很多公司都在嘗試限制或規范員工在工作中使用生成式AI的行為。但是,在提高生產力的“第一性”需求刺激下,多達30%的員工在沒有IT部門的許可,不計后果地使用生成式AI,也就是所謂的影子AI。
影子AI的治理難題
根據Gartner的報告,三分之一的成功網絡攻擊來自影子IT,給企業造成數百萬美元的損失。此外,91%的IT專業人員表示在壓力迫使下犧牲安全性來加快業務運營,83%的IT團隊認為不可能強制執行(完全清除影子IT的)網絡安全策略。
Gartner指出,盡管市場上有無數管控影子IT的安全解決方案(讓員工更難訪問未經批準的工具和平臺),但去年仍有超過30%的員工報告使用了未經授權的通信和協作工具。
如今,影子AI的治理也面臨同樣的難題。
為了對付如雨后春筍且無處不在的影子AI,企業IT和安全主管可以實施一些經過驗證的策略,找出未經授權的生成式AI工具,并在它們開始產生威脅之前將其拒之門外。CISO可以考慮采取的六大應對措施如下:
- 發現。找出企業內未授權使用的生成式AI工具(尤其是研發和營銷部門)。
- 風險評估。對發現的影子IT和影子AI進行風險評估,確定它們可能帶來的風險。
- 意識培訓。對員工進行生成式AI的專項安全意識培訓,宣貫生成式AI的潛在風險以及合規性和安全性的重要性。
- 制訂生成式AI使用指南和規范,明確哪些技術和工具是被允許的,以及使用范圍和方式。
- 持續監控并定期審核評估企業中包括生成式AI在內的新技術和應用。
- 優化與改進。不斷改進預防和治理策略,以減少未來出現影子AI的可能性。
參考鏈接:
https://www.conference-board.org/press/us-workers-and-generative-ai
聲明:本文來自GoUpSec