信息化觀察網(wǎng)

本文來自微信公眾號(hào)“GoUpSec”。

影子IT，即員工使用未授權(quán)IT工具的現(xiàn)象，在職場(chǎng)中已經(jīng)存在了幾十年。現(xiàn)在，隨著生成式AI的野蠻生長(zhǎng)，CISO開始意識(shí)到，他們正面臨比影子IT更加可怕的內(nèi)部威脅：影子AI。

對(duì)于企業(yè)來說，員工使用的影子AI（尤其是生成式AI）雖然可帶來生產(chǎn)力的大幅提升，但由于生成式AI自身正面臨提示注入等多種攻擊，很可能給企業(yè)帶來數(shù)據(jù)泄露、內(nèi)容安全等新興威脅。

此外，國內(nèi)外的大語言模型正在大量IT系統(tǒng)中飛速普及，很多與應(yīng)用程序集成的大語言模型可以訪問外部資源（例如從其它網(wǎng)站檢索內(nèi)容），并且可能通過API調(diào)用與其他應(yīng)用程序進(jìn)行交互，攝入不受信任的、甚至惡意的輸入，后者可用于操縱輸出結(jié)果。因此，如果企業(yè)員工使用未經(jīng)安全評(píng)估、審核的生成式AI工具，很有可能給企業(yè)帶來意想不到的災(zāi)難性后果。

影子AI已成頭號(hào)難題

根據(jù)Gartner的報(bào)告，2022年82%的數(shù)據(jù)泄露是“員工不安全或疏忽行為造成的”，而影子AI正在加速放大這種“人為因素”產(chǎn)生的威脅。

根據(jù)The Conference Board的一項(xiàng)調(diào)查，56%的北美企業(yè)員工在工作中使用生成式AI，但只有26%的企業(yè)制定了明確的生成式AI使用政策。在沒有制訂AI政策的企業(yè)中，使用影子AI的員工中只有40%向主管如實(shí)匯報(bào)。

很多公司都在嘗試限制或規(guī)范員工在工作中使用生成式AI的行為。但是，在提高生產(chǎn)力的“第一性”需求刺激下，多達(dá)30%的員工在沒有IT部門的許可，不計(jì)后果地使用生成式AI，也就是所謂的影子AI。

影子AI的治理難題

根據(jù)Gartner的報(bào)告，三分之一的成功網(wǎng)絡(luò)攻擊來自影子IT，給企業(yè)造成數(shù)百萬美元的損失。此外，91%的IT專業(yè)人員表示在壓力迫使下犧牲安全性來加快業(yè)務(wù)運(yùn)營，83%的IT團(tuán)隊(duì)認(rèn)為不可能強(qiáng)制執(zhí)行（完全清除影子IT的）網(wǎng)絡(luò)安全策略。

Gartner指出，盡管市場(chǎng)上有無數(shù)管控影子IT的安全解決方案（讓員工更難訪問未經(jīng)批準(zhǔn)的工具和平臺(tái)），但去年仍有超過30%的員工報(bào)告使用了未經(jīng)授權(quán)的通信和協(xié)作工具。

如今，影子AI的治理也面臨同樣的難題。

為了對(duì)付如雨后春筍且無處不在的影子AI，企業(yè)IT和安全主管可以實(shí)施一些經(jīng)過驗(yàn)證的策略，找出未經(jīng)授權(quán)的生成式AI工具，并在它們開始產(chǎn)生威脅之前將其拒之門外。CISO可以考慮采取的六大應(yīng)對(duì)措施如下：

●發(fā)現(xiàn)。找出企業(yè)內(nèi)未授權(quán)使用的生成式AI工具（尤其是研發(fā)和營銷部門）。

●風(fēng)險(xiǎn)評(píng)估。對(duì)發(fā)現(xiàn)的影子IT和影子AI進(jìn)行風(fēng)險(xiǎn)評(píng)估，確定它們可能帶來的風(fēng)險(xiǎn)。

●意識(shí)培訓(xùn)。對(duì)員工進(jìn)行生成式AI的專項(xiàng)安全意識(shí)培訓(xùn)，宣貫生成式AI的潛在風(fēng)險(xiǎn)以及合規(guī)性和安全性的重要性。

●制訂生成式AI使用指南和規(guī)范，明確哪些技術(shù)和工具是被允許的，以及使用范圍和方式。

●持續(xù)監(jiān)控并定期審核評(píng)估企業(yè)中包括生成式AI在內(nèi)的新技術(shù)和應(yīng)用。

●優(yōu)化與改進(jìn)。不斷改進(jìn)預(yù)防和治理策略，以減少未來出現(xiàn)影子AI的可能性。