夜雨聆风而影子IT和影子AI分别是什么?他们之间的区别是什么呢?下面一起了解下。
一、影子IT
监管缺失:如果IT团队不了解未经授权的应用程序,就无法使用监测情况来保护公司数据,所以这些应用程序中的任何安全漏洞都可能成为入侵网络的入口点。 违规行为:未经授权的软件很少能满足GDPR或HIPAA等法规的数据处理标准,如果数据处理不当,组织可能会面临严重的惩罚,且还会有应用程序版权问题纠纷。 攻击面扩大:每一个未经授权的应用程序都可能成为网络犯罪分子的潜在攻击,随着影子IT的不断发展,尤其是在云环境中,保障组织的安全边界变得更加困难。
二、影子AI
数据泄露无法追踪:当员工通过个人账户使用AI工具时,组织通常无法访问交互日志,即使是在提供企业级日志的平台上也是如此,至于输入的数据后续到了哪里,保留在何处都无法再审计追踪。 身份安全影响:随着自主AI智能体的兴起,影子AI带来了传统安全模型未曾设计应对的新安全风险,当员工在外部AI平台上创建账户时,组织将失去对这些身份如何访问敏感数据的控制权。
三、影子IT和影子AI的主要区别
数据处理与共享:在影子IT,数据通常遵循格式化流程,例如文件上传或文档共享。这些操作会以可预测的模式,在企业的安全工具中做到检测这些模式;而影子AI则通过非结构化的对话输入来进行操作,员工在提示中输入敏感数据,这些提示经过实时处理并通过标准HTTPS,因此流量传输很难将这种与正常区域活动分开。 可见性与可审计性:影子IT活动通常通过应用程序使用、文件传输或网络监测来生成审计追踪,促使安全团队能够调查安全事件。相比之下,影子AI通常缺乏集中可见性,因此许多AI平台无法提供详细的交互日志,当员工使用外部AI工具时,尤其通过个人账户使用时,组织可能只能有限地访问或无法访问交互数据,从而难以确定信息的使用或存储方式。 数据保留风险:影子IT带来了授权的数据存储风险,敏感的数据存储最终在批准系统外部的可识别位置。影子AI带来了另一种风险,在消费级AI平台上,输入到提示中的数据可能会默认用于未来训练的模型,尽管大多数企业平台禁用此功能,但员工在消费级工具上使用个人AI账户时,绕过了企业许可提供的数据保护,风险极高。
四、如何检测和管理影子AI
指定AI工具使用策列:制定明确的指导方针,指定哪些工具可以批准使用,可共享的数据范围以及超出范围的后果。 构建内部AI应用目录:为员工提供经过审核的AI工具清单,避免他们使用未经批准且可能存在风险的替代方案。 部署企业级AI解决方案:与消费级AI工具相比,企业AI解决方案可以更好地控制数据处理和存储。 定期进行AI合规性审计:监测正在使用的AI工具,识别新出现的安全风险。 对员工进行AI使用培训:持续的教育可以培养员工的组织意识,而员工仅通过阅读策略可能无法充分理解,开展积极的组织培训计划有助于员工了解如何安全地使用AI。
