8,8 trilioni di dollari protetti: come un CISO è passato da "una sciocchezza" a una soluzione a prova di bomba in 90 giorni

L'intervista esclusiva di VentureBeat a Sam Evans, CISO di Clearwater Analytics , svela perché i browser aziendali stanno rapidamente diventando la difesa in prima linea contro l'intelligenza artificiale ombra nelle sue molteplici forme .

Nell'ottobre 2023, Evans si trovò ad affrontare una sfida critica. Davanti al consiglio di amministrazione di Clearwater Analytics, dovette affrontare il timore che i dipendenti potessero inavvertitamente esporre dati potenzialmente in grado di compromettere gli 8,8 trilioni di dollari di asset gestiti dall'azienda.

"La cosa peggiore sarebbe che uno dei nostri dipendenti prendesse i dati dei clienti e li inserisse in un motore di intelligenza artificiale che non gestiamo", ha detto Evans a VentureBeat. "Il dipendente, senza sapere nulla di diverso o cercando di risolvere un problema per un cliente... quei dati aiutano ad addestrare il modello".

Ecco la nostra conversazione con Evans, modificata per lunghezza e chiarezza

VentureBeat: In che modo ritieni che l'intelligenza artificiale stia plasmando la sicurezza informatica oggi?

Evans: Gli attacchi sono diventati significativamente più sofisticati. Se si considera la questione dal punto di vista di un malintenzionato, le email e i tentativi di phishing che riceviamo sono diventati molto più complessi. Tuttavia, l'intelligenza artificiale possiede anche capacità di risposta.

Mi piace spiegarlo al nostro consiglio di amministrazione come il gioco definitivo del gatto e del topo. Mentre i malintenzionati iniziano a usare l'IA per promuovere il phishing, o forse per accelerare i tempi di emersione degli exploit dopo la scoperta delle vulnerabilità, c'è il lato opposto, quello degli esperti di sicurezza che usano l'IA per migliorare il nostro modo di reagire.

VentureBeat: In che modo l'intelligenza artificiale aiuta le vostre capacità difensive?

Evans: Abbiamo iniziato a integrare l'IA nei nostri manuali di sicurezza. In questo modo, i nostri analisti della sicurezza ora dedicano meno tempo a ricerche e analisi. L'IA è coinvolta nel prodotto Security Operations Center (SOC), conducendo la sua analisi di triage iniziale e dicendo: "In base a ciò che abbiamo visto in precedenza e a ciò che è presente nel mio modello, è qui che vorrei guidarvi".

Sul fronte difensivo, stiamo iniziando a vedere l'IA entrare in gioco. CrowdStrike , Sentinel One , Microsoft Defender e i tradizionali prodotti di rilevamento e risposta estesa (EDR) utilizzavano il machine learning e raggiungevano una probabilità di circa l'85% che si trattasse di una minaccia, ma non ne siamo del tutto certi. Tuttavia, l'IA arricchisce la capacità del motore EDR di raggiungere una maggiore probabilità di identificazione di una minaccia.

VentureBeat: Cosa ti tiene sveglio la notte quando si parla di intelligenza artificiale e sicurezza informatica?

Evans: La cosa che mi preoccupa parecchio sono i deepfake . Si leggono diverse storie di persone che usano i deepfake per impersonare un CEO e avviare bonifici bancari. Sono preoccupanti perché sembrano davvero molto, molto reali.

Ma la preoccupazione più grande? La cosa peggiore sarebbe che uno dei nostri dipendenti prendesse i dati dei clienti e li inserisse in un motore di intelligenza artificiale che non gestiamo, trasformandoli in dati utili all'addestramento del modello.

VentureBeat: Come avete spiegato al vostro consiglio di amministrazione questo rischio legato all'intelligenza artificiale ombra?

Evans: Ricordo quando, in una delle prime riunioni del consiglio di amministrazione a cui ho partecipato, mi chiesero: "Allora, cosa ne pensi di ChatGPT?". Risposi: "Beh, è ​​uno strumento di produttività incredibile. Tuttavia, non so come potremmo permetterlo ai nostri dipendenti, perché la mia più grande paura è che qualcuno ci copi e incolli i dati dei clienti, o il nostro codice sorgente, che è la nostra proprietà intellettuale".

Ma non mi sono presentato al consiglio solo con le mie preoccupazioni e i miei problemi. Ho detto: "Ecco la mia soluzione. Non voglio impedire alle persone di essere produttive, ma voglio anche proteggerle". Quando sono arrivato al consiglio e ho spiegato come funzionano questi browser aziendali, la risposta è stata: "Ok, ha perfettamente senso, ma è davvero possibile farlo?".

VentureBeat: Descrivimi il tuo processo di valutazione e implementazione per Island .

Evans: Dopo quella riunione del consiglio di amministrazione dell'ottobre 2023, abbiamo avviato un processo di due diligence piuttosto lungo. Abbiamo esaminato alcuni dei principali fornitori nel settore dei browser aziendali.

Vi spiegherò perché abbiamo scelto Island. Dovevamo poter controllare quali browser le persone utilizzano sui loro endpoint. Non serve a nulla implementare un browser aziendale quando chiunque può scaricare Opera o il "browser del mese di Frank" e usarlo, ignorando tutti i controlli di Island.

L'altro motivo per cui abbiamo scelto Island è stata proprio la velocità di implementazione. Ricordo di essere stato al telefono con i venditori di Island e di aver sentito dire: "Crediamo di poterlo implementare nella vostra azienda in poche settimane". E io: "Oh, che stronzata!".

VentureBeat: Ma hanno mantenuto la parola data?

Evans: L'hanno presa come una sfida personale! Abbiamo avviato l'implementazione di Island nell'aprile 2024 con circa 200 persone. Inizialmente abbiamo optato per l'estensione: l'estensione Island in Chrome ed Edge.

Solo a luglio il consiglio mi ha chiesto: "Come va?". E io ho risposto: "Che ne dici se te lo faccio vedere?". Ho tirato fuori uno screenshot perché, sapete, le demo della Legge di Murphy falliscono sempre. Così ho mostrato loro degli screenshot: "Eccomi su ChatGPT. Ho provato a incollare qualcosa. Mi è comparso il messaggio: 'La politica dell'isola ti impedisce di farlo'".

Mi hanno detto: "Wow, è fantastico! Ma le persone possono ancora usare lo strumento per porre domande pertinenti?". Ho risposto: "Certo, certo. Solo che non possono inserirci dati".

VentureBeat: Credi che Island ti rassicuri e riduca il rischio di Shadow AI?

Evans: Ci ha sicuramente aiutato a gestire l'intelligenza artificiale ombra . Nessuno strumento di sicurezza è perfetto al 100%. Dopo aver implementato Island, possiamo dormire sonni decisamente più tranquilli. Possiamo essere abbastanza tranquilli sul fatto che se un dipendente accede a un'istanza di intelligenza artificiale di cui non abbiamo la licenza, può usarla, ma non può incollare dati o caricare file.

Ci ha anche aiutato a identificare le nostre lacune. I dipendenti hanno scoperto questo fantastico widget di intelligenza artificiale, si rivolgono al team di sicurezza e dicono: "Ehi, guardate, date un'occhiata". E poi possiamo tornare ai nostri team di sviluppo prodotto e capire come contribuire a renderlo possibile, non solo per i nostri dipendenti, ma anche per i nostri clienti.

VentureBeat: Come ci si difende dai deepfake?

Evans: È difficile da accettare. Abbiamo un eccellente programma di sensibilizzazione sulla sicurezza. Chiediamo ai dipendenti di usare il buon senso. Pensa davvero che Sandeep Sahai, il nostro CEO, la chiamerà per chiederle di comprargli delle gift card Apple?

Abbiamo istituito un sacco di controlli e contrappesi, un po' come il sistema di controllo reciproco tra due persone. Non esiste una soluzione tecnologica per una cosa del genere. È un problema umano e abbiamo dovuto implementare una soluzione umana.

VentureBeat: Che consiglio daresti ad altri CISO che si trovano ad affrontare l'intelligenza artificiale ombra?

Evans: Non si tratta solo di bloccare, ma di abilitare. Portare soluzioni, non solo problemi. Quando sono entrato nel consiglio di amministrazione, non mi sono limitato a evidenziare i rischi; ho proposto una soluzione che bilanciasse sicurezza e produttività.

Le intuizioni di Evans rivelano quanto rapidamente l'intelligenza artificiale ombra sia diventata una minaccia esistenziale per ogni azienda che fa un uso intensivo dei dati.

" Ogni giorno vediamo 50 nuove app di intelligenza artificiale e ne abbiamo già catalogate oltre 12.000", ha dichiarato a VentureBeat Itamar Golan, CEO di Prompt Security, quantificando quello che i team di sicurezza definiscono il loro peggior incubo dai tempi del ransomware.

L' ondata di utilizzo non autorizzato di app e sistemi di intelligenza artificiale ha innescato una forte concorrenza tra i fornitori di sicurezza. "La maggior parte degli strumenti di gestione tradizionali non offre una visibilità completa sulle app di intelligenza artificiale", ha spiegato a VentureBeat Vineet Arora, CTO di WinWire, individuando esattamente il motivo per cui l'intelligenza artificiale ombra prospera, mentre le architetture di sicurezza tradizionali non la riconoscono.

L'ecosistema dei venditori si è cristallizzato in quattro distinti campi di battaglia, ognuno con le sue armi e debolezze.

I browser aziendali sono in testa alla carica. Il primo tra questi è Island, che ha recentemente raccolto un round di finanziamento da 250 milioni di dollari , un voto di fiducia da parte della comunità degli investitori. Mentre Island punta sulla visibilità pre-crittografia, Google Chrome Enterprise attacca l'intelligenza artificiale ombra in modo diverso, sfruttando la sua posizione dominante sul mercato e lo stack di sicurezza di Google. Chrome Enterprise Premium offre controlli di prevenzione della perdita di dati (DLP) che bloccano i flussi di dati verso ChatGPT e altri strumenti di intelligenza artificiale , prevengono la contaminazione tra profili e applicano la scansione dei contenuti in tempo reale. La piattaforma rivela i modelli di utilizzo dell'intelligenza artificiale ombra , bloccando sia gli incollamenti accidentali che l'esfiltrazione deliberata. Le partnership strategiche con Zscaler e Cisco Secure Access amplificano la portata di Chrome per creare un ecosistema in cui i principi di zero-trust si estendono direttamente alle interazioni con l'intelligenza artificiale.

Le piattaforme SASE/SSE offrono una difesa su scala aziendale. Netskope e Zscaler offrono scalabilità alla difesa contro l'IA ombra attraverso le loro architetture SASE (Security Access Service Edge) cloud-native. Entrambe le piattaforme elaborano miliardi di transazioni al giorno su infrastrutture globali, con Netskope che pubblicizza specificamente la sua capacità di monitorare l'utilizzo delle applicazioni di IA in tutte le aziende. Il loro limite principale: quando il 73,8% dell'utilizzo di ChatGPT sul posto di lavoro avviene tramite account personali, la crittografia SSL/TLS impedisce alle piattaforme di ispezionare i contenuti, costringendole ad affidarsi a modelli di traffico e metadati, creando lacune di visibilità in cui l'IA ombra opera senza essere rilevata .

I fornitori di soluzioni DLP tradizionali faticano ad adattarsi . I fornitori legacy Forcepoint e Microsoft Purview hanno una solida esperienza su cui contare quando si tratta di contrastare l'intelligenza artificiale ombra. Forcepoint vanta oltre 1.700 classificatori, mentre Purview sfrutta l'intelligenza artificiale per la selezione delle attività. Ma ecco il problema: stanno adattando architetture del XX secolo alle minacce del XXI secolo. Queste piattaforme eccellono nei controlli di conformità e nei modelli di policy, ma non riescono a tenere il passo con i ritmi più rapidi dell'intelligenza artificiale.

Come ha dichiarato a VentureBeat Daren Goeson, Senior Vice President di Ivanti per la gestione dei prodotti per UEM: "Gli strumenti di sicurezza degli endpoint basati sull'intelligenza artificiale possono analizzare enormi quantità di dati per rilevare anomalie e prevedere potenziali minacce in modo più rapido e accurato di qualsiasi analista umano". La DLP tradizionale opera alla velocità di un audit. La Shadow AI si muove alla velocità di una macchina.

Le soluzioni specializzate colmano lacune critiche . L'innovazione prospera nelle nicchie che i fornitori tradizionali ignorano. Un esempio è Ivanti Neurons , che offre un rilevamento completo dei dispositivi tramite la sua piattaforma UEM, rivelando l'intelligenza artificiale ombra nascosta negli endpoint che gli strumenti tradizionali non riescono a individuare. Mike Riemer, Field CISO di Ivanti, vede il quadro generale: "I professionisti della sicurezza sfrutteranno efficacemente le capacità dell'intelligenza artificiale di nuova generazione per analizzare enormi quantità di dati raccolti da sistemi diversi". Nightfall, da parte sua, si rivolge ai team di sviluppatori con modelli di trasformazione, affermando una precisione di rilevamento doppia per gli strumenti di intelligenza artificiale basati su API.

Confronto tra soluzioni di difesa basate sull'intelligenza artificiale ombra

Venditore	Tipo	Punti di forza chiave	Limitazioni	Ideale per
Punto di controllo Harmony	Estensione del browser	Sfrutta l'infrastruttura esistente	Limitato all'estensione	Clienti Check Point
Punto di forza	DLP tradizionale	Oltre 1.700 classificatori, conformità normativa	Architettura legacy	Settori altamente regolamentati
Google Chrome Enterprise	Browser aziendale	Dominanza del mercato, integrazione nativa	Controlli meno specializzati	Organizzazioni di Google Workspace
Isola	Browser aziendale	Visibilità pre-crittografia, latenza zero, distribuzione rapida	Costo più elevato per utente	Imprese con dati sensibili
Neuroni Ivanti	Piattaforma UEM	Rilevamento completo dei dispositivi	Non specifico del browser	Focus sulla gestione patrimoniale
Competenza Microsoft	Piattaforma DLP	Integrazione nativa con Microsoft, triage basato sull'intelligenza artificiale	Incentrato su Microsoft	Microsoft 365 Enterprises
Netskope	Piattaforma SASE/SSE	Copertura completa, monitoraggio di oltre 370 app AI	Complessità post-crittografia	Grandi imprese distribuite
Tramonto	DLP nativo AI	Precisione di rilevamento 2x, modelli Transformer	Approccio basato solo su API	Team incentrati sugli sviluppatori
Talon Cyber ​​Security	Browser aziendale	Opzioni browser + estensione	Più recente sul mercato	PMI attente alla sicurezza
Zscaler	Piattaforma SASE/SSE	536 miliardi di transazioni giornaliere, vero zero-trust	Approccio solo cloud	Organizzazioni cloud-first

Analisi di VentureBeat

Cosa sta spingendo il mercato a muoversi così velocemente? L'analisi di VentureBeat ha rilevato oltre 74.500 app di shadow AI implementate attivamente solo nelle principali società di consulenza , con una crescita del 5% mensile. Entro la metà del 2026, questo numero potrebbe raggiungere le 160.000. Ognuna di queste rappresenta una potenziale violazione dei dati, una violazione della conformità o una fuga di notizie di intelligence competitiva.

La ricetta di Arora contrasta l'entusiasmo dei fornitori: "Le organizzazioni devono definire strategie con una sicurezza solida, consentendo al contempo ai dipendenti di utilizzare le tecnologie di intelligenza artificiale in modo efficace. I divieti totali spesso spingono l'uso dell'intelligenza artificiale in modo clandestino, il che non fa che amplificare i rischi".