$8,8 biljoen beschermd: hoe een CISO in 90 dagen van 'dat is onzin' naar kogelvrij ging

In het exclusieve interview van VentureBeat met Sam Evans, CISO van Clearwater Analytics , wordt onthuld waarom zakelijke browsers snel de eerste verdedigingslinie worden tegen schaduw-AI in zijn vele vormen .

Evans kreeg in oktober 2023 te maken met een grote uitdaging. Toen hij voor de raad van bestuur van Clearwater Analytics stond, moest hij de zorgen onder ogen zien dat werknemers onbedoeld gegevens zouden kunnen blootstellen die de beheerde activa van het bedrijf ter waarde van 8,8 biljoen dollar in gevaar zouden kunnen brengen.

"Het ergste wat er zou kunnen gebeuren is dat een van onze medewerkers klantgegevens invoert in een AI-systeem dat we niet beheren", vertelde Evans aan VentureBeat. "De medewerker die het niet weet of een probleem voor een klant probeert op te lossen... die gegevens helpen het model te trainen."

Hier is ons gesprek met Evans, bewerkt voor lengte en duidelijkheid

VentureBeat: Hoe denkt u dat AI cybersecurity vandaag de dag gaat vormgeven?

Evans: De aanvallen zijn aanzienlijk geavanceerder geworden. Vanuit het perspectief van een kwaadwillende persoon zijn de phishingmails en -pogingen die we ontvangen veel complexer geworden. Maar AI beschikt ook over responsmogelijkheden.

Ik leg het graag uit aan ons bestuur, als het ultieme kat-en-muisspel. Terwijl kwaadwillenden AI beginnen te gebruiken om phishing te bestrijden, of misschien om de tijd te verkorten die nodig is om exploits te ontdekken nadat kwetsbaarheden zijn aangekondigd, is er de andere kant: beveiligingsprofessionals gebruiken AI om onze reactie te verbeteren.

VentureBeat: Hoe helpt AI uw verdedigingscapaciteiten?

Evans: We zijn begonnen met het integreren van AI in onze beveiligingshandleidingen. Hierdoor besteden onze beveiligingsanalisten nu minder tijd aan zoeken en jagen. De AI is betrokken bij het Security Operations Center (SOC)-product, voert de eerste triage-analyse uit en zegt: "Gebaseerd op eerdere zaken die we hebben gezien en zaken in mijn model, wil ik u hier graag mee helpen."

Aan de defensieve kant zien we AI echt een rol spelen. CrowdStrike , Sentinel One , Microsoft Defender , de traditionele Extended Detection and Response (EDR)-producten maakten gebruik van machine learning en kwamen tot een waarschijnlijkheid van misschien wel 85% dat dit een bedreiging zou kunnen zijn, maar we weten het niet zeker. AI verrijkt echter het vermogen van de EDR-engine om een ​​hogere waarschijnlijkheid te bereiken voor het identificeren van een bedreiging.

VentureBeat: Waar lig jij 's nachts wakker van als het gaat om AI en cybersecurity?

Evans: Wat me wel zorgen baart, zijn de deepfakes . Je leest meerdere verhalen over mensen die deepfakes gebruiken om zich voor te doen als een CEO en zo geld over te maken. Die zijn verontrustend, want ze zien er heel, heel echt uit.

Maar de grootste zorg? Het ergste wat zou kunnen gebeuren is dat een van onze medewerkers klantgegevens in een AI-engine stopt die we niet beheren, en dat deze gegevens vervolgens worden gebruikt om het model te trainen.

VentureBeat: Hoe hebt u dit schaduw-AI-risico aan uw bestuur uitgelegd?

Evans: Ik herinner me nog dat ze me tijdens een van mijn eerste bestuursvergaderingen vroegen: "Wat vind je van ChatGPT?" Ik zei: "Nou, het is een fantastische productiviteitstool. Maar ik weet niet hoe we onze medewerkers het zouden kunnen laten gebruiken, want mijn grootste angst is dat iemand klantgegevens of onze broncode kopieert en plakt, wat ons intellectuele eigendom is."

Maar ik kwam niet zomaar met mijn zorgen en problemen naar de raad van bestuur. Ik zei: "Nou, dit is mijn oplossing. Ik wil mensen niet beletten productief te zijn, maar ik wil hun productiviteit ook beschermen." Toen ik naar de raad van bestuur kwam en uitlegde hoe deze zakelijke browsers werken, zeiden ze: "Oké, dat klinkt logisch, maar kun je het ook echt doen?"

VentureBeat: Neem me mee door je evaluatie- en implementatieproces voor Island .

Evans: Na die bestuursvergadering van oktober 2023 zijn we begonnen aan een behoorlijk lang due diligence-proces. We hebben een aantal grote leveranciers in de zakelijke browsermarkt onder de loep genomen.

Ik zal je uiteindelijk vertellen waarom we voor een Island-omgeving hebben gekozen. We moesten kunnen bepalen welke browsers mensen op hun endpoints gebruiken. Het heeft geen zin om een ​​zakelijke browser te implementeren als iemand Opera of "Franks browser van de maand" kan downloaden en gebruiken, en het omzeilt gewoon alle Island-functies.

De andere reden waarom we voor Island kozen, was echt vanwege de snelheid van de implementatie. Ik herinner me dat ik een gesprek had met de verkopers van Island en ze zeiden: "We denken dat we dit binnen een paar weken bij uw bedrijf kunnen implementeren." Ik dacht: "O, dat is onzin."

VentureBeat: Maar ze hebben het waargemaakt?

Evans: Ze zagen het als een persoonlijke uitdaging! We zijn in april 2024 met ongeveer 200 mensen begonnen met onze Island-implementatie. We hebben eerst de uitbreidingsroute gekozen: de Island-extensie in Chrome en Edge.

Pas in juli vroeg het bestuur: "Hoe gaat het?" En ik zei: "Zal ik het jullie even laten zien?" Ik maakte een screenshot, want, weet je, demo's van de Wet van Murphy mislukken altijd. Dus liet ik ze screenshots zien: "Hier ben ik op ChatGPT. Ik probeerde er iets in te plakken. Ik kreeg de melding: 'Eilandbeleid verhindert dat je dit doet.'"

Ze zeiden zoiets van: "Wauw, dit is fantastisch! Maar mensen kunnen de tool nog steeds gebruiken om goede vragen te stellen?" Ik zei: "Ja, absoluut. Ze kunnen er alleen geen data in stoppen."

VentureBeat: Vindt u dat Island u zekerheid biedt en het risico op Shadow AI verkleint?

Evans: Het heeft ons absoluut geholpen om grip te krijgen op shadow AI . Geen enkele beveiligingstool is 100% perfect. Nu we Island hebben geïmplementeerd, slapen we een stuk geruster. We kunnen er redelijk gerust op zijn dat als een medewerker een AI-instantie gebruikt waarvoor we geen licentie hebben, hij of zij die wel kan gebruiken, maar geen gegevens kan plakken of bestanden kan uploaden.

Het heeft ons ook geholpen te identificeren waar onze tekortkomingen zitten. Medewerkers vonden deze fantastische AI-widget en kwamen naar het beveiligingsteam: "Kijk eens, kijk dit eens." En dan kunnen we terug naar onze productontwikkelingsteams om te kijken hoe we dit kunnen realiseren, niet alleen voor onze medewerkers, maar ook voor onze klanten.

VentureBeat: Hoe verdedig je je tegen deepfakes?

Evans: Dat is een lastige vraag. We hebben een uitstekend programma voor beveiligingsbewustzijn. We vragen medewerkers om hun gezonde verstand te gebruiken. Denk je echt dat Sandeep Sahai, onze CEO, je gaat bellen en je vraagt ​​om Apple-cadeaubonnen voor hem te kopen?

We hebben een hoop checks and balances opgezet, een beetje zoals het buddychecksysteem voor twee personen. Er is geen technologische oplossing voor zoiets. Het is een menselijk probleem waarvoor we een menselijke oplossing hebben moeten implementeren.

VentureBeat: Welk advies zou je andere CISO's geven die te maken krijgen met schaduw-AI?

Evans: Het gaat niet alleen om blokkeren, maar ook om faciliteren. Kom met oplossingen, niet alleen met problemen. Toen ik in de raad van bestuur kwam, heb ik niet alleen de risico's benadrukt; ik heb een oplossing voorgesteld die veiligheid en productiviteit in evenwicht bracht.

De inzichten van Evans laten zien hoe snel schaduw-AI een existentiële bedreiging is geworden voor elk data-intensief bedrijf.

"We zien 50 nieuwe AI-apps per dag , en we hebben er al meer dan 12.000 gecatalogiseerd", vertelde Itamar Golan, CEO van Prompt Security, aan VentureBeat, waarmee hij kwantificeerde wat beveiligingsteams hun ergste nachtmerrie noemen sinds ransomware.

De aanval van ongeautoriseerd AI-gebruik en -apps heeft geleid tot intense concurrentie tussen beveiligingsleveranciers. "De meeste traditionele beheertools hebben geen volledig inzicht in AI-apps", legde Vineet Arora, CTO van WinWire, uit aan VentureBeat . Hij legde precies uit waarom schaduw-AI floreert, terwijl oudere beveiligingsarchitecturen er blind voor zijn.

Het ecosysteem van de verkopers heeft zich gekristalliseerd in vier verschillende slagvelden, elk met zijn eigen wapens en zwakheden.

Zakelijke browsers lopen voorop. De belangrijkste hiervan is Island, dat onlangs een financieringsronde van $ 250 miljoen heeft opgehaald, een blijk van vertrouwen van de investeerdersgemeenschap. Terwijl Island inzet op zichtbaarheid vóór encryptie, valt Google Chrome Enterprise schaduw-AI op een andere manier aan en gebruikt het zijn marktdominantie en Googles beveiligingsstack als wapen. Chrome Enterprise Premium biedt Data Loss Prevention (DLP)-controles die gegevensstromen naar ChatGPT en andere AI-tools blokkeren, cross-profile contaminatie voorkomen en realtime content scanning afdwingen. Het platform legt schaduw-AI-gebruikspatronen bloot en blokkeert zowel onbedoelde geplakte bestanden als opzettelijke exfiltratie. Strategische partnerschappen met Zscaler en Cisco Secure Access versterken het bereik van Chrome om een ​​ecosysteem te creëren waarin zero-trustprincipes direct worden toegepast op AI-interacties.

SASE/SSE-platformen bieden bescherming op ondernemingsniveau. Netskope en Zscaler brengen schaalbaarheid naar shadow AI-verdediging via hun cloud-native Security Access Service Edge (SASE)-architecturen. Beide platforms verwerken dagelijks miljarden transacties via wereldwijde infrastructuren, waarbij Netskope specifiek reclame maakt voor de mogelijkheid om het gebruik van AI-applicaties binnen ondernemingen te monitoren. Hun belangrijkste beperking: wanneer 73,8% van het ChatGPT-gebruik op de werkplek plaatsvindt via persoonlijke accounts, verhindert SSL/TLS-encryptie dat platforms content kunnen inspecteren, waardoor ze afhankelijk zijn van verkeerspatronen en metadata. Dit leidt tot hiaten in de zichtbaarheid waar shadow AI onopgemerkt blijft .

Traditionele DLP-leveranciers hebben moeite zich aan te passen . Legacy-leveranciers Forcepoint en Microsoft Purview hebben een sterke erfenis om op terug te vallen in de strijd tegen schaduw-AI. Forcepoint claimt meer dan 1700 classifiers, terwijl Purview AI gebruikt voor triagetaken. Maar hier is het probleem: ze passen 20e-eeuwse architecturen aan voor 21e-eeuwse bedreigingen. Deze platforms blinken uit in compliance-selectievakjes en beleidssjablonen, maar kunnen het snellere tempo van AI niet bijhouden.

Zoals Daren Goeson, Ivanti's SVP Product Management voor UEM, aan VentureBeat vertelde: "AI-gestuurde endpoint security tools kunnen enorme hoeveelheden data analyseren om afwijkingen te detecteren en potentiële bedreigingen sneller en nauwkeuriger te voorspellen dan welke menselijke analist dan ook." Traditionele DLP werkt op auditsnelheid. Shadow AI beweegt op machinesnelheid.

Gespecialiseerde oplossingen vullen kritieke hiaten . Innovatie floreert in niches die traditionele leveranciers negeren. Een voorbeeld is Ivanti Neurons , dat uitgebreide apparaatdetectie biedt via zijn UEM-platform en schaduw-AI blootlegt die verborgen zit in eindpunten en die traditionele tools missen. Mike Riemer, Field CISO van Ivanti, ziet het grotere plaatje: "Beveiligingsprofessionals zullen de mogelijkheden van generatie AI effectief benutten om enorme hoeveelheden data te analyseren die uit diverse systemen zijn verzameld." Nightfall richt zich op ontwikkelaarsteams met transformermodellen en claimt een 2x hogere detectienauwkeurigheid voor API-gebaseerde AI-tools.

Vergelijking van Shadow AI Defense-oplossingen

Leverancier	Type	Belangrijkste sterke punten	Beperkingen	Het beste voor
Controlepunt Harmonie	Browserextensie	Maakt gebruik van bestaande infrastructuur	Beperkt tot verlenging	Check Point-klanten
Krachtpunt	Traditionele DLP	Meer dan 1.700 classificatoren, naleving van regelgeving	Legacy-architectuur	Sterk gereguleerde industrieën
Google Chrome Enterprise	Bedrijfsbrowser	Marktdominantie, native integratie	Minder gespecialiseerde controles	Google Workspace-organisaties
Eiland	Bedrijfsbrowser	Pre-encryptie zichtbaarheid, nul latentie, snelle implementatie	Hogere kosten per gebruiker	Bedrijven met gevoelige gegevens
Ivanti Neuronen	UEM-platform	Uitgebreide apparaatdetectie	Niet browserspecifiek	Focus op vermogensbeheer
Microsoft-bevoegdheid	DLP-platform	Native Microsoft-integratie, AI-gestuurde triage	Microsoft-centrisch	Microsoft 365-bedrijven
Netskope	SASE/SSE-platform	Uitgebreide dekking, 370+ AI-app-monitoring	Post-encryptie complexiteit	Grote gedistribueerde ondernemingen
Avondschemering	AI-native DLP	2x detectienauwkeurigheid, Transformer-modellen	API-only benadering	Ontwikkelaarsgerichte teams
Talon Cyberbeveiliging	Bedrijfsbrowser	Browser + extensie-opties	Nieuw op de markt	Beveiligingsbewuste MKB's
Zscaler	SASE/SSE-platform	536 miljard dagelijkse transacties, echt zero-trust	Cloud-only aanpak	Cloud-first organisaties

VentureBeat-analyse

Wat drijft de markt om zo snel te bewegen? Uit de analyse van VentureBeat bleek dat er meer dan 74.500 shadow AI-apps actief worden ingezet bij grote adviesbureaus alleen al, en dat aantal groeit met 5% per maand. Tegen medio 2026 zou dat aantal kunnen oplopen tot 160.000. Elk vertegenwoordigt een potentieel datalek, een schending van de compliance-regels of een lek in de concurrentie-informatie.

Arora's recept doorbreekt de hype rond leveranciers: "Organisaties moeten strategieën ontwikkelen met robuuste beveiliging, terwijl ze medewerkers in staat stellen AI-technologieën effectief te gebruiken. Een totaalverbod leidt vaak tot een verborgen gebruik van AI, wat de risico's alleen maar vergroot."