Hoe zijn ChatGPT, Claude en Gemini veiliger zakelijk te gebruiken?

Sinds kort kunnen alle gebruikers van Cloudflare One de op API-gebaseerde Cloud Access Security Broker (CASB) gebruiken om de beveiligingsstatus van GenAI-tools te beoordelen. Dat is mogelijk door directe integraties met ChatGPT van OpenAI, Claude van Anthropic en Gemini van Google.

Organisaties kunnen hun GenAI-accounts verbinden en binnen enkele minuten beginnen met het detecteren van verkeerde configuraties, Data Loss Prevention (DLP)-matches, blootgestelde en gedeelde gegevens, nalevingsrisico's en meer. Dit alles zonder dat er omslachtige software op de apparaten van gebruikers geïnstalleerd hoeft te worden.

Nu het zakelijk gebruik van generatieve AI gestaag toeneemt, moeten IT- en securityteams hard werken om op de hoogte te blijven van de nieuwe beveiligings- en nalevingsuitdagingen die met deze krachtige tools gepaard gaan. Door de snelle veranderingen hebben IT- en securityteams behoefte aan hulpmiddelen die het gebruik van AI toestaan en tegelijkertijd de beveiliging en privacy van hun bedrijfsnetwerken en -gegevens beschermen.

De API CASB en inline CASB van Cloudflare werken samen om organisaties te ondersteunen bij het veilig toepassen van AI-tools. De API CASB-integraties leveren een uitstekend out of band (OOB)-inzicht in de data at rest en de beveiligingsstatus van AI-tools. Tegelijkertijd biedt Cloudflare Gateway inline promptcontroles en Shadow AI-identificatie. Beleid van het bedrijf en DLP worden op het verkeer toegepast dat naar deze AI-providers stroomt. Samen zorgen deze functies voor een uniform beheer voor de beveiliging van het zakelijke GenAI-toepassingen.

ChatGPT, Claude en Gemini behoren tot de integraties die Cloudflare's API CASB ondersteunt en zijn dus door alle gebruikers van Cloudflare One toe te passen. Accounteigenaren kunnen eenvoudig verbinden met hun GenAI-tenants en CASB scant op beveiligingsproblemen in meerdere domeinen, voor:

●      Agentless verbindingen: Verbind ChatGPT, Claude en Gemini via agentless, op API gebaseerde, integraties om status- en datarisico's te scannen, zonder dat er software op gebruikersapparatuur geïnstalleerd hoeft te worden.

●      Statusmanagement: Detecteer onveilige instellingen en verkeerde configuraties die kunnen leiden tot blootstelling of misbruik van gegevens.

●      DLP-detectie: Identificeer waar gevoelige gegevens in chatbijlagen zijn geüpload 

●      GenAI-specifieke inzichten: Breng de risico's in kaart die samenhangen met de unieke mogelijkheden van de toolsets van een bepaalde AI-leverancier.

Beheerders kunnen nu vragen beantwoorden zoals: Wat doen onze medewerkers in ChatGPT? Welke gegevens worden geüpload en gebruikt in Claude? Is Gemini correct geconfigureerd in Google Workspace?

De CASB-integratie van Cloudflare met ChatGPT van OpenAI scant op verschillende soorten inzichten, waaronder:

●      Functie-activering: Benadrukt functies die specifiek zijn voor ChatGPT, zoals acties, code-uitvoering en webtoegang.

●      Externe blootstelling: Zoekt chats en GPT's die buiten de tenant worden gedeeld, zoals GPT's die openbaar worden gedeeld of in de GPT Store staan, en koppelt deze terug aan hun eigenaren voor een snelle triage.

●      Geheimen, sleutels en uitnodigingen: Identificeert API-sleutels die niet worden geroteerd of niet meer worden gebruikt, voor een goede credential hygiëne. Identificeert excessieve of verouderde uitnodigingen.

●      Gevoelige inhoud (via DLP): Detecteert gevoelige gegevens (bijv. inloggegevens en geheimen, financiële en/of gezondheidsinformatie, broncode, etc.) via DLP-profielmatches in geüploade chatbijlagen om gerichte reacties mogelijk te maken.

Voor Claude van Anthropic levert Cloudflare de volgende out of band-detecties:

●      Geheimen, sleutels en uitnodigingen: Ontdekt vroegtijdig de uitnodigingen met een hoog risico en gewijzigde toegangsrechten, zodat de benodigde toegangscontrole met de minste privileges strikt kan worden toegepast. Ontdekt ongebruikte API-sleutels en ontbrekende rotaties, voordat ze vergeten open deuren worden.

●      Gevoelige content (via DLP): Controleer op gevoelige gegevens in geüploade bestanden, zodat organisaties Claude veilig kunnen gebruiken en aan de wet- en regelgeving voldoen. De beveiligingsteams verkrijgen deze informatie net zo snel als CASB-scans, waardoor ze over de benodigde informatie beschikken om medewerkers te ondersteunen bij het productieve en veilige gebruik van Claude met gevoelige gegevens.

Omdat Anthropic de API-functies van Claude blijft uitbreiden, gaat Cloudflare aanvullende beveiligingsdetecties toevoegen die op nieuwe functies aansluiten, als die beschikbaar komen.

Cloudflare's detecties tijdens het gebruik van Google Gemini verschijnen als onderdeel van de API CASB-integratie voor Google Workspace:

●      Identiteit en MFA: Identificeert Gemini-gebruikers en -beheerders zonder MFA die daardoor een aantrekkelijk doelwit voor inbreuken vormen. Stel je voor dat een IT-beheerder dagelijks afhankelijk is van Gemini voor de verwerking van bedrijfsgegevens, maar dat zijn Google Workspace-account geen MFA toepast. Eén succesvolle phishing-email kan een aanvaller bevoorrechte toegang tot Gemini en de bredere Google Workspace-omgeving geven. Zo kan een kleine nalatigheid een groot probleem voor de hele organisatie veroorzaken. 

●      Licentiehygiëne: Markeert opgeschorte accounts die nog steeds een Gemini- of AI Ultra-licentie hebben om kosten te besparen en de blootstelling te beperken. Een AI Ultra-gebruiker heeft toegang tot krachtigere en risicovollere functies, zoals Project Mariner, een onderzoeksprototype dat fungeert als een autonome agent en in staat is om maximaal 10 taken tegelijkertijd in meerdere webbrowsers te automatiseren. Een aanvaller kan meer schade aanrichten door een AI Ultra-gebruiker te compromitteren. Daarom hebben we dit in onze detectietools opgenomen.

De Gemini-integratie is beperkter omdat Google zijn product en API anders heeft gestructureerd dan OpenAI en Anthropic. Voor organisaties wordt Gemini als een Google Workspace-add-on geleverd en worden Gemini-functies in Gmail, Docs, Sheets en andere Google Workspace-apps ingeschakeld, via aanvullende licenties zoals Gemini Enterprise of AI Ultra. Bij CASB-detecties ligt de nadruk op identiteit, MFA en licentiehygiëne, en niet zozeer op statusproblemen, zoals het openbaar delen of de publicatie via aangepaste assistenten, omdat Gemini deze API-eindpunten nog niet biedt.

Net als andere organisaties gebruikt Cloudflare GenAI om haar omgevingen nog veiliger te maken dan ze nu al zijn. Deze beheermogelijkheden worden tevens ter beschikking gesteld aan klanten, zodat zij kunnen blijven innoveren met GenAI. Gelukkig zetten ook GenAI-aanbieders stappen om de beveiliging, naleving en gegevensprivacy van hun platforms in de toekomst nog belangrijker te maken.

Het gebruik van generatieve AI brengt nieuwe beveiligingsvereisten met zich mee. Cloudflare CASB biedt out of band inzicht in al deze tools en levert informatie die de inline controles niet kunnen verzamelen. Pas als de status, toegang en gegevens goed onder controle zijn, kunnen organisaties GenAI vol vertrouwen en veilig gebruiken.

Deze gastbijdrage is geschreven door