Het digitale landschap van bedrijfsomgevingen wordt altijd al gekenmerkt door de spanning tussen efficiëntie en beveiliging. Jarenlang speelde dit zich af in de vorm van 'schaduw-IT': werknemers die niet-goedgekeurde laptops of clouddiensten gebruikten om hun werk sneller te kunnen doen. De beveiligingsteams werden meesters in het opsporen van deze kwaadaardige systemen en stelden firewalls en beleidsbepalingen in om de chaos onder controle te brengen.
Maar het nieuwe raakvlak is heel anders en mogelijk veel subtieler en gevaarlijker.
Stel je een team van ingenieurs voor die druk bezig zijn met de ontwikkeling van een baanbrekend nieuw product. Ze hebben een krappe deadline en een junior engineer, die zijn workflow probeert te optimaliseren, plakt een fragment van een bedrijfseigen algoritme in een populaire, openbare AI-chatbot en vraagt de chatbot om de code te refactoren voor betere prestaties. De tool stuurt de herziene code snel terug en de engineer is tevreden over het resultaat en checkt het in. Wat de ingenieurs zich niet realiseren is dat hun query en het bijbehorende codefragment nu deel uitmaken van de trainingsgegevens van de AI-service, of misschien wel door de provider worden geregistreerd en opgeslagen. Zonder dat iemand het merkt, is een cruciaal stuk intellectueel eigendom van het bedrijf buiten de controle van de organisatie terechtgekomen: een stille en ongecontroleerde datalek.
Dit is geen hypothetisch scenario. Het is de nieuwe realiteit. Dankzij de ongelofelijk krachtige AI-tools kunnen werknemers ze nu voor van alles gebruiken: van het samenvatten van vertrouwelijke documenten tot het genereren van marketingteksten en inderdaad, zelfs het schrijven van code. De gegevens die het bedrijf bij deze interacties verlaten, zijn vaak onzichtbaar voor traditionele beveiligingstools. Die zijn namelijk nooit ontwikkeld om de nuances te begrijpen van een browsertabblad dat met een LLM communiceert. Dit stille, onbeheerde gebruik wordt 'schaduw-AI' genoemd en vormt een nieuwe, ernstige blinde vlek op het gebied van beveiliging.
Om dit tegen te gaan, hebben we een nieuwe aanpak nodig: een aanpak die inzicht biedt in deze nieuwe applicaties en die beveiligingsteams de benodigde controle geeft, zonder de innovatie te belemmeren die deze tools zo waardevol maakt.
Hier komt het Shadow IT Report van Cloudflare goed van pas. Het is geen lijst met dreigingen die geblokkeerd moeten worden, maar een zichtbaarheids- en analysetool waarmee beveiligingsteams het probleem kunnen begrijpen voordat het een crisis wordt. In plaats van te vertrouwen op giswerk of handmatig elke niet-goedgekeurde applicatie op te sporen, kunnen Cloudflare One-klanten de inzichten uit hun gegevensverkeer gebruiken om een duidelijk, datagestuurd beeld van het applicatiegebruik binnen hun organisatie te verkrijgen.
Het rapport biedt een uitgebreid, gecategoriseerd overzicht van alle applicatie-activiteit in een bedrijf en kan eenvoudig op alleen de AI-activiteiten worden gefilterd. We hebben ons netwerk en onze mogelijkheden voor dreigingsinformatie ingezet om AI-services te identificeren en te classificeren. We hebben daarbij algemene modellen zoals ChatGPT, codegeneratie-assistenten zoals GitHub Copilot en gespecialiseerde tools voor marketing, data-analyse en andere contentcreatie, zoals Leonardo.ai, onderzocht. Dankzij dit uitgebreide overzicht kunnen beveiligingsteams niet alleen zien dat een medewerker een AI-app gebruikt, maar ook welke AI-app en welke gebruikers die app gebruiken.
Hoe we deze functionaliteit hebben gebouwd
Oplettende gebruikers hebben misschien opgemerkt dat we al een tijd lang een schaduw-IT-functie hadden. Wat is er veranderd? Hoewel de Cloudflare Gateway, onze secure web gateway (SWG), een deel van deze gegevens al enige tijd verzamelt, willen gebruikers graag meer inzicht in en rapportages over het applicatiegebruik binnen hun organisatie. Cloudflare Gateway verwerkt dagelijks honderden miljoenen regels met app-gebruiksgegevens voor onze grootste gebruikers. Die schaal zorgde voor problemen met query's naar grotere tijdvensters. Bovendien ontbraken in de oorspronkelijke implementatie de filter- en aanpassingsfuncties om het gebruik van AI-applicaties goed te kunnen onderzoeken. We wisten dat onze klanten deze informatie op prijs stelden, maar onze weergave van de gegevens liet te wensen over.
De ontwikkeling van de oplossing was een klus waar meerdere technische teams aan hebben gewerkt voor een complete revisie van onze analyses en rapportages. Mogelijk heb je ons werk onlangs gezien in deze blogpost van juli 2025 waarin we uitgebreid beschrijven hoe we TimescaleDB hebben toegepast om ons analyseplatform te ondersteunen. Hierdoor hebben we onze analyses ontsloten en konden we langetermijngegevens aggregeren en comprimeren om zo de queryprestaties drastisch te verbeteren. Hiermee is het probleem opgelost waar we in eerste instantie tegenaan liepen met betrekking tot onze omvang, waardoor onze grootste klanten hun gegevens over langere perioden konden raadplegen. Onze crawler verzamelt de originele HTTP-verkeersgegevens van Gateway, die we in een Timescale-database opslaan.
Zodra de gegevens in onze database staan, bouwen we specifieke, gematerialiseerde weergaven in onze database rond het schaduw-IT- en AI-use case-scenario ter ondersteuning van analyses voor deze functie. Terwijl de bestaande HTTP-analyses die we hebben gebouwd, gericht zijn op de HTTP-verzoeken van een account, zijn deze specifieke weergaven gericht op de informatie die relevant is voor applicaties, zoals: Welke van mijn gebruikers gaan naar niet-goedgekeurde applicaties? Hoeveel bandbreedte gebruiken ze? Is er een eindgebruiker op een onverwachte geografische locatie die met een niet-beoordeelde applicatie communiceert? Welke apparaten gebruiken de meeste bandbreedte?
Het afgelopen jaar heeft het team een vast kader gedefinieerd voor onze analyses. Al onze tijdreeks- en top-n-grafieken kunnen worden gefilterd op de duur en de relevante datapunten die worden weergegeven. Hierdoor kunnen gebruikers inzoomen op specifieke datapunten en de details van hun bedrijfsverkeer bekijken. We hebben de schaduw-IT grondig onderzocht door de beschikbare gegevens te analyseren en te onderzoeken op welke wijze AI-applicaties zichtbaarheidsproblemen voor klanten opleverden. Op basis daarvan hebben we ons bestaande kader ingezet en het schaduw-IT-dashboard gebouwd. Hiermee verkregen we de zichtbaarheid op applicatieniveau waar onze klanten om vroegen.
1. Proxy het bedrijfsverkeer met Gateway
De kern van het systeem is Cloudflare Gateway, een inline filter en proxy voor al het internetverkeer van jouw organisatie, ongeacht waar de gebruikers zich bevinden. Wanneer een medewerker toegang probeert te verkrijgen tot een AI-applicatie, wordt dat verkeer via het wereldwijde netwerk van Cloudflare geleid. Cloudflare kan het verkeer, inclusief de hostnaam, inspecteren en het verkeer aan onze applicatiedefinities toewijzen. TLS-inspectie is optioneel voor Gateway-klanten, maar is vereist voor schaduw-IT-analyses.
Alle interacties worden geregistreerd en gekoppeld aan de identiteit van de gebruiker, de toestand van het apparaat, de bandbreedte die wordt gebruikt en zelfs de geografische locatie. Deze rijke context is cruciaal om te begrijpen wie, wanneer en waar welke AI-tools gebruikt.
2. Inzicht in het applicatie-gebruik
Deze details worden vervolgens in ons Shadow IT Report op het Cloudflare One-dashboard gepresenteerd. Filter eenvoudig op AI-applicaties voor de volgende informatie:
Overzicht op hoog niveau: Verkrijg een direct inzicht in het AI-gebruik binnen jouw bedrijf. Informatie over de meestgebruikte AI-applicaties, algemene gebruikstrends en de hoeveelheid data die wordt verwerkt. Hiermee kun je de beveiligings- en beheersinspanningen van jouw bedrijf identificeren en afstellen.
Uitgebreide informatie: Heb je meer gegevens nodig? Klik op een AI-applicatie om te zien welke specifieke gebruikers of groepen er toegang toe hebben, hoe vaak ze die applicatie gebruiken, waar ze zich bevinden en hoeveel data er is overgedragen. Met deze gegevens kun je precies zien welke teams binnen het bedrijf gebruikmaken van AI en hoeveel data er naar die applicaties stroomt.
Schaduw-IT analytisch dashboard
3. Markeer de goedkeuringsstatussen van de applicatie
Wij begrijpen dat niet alle AI-tools identiek zijn en dat het comfortniveau van jouw bedrijf kan verschillen. Het Shadow AI Report introduceert een flexibel kader voor de goedkeuringsstatus van applicaties, waarmee je elke gedetecteerde AI-applicatie formeel kunt categoriseren:
Goedgekeurd: Dit zijn de AI-applicaties die jouw interne veiligheidscontrole hebben doorstaan, voldoen aan jouw beleidsbepalingen en officieel zijn goedgekeurd voor gebruik.
Niet goedgekeurd: Dit zijn risicovolle applicaties. Misschien hebben ze afwijkende beleidsbepalingen voor gegevensbescherming, een voorgeschiedenis van kwetsbaarheden of gewoon geen aansluiting bij jouw bedrijfsdoelstellingen.
Wordt beoordeeld: Voor applicaties waarover nog geen definitieve beslissing is genomen of nieuw ontdekte tools zorgt deze status ervoor dat jouw teams het gebruik ervan kunnen herkennen en grondig onderzoek kunnen uitvoeren. Hiermee krijg je de tijd om een weloverwogen beslissing te nemen, zonder onmiddellijke verstoring.
Bekijk en markeer de status van applicaties in het dashboard
Deze goedkeuringsstatussen komen tot leven wanneer ze samen met de Cloudflare Gateway-beleidsbepalingen worden gebruikt. Hiermee kun je jouw AI-beslissingen automatisch afdwingen aan de rand van het netwerk van Cloudflare. Zo ben je verzekerd van een consistente beveiliging voor alle medewerkers, waar ze zich ook bevinden.
Zo zet je jouw beslissingen om in inline beveiliging:
Blokkeer niet-goedgekeurde AI: De eenvoudigste en meest directe actie. Maak een Gateway HTTP-beleidsbepaling aan die al het verkeer naar elke AI-applicatie blokkeert die als 'Niet goedgekeurd' is gemarkeerd. Hiermee wordt onmiddellijk een einde gemaakt aan riskante data-transfers.
Beperk de blootstelling aan 'Wordt beoordeeld': Voor applicaties die nog beoordeeld worden, wil je mogelijk geen harde blokkering, maar eerder een zachte limiet gezien de potentiële risico's:
Data Loss Prevention (DLP): Cloudflare DLP inspecteert en analyseert verkeer op gevoelige gegevens (bijvoorbeeld creditcardnummers, persoonlijk identificeerbare informatie, interne projectnamen, broncode) en kan de overdracht vervolgens blokkeren. Door DLP toe te passen op AI-applicaties die nog worden beoordeeld, kun je voorkomen dat AI-prompts deze bedrijfseigen gegevens bevatten. Daarnaast kun je de gebruiker informeren waarom de prompt werd geblokkeerd. Hiermee had onze arme junior engineer zijn onverhoopte fout niet kunnen maken.
Beperk specifieke acties: Blokkeer alleen het uploaden van bestanden, zodat basisinteracties mogelijk zijn, maar een massale gegevensoverdracht wordt voorkomen.
Isoleer riskante sessies: Leid het verkeer naar applicaties die nog moeten worden beoordeeld via Cloudflare's Browser Isolation. Browser Isolation voert de browsersessie uit in een beveiligde, externe container, waardoor alle gegevensinteracties van jouw bedrijfsnetwerk worden geïsoleerd. Hiermee kun je het uploaden van bestanden, klembordacties, toetsenbordinvoer en meer beheren, waardoor er minder interactie met de applicatie nodig is terwijl je die beoordeelt.
Controleer 'Goedgekeurd' gebruik: Zelfs voor AI-tools die je vertrouwt, wil je mogelijk alle interacties registreren voor de nalevingscontrole of specifieke regels voor de gegevensverwerking toepassen om ervoor te zorgen dat de interne beleidsregels voortdurend worden nageleefd.
Met deze workflow kan jouw team het AI-gebruik van jouw organisatie consistent controleren en eenvoudig de beleidsbepalingen bijwerken om beveiligingsrisico's snel en eenvoudig te reduceren.
Forensisch onderzoek met Cloudflare Log Explorer
Hoewel het Shadow AI Report uitstekende inzichten biedt, moeten beveiligingsteams vaak diepgaander forensisch onderzoek uitvoeren. Voor deze geavanceerde scenario's kunnen wij Cloudflare Log Explorer aanbieden.
Met Log Explorer kun je de Cloudflare-logs rechtstreeks in het Cloudflare-dashboard of via API opslaan en raadplegen. Hierdoor hoef je niet voor elk onderzoek enorme hoeveelheden logs naar externe SIEM's te sturen. Het biedt ruwe, niet-bemonsterde loggegevens met volledige context, waardoor snelle en gedetailleerde analyses mogelijk zijn.
Klanten die Log Explorer hebben, kunnen schaduw-AI-logs analyseren met vooraf ingevulde SQL-query's van Cloudflare Analytics, waardoor een diepgaander onderzoek naar het AI-gebruik mogelijk is:
SQL-query-interface van Log Search
Zo wordt shadow AI met Log Explorer onderzocht:
Specifieke gebruikersactiviteit traceren: Als het Shadow AI Report een gebruiker markeert die zeer actief is in een AI-app die 'Wordt beoordeeld' of 'Niet goedgekeurd' is, kun je naar Log Explorer gaan en zoeken op gebruiker, applicatiecategorie of specifieke AI-services.
Data-transferpogingen analyseren: Als je het DLP-beleid hebt geconfigureerd, kun je zoeken naar DLP-overeenkomsten in combinatie met AI-applicatiecategorieën. Hiermee kunnen pogingen om gevoelige gegevens naar AI-applicaties te uploaden worden geïdentificeerd en kan precies worden vastgesteld welke gegevens werden verzonden.
Identificeer afwijkend AI-gebruik: het Shadow AI Report kan een piek in het gebruik van een specifieke AI-applicatie laten zien. In Log Explorer kun je filteren op de applicatiestatus (Wordt beoordeeld of Niet goedgekeurd) voor een specifiek tijdsbestek. Zoek vervolgens naar ongebruikelijke patronen, zoals een groot aantal verzoeken vanaf één IP-bronadres of onverwachte geografische locaties. Deze kunnen wijzen op gecompromitteerde accounts of pogingen om het beleid te omzeilen.
Als de AI-zichtbaarheid een uitdaging vormt voor jouw organisatie en als je een Cloudflare One-klant bent, dan is het Shadow AI Report nu beschikbaar als onderdeel van onze bredere schaduw-IT-detectiefuncties. Meld je aan bij je dashboard en verkrijg vandaag nog inzicht en geef je AI-beheersstrategie de juiste vorm.
Bent je klaar om jouw toegangsbeveiliging voor AI-apps te moderniseren? Neem contact op met onze Cloudflare One-beveiligingsexperts voor een adviesgesprek over hoe je weer inzicht en controle verkrijgt.
En als je nog niet klaar bent om met iemand te praten, zijn bijna alle functies in Cloudflare One gratis beschikbaar voor maximaal 50 gebruikers. Veel van onze grootste zakelijke klanten beginnen met het verkennen van de producten zelf als onderdeel van ons gratis abonnement. Je kunt hier aan de slag.
Als je feedback hebt of vorm wilt geven aan de manier waarop Cloudflare de zichtbaarheid van schaduw-AI verbetert, overweeg dan om deel te nemen aan ons gebruikersonderzoeksprogramma.