Microsoft Copilot Verilerinin Açığa Çıkmasını Önleme

Microsoft Copilot, gezegendeki en güçlü üretkenlik araçlarından biri olarak anılıyor.

Copilot, Microsoft 365 uygulamalarınızın her birinde (Word, Excel, PowerPoint, Teams, Outlook vb.) yaşayan bir yapay zeka asistanıdır. Microsoft’un hayali, günlük işlerdeki angaryayı ortadan kaldırmak ve insanların yaratıcı problem çözücüler olmaya odaklanmasını sağlamaktır.

Copilot’u ChatGPT ve diğer yapay zeka araçlarından farklı kılan şey, 365’te üzerinde çalıştığınız her şeye erişebilmesidir. Copilot belgeleriniz, sunumlarınız, e-postanız, takviminiz, notlarınız ve kişilerinizdeki verileri anında arayabilir ve derleyebilir. .

Bilgi güvenliği ekiplerinin sorunu da burada yatıyor. Copilot, bir kullanıcının erişebildiği tüm hassas verilere erişebilir ve bu genellikle çok fazladır. Ortalama olarak bir şirketin M365 verilerinin %10’u tüm çalışanlara açıktır.

Yardımcı pilot aynı zamanda hızlı bir şekilde net yeni korunması gereken hassas veriler. Yapay zeka devriminden önce insanların veri oluşturma ve paylaşma yeteneği, onu koruma kapasitesini çok geride bırakıyordu. Veri ihlali eğilimlerine bakın. Üretken yapay zeka bu ateşe gazyağı döküyor.

Bir bütün olarak üretken yapay zeka söz konusu olduğunda açıklanacak çok şey var: model zehirlenmesi, halüsinasyon, derin sahtekarlıklar vb. Ancak bu yazıda özellikle veri güvenliğine ve ekibinizin güvenli bir Copilot kullanıma sunulmasını nasıl sağlayabileceğine odaklanacağım. .

Microsoft 365 Copilot kullanım örnekleri

M365 gibi bir işbirliği paketiyle üretken yapay zekanın kullanım örnekleri sınırsızdır. Pek çok BT ve güvenlik ekibinin neden erken erişim elde etmek için yaygara kopardığını ve kullanıma sunma planlarını hazırladığını anlamak kolaydır. Verimlilik artışları çok büyük olacak.

Örneğin, boş bir Word belgesi açabilir ve Copilot’tan, OneNote sayfalarını, PowerPoint destelerini ve diğer ofis belgelerini içerebilen hedef veri kümesine dayalı olarak bir müşteri için bir teklif taslağı hazırlamasını isteyebilirsiniz. Birkaç saniye içinde tam kapsamlı bir teklifiniz var.

İşte Microsoft’un çalışmaları sırasında verdiği birkaç örnek daha: lansman etkinliği:

• Copilot, Teams toplantılarınıza katılabilir ve tartışılanları gerçek zamanlı olarak özetleyebilir, eylem öğelerini yakalayabilir ve toplantıda hangi soruların çözülmediğini size söyleyebilir.
• Outlook’taki Copilot, gelen kutunuzu önceliklendirmenize, e-postalara öncelik vermenize, ileti dizilerini özetlemenize ve sizin için yanıtlar oluşturmanıza yardımcı olabilir.
• Excel’deki Copilot ham verileri analiz edebilir ve size içgörüler, trendler ve öneriler sunabilir.

Microsoft 365 Copilot nasıl çalışır?

Burada, Copilot isteminin nasıl işlendiğine ilişkin basit bir genel bakış verilmiştir:

• Kullanıcı Word, Outlook veya PowerPoint gibi bir uygulamaya bir istem girer.
• Microsoft, kullanıcının iş bağlamını toplar M365 izinlerine göre.
• Bir yanıt oluşturmak için LLM’ye (GPT4 gibi) bilgi istemi gönderilir.
• Microsoft, işlem sonrası sorumlu yapay zeka kontrollerini gerçekleştirir.
• Microsoft bir yanıt oluşturur ve M365 uygulamasına geri komut verir.

Microsoft 365 Copilot güvenlik modeli

Microsoft’ta üretkenlik ve güvenlik arasında her zaman aşırı bir gerilim vardır.

Bu durum, korona virüs sırasında BT ekiplerinin, temeldeki güvenlik modelinin nasıl çalıştığını veya kuruluşlarının M365 izinlerinin, gruplarının ve bağlantı politikalarının ne kadar formda olduğunu tam olarak anlamadan Microsoft Teams’i hızlı bir şekilde dağıtmasıyla ortaya çıktı.

Güzel haberler:

• Kiracı izolasyonu. Copilot yalnızca mevcut kullanıcının M365 kiracısından gelen verileri kullanır. Yapay zeka aracı, kullanıcının misafir olabileceği diğer kiracılardan veya kiracılar arası senkronizasyonla ayarlanmış kiracılardan gelen verileri yüzeye çıkarmaz.
• Eğitim sınırları. Yardımcı pilot değil Copilot’un tüm kiracılar için kullandığı temel LLM’leri eğitmek için iş verilerinizden herhangi birini kullanın. Sen yapmamalı diğer kiracılardaki diğer kullanıcılara verilen yanıtlarda özel verilerinizin görünmesi konusunda endişelenmeniz gerekir.

Kötü haber:

• İzinler. Copilot, bireysel kullanıcıların en azından görüntüleme iznine sahip olduğu tüm kurumsal verileri ortaya çıkarır.
• Etiketler. Yardımcı pilot tarafından oluşturulan içerik olmayacak Copilot’un yanıtını aldığı dosyaların MPIP etiketlerini devralır.
• İnsanlar. Copilot’un yanıtlarının %100 gerçekçi veya güvenli olduğu garanti edilmez; Yapay zeka tarafından oluşturulan içeriği inceleme sorumluluğunu insanlar üstlenmelidir.

Kötü haberi tek tek ele alalım.

İzinler

Şirketler Microsoft 365’te en az ayrıcalığı kolayca uygulayabilseydi, Copilot’a yalnızca kullanıcının erişebileceği şeylere erişim izni vermek mükemmel bir fikir olurdu.

Microsoft kendi açıklamasında belirtiyor Yardımcı pilot veri güvenliği belgeleri:

“Doğru kullanıcıların veya grupların kuruluşunuz içindeki doğru içeriğe doğru erişime sahip olmasını sağlamaya yardımcı olmak için SharePoint gibi Microsoft 365 hizmetlerinde bulunan izin modellerini kullanmanız önemlidir.”

Kaynak: Microsoft 365 Copilot için Veri, Gizlilik ve Güvenlik

Ancak ampirik olarak biliyoruz ki çoğu kuruluş en az ayrıcalıktan olabildiğince uzaktır. Microsoft’un kendi istatistiklerinden bazılarına bir göz atın Bulut İzinleri Riski Durumu raporu.

Bu tablo, her yıl Microsoft 365 kullanan şirketler için binlerce Veri Riski Değerlendirmesi gerçekleştirdiğimizde Varonis’in gördükleriyle eşleşiyor. Raporumuzda, Büyük SaaS Verilerinin Açığa Çıkmasıortalama M365 kiracısının aşağıdaki özelliklere sahip olduğunu bulduk:

• 40 milyondan fazla benzersiz izin
• 113.000’den fazla hassas kayıt herkese açık olarak paylaşılıyor
• 27.000’den fazla paylaşım bağlantısı

Bu neden oluyor? Microsoft 365 izinleri son derece karmaşıktır. Bir kullanıcının verilere erişebileceği tüm yolları düşünün:

• Doğrudan kullanıcı izinleri
• Microsoft 365 grup izinleri
• SharePoint yerel izinleri (özel düzeylerle)
• Misafir erişimi
• Harici erişim
• Kamu erişim
• Bağlantı erişimi (herkes, kuruluş çapında, doğrudan, misafir)

Daha da kötüsü, izinler çoğunlukla BT veya güvenlik ekiplerinin değil, son kullanıcıların elindedir.

Etiketler

Microsoft, DLP ilkelerini uygulamak, şifreleme uygulamak ve veri sızıntılarını geniş ölçüde önlemek için hassasiyet etiketlerine büyük ölçüde güvenmektedir. Ancak pratikte etiket almak çalışmak özellikle de hassasiyet etiketlerini uygulamak için insanlara güveniyorsanız zordur.

Microsoft, verileriniz için en üst düzey güvenlik ağı olarak etiketleme ve engelleme konusunda pembe bir tablo çiziyor. Gerçeklik daha kasvetli bir senaryoyu ortaya koyuyor. İnsanlar veri yarattıkça etiketleme sıklıkla geride kalıyor veya güncelliğini yitiriyor.

Verilerin engellenmesi veya şifrelenmesi iş akışlarına zorluk katabilir ve etiketleme teknolojileri belirli dosya türleriyle sınırlıdır. Bir kuruluşun ne kadar çok etiketi varsa, kullanıcılar için o kadar kafa karıştırıcı olabilir. Bu özellikle daha büyük organizasyonlar için yoğundur.

Doğru ve otomatik olarak güncellenen etiketler gerektiren çok daha fazla veri üreten yapay zekaya sahip olduğumuzda, etiket tabanlı veri korumanın etkinliği kesinlikle azalacaktır.

Etiketlerim iyi mi?

Varonis, aşağıdakileri tarayarak, keşfederek ve düzelterek bir kuruluşun Microsoft duyarlılık etiketlerini doğrulayabilir ve iyileştirebilir:

• Etiketsiz hassas dosyalar
• Yanlış etikete sahip hassas dosyalar
• Hassas etikete sahip hassas olmayan dosyalar

İnsanlar

Yapay zeka insanları tembelleştirebilir. GPT4 gibi Yüksek Lisans’lar tarafından oluşturulan içerik sadece iyi değil, aynı zamanda harikadır. Çoğu durumda hız ve kalite bir insanın yapabileceğinin çok ötesindedir. Sonuç olarak insanlar, güvenli ve doğru yanıtlar oluşturmak için yapay zekaya körü körüne güvenmeye başlıyor.

Copilot’un bir müşteri için teklif taslağı hazırladığı ve tamamen farklı bir müşteriye ait hassas verileri içerdiği gerçek dünya senaryolarını zaten gördük. Kullanıcı kısa bir bakıştan (veya hiç bakmadan) sonra “gönder” tuşuna basar ve artık elinizde bir gizlilik veya veri ihlali senaryosu vardır.

Kiracınızı Copilot için güvenliğe hazır hale getirme

Veri güvenliği duruşunuzu anlamanız kritik önem taşıyor önce Copilot’un kullanıma sunulması. Artık Copilot genel kullanıma sunulduğuna göre, güvenlik kontrollerinizi uygulamaya koymanın tam zamanı.

Varonis, gerçek zamanlı risk görünümü ve otomatik olarak en az ayrıcalığı uygulama yeteneği sağlayan Veri Güvenliği Platformumuzla binlerce Microsoft 365 müşterisini koruyor.

Copilot ile neredeyse hiç manuel çaba harcamadan en büyük güvenlik risklerini gidermenize yardımcı olabiliriz. Microsoft 365 için Varonis ile şunları yapabilirsiniz:

• Yapay zeka tarafından oluşturulan tüm hassas içeriği otomatik olarak keşfedin ve sınıflandırın.
• MPIP etiketlerinin doğru şekilde uygulandığından otomatik olarak emin olun.
• En az ayrıcalıklı izinleri otomatik olarak zorunlu kılın.
• M365’teki hassas verileri sürekli olarak izleyin ve anormal davranışlara uyarı verip yanıt verin.

Başlamanın en iyi yolu bir ücretsiz risk değerlendirmesi. Kurulumu birkaç dakika sürer ve bir veya iki gün içinde hassas veri riskine ilişkin gerçek zamanlı bir görünüme sahip olursunuz.

Bu madde ilk olarak Varonis blogunda göründü.