AIGC Security:Vorbeugung gegen das Risiko einer Microsoft Copilot Datenpanne

Microsoft Kopilot Es ist als eines der leistungsfähigsten Produktivitätswerkzeuge der Welt bekannt.

Copilot ist ein Assistent mit künstlicher Intelligenz, der in jede Ihrer Microsoft 365-Anwendungen (Word, Excel, PowerPoint, Teams, Outlook usw.) integriert ist. Microsofts Traum ist es, die Plackerei des Arbeitsalltags zu beseitigen und den Menschen die Möglichkeit zu geben, sich auf kreative Problemlöser zu konzentrieren.

Was Copilot von ChatGPT und anderen KI-Tools unterscheidet, ist der Zugriff auf alle Inhalte, an denen Sie in 365 gearbeitet haben. Copilot durchsucht und kompiliert sofort Daten aus Dokumenten, Präsentationen, E-Mails, Kalendern, Notizen und Kontakten.

Das istInformationssicherheitDer Copilot hat Zugang zu allen sensiblen Daten, zu denen die Benutzer Zugang haben, was normalerweise zu viel ist. Im Durchschnitt sind 10% der M365-Daten des Unternehmens für alle Mitarbeiter zugänglich.

Copilot kann auch schnell die notwendigen geschütztenNeue sensible Daten.Vor der KI-Revolution überstieg die Fähigkeit des Menschen, Daten zu erstellen und zu teilen, bei weitem seine Fähigkeit, sie zu schützen. Werfen Sie nur einen Blick auf die Trends bei Datenschutzverletzungen.generative künstliche Intelligenz (AI)Paraffin wurde auf das Feuer gegossen.

Was die generative KI als Ganzes angeht, gibt es viel zu entpacken: Modellvergiftung, Illusionen, tiefe Fälschungen und so weiter. In diesem Beitrag werde ich mich jedoch speziell auf Folgendes konzentrierenDatensicherheitund wie Ihr Team eine sichere Einführung von Copilot gewährleisten kann.

Microsoft 365 Copilot Anwendungsfälle#

Die Anwendungsfälle für generative KI mit kollaborativen Suiten wie M365 sind grenzenlos. Es ist leicht zu verstehen, warum so viele IT- und Sicherheitsteams darauf erpicht sind, frühzeitig Zugang zu erhalten und ihre Einführungspläne vorzubereiten. Die Produktivitätsgewinne werden enorm sein.

Sie können zum Beispiel ein leeres Word-Dokument öffnen und Copilot bitten, ein Angebot für Ihren Kunden auf der Grundlage eines Zieldatensatzes zu erstellen, der OneNote-Seiten, PowerPoint-Präsentationen und andere Office-Dokumente enthalten kann. In nur wenigen Sekunden haben Sie ein vollständiges Angebot.

Hier sind weitere Beispiele, die Microsoft auf der Eröffnungsveranstaltung nannte:

• Copilot kann an Ihren Teambesprechungen teilnehmen und in Echtzeit zusammenfassen, was besprochen wird, Aktionspunkte erfassen und Ihnen mitteilen, was in der Besprechung noch offen ist.
• Copilot in Outlook kann Ihnen helfen, Ihren Posteingang zu sortieren, E-Mails nach Prioritäten zu ordnen, Themen zusammenzufassen und Antworten für Sie zu erstellen.
• Copilot in Excel analysiert Rohdaten und liefert Ihnen Erkenntnisse, Trends und Empfehlungen.

Wie Microsoft 365 Copilot funktioniert#

Im Folgenden finden Sie einen kurzen Überblick über die Handhabung von Copilot-Eingabeaufforderungen:

• Benutzer geben Eingabeaufforderungen in Anwendungen wie Word, Outlook oder PowerPoint ein.
• Microsoft auf der Grundlage der M365-Berechtigungen des BenutzersErfassen des geschäftlichen Kontexts des Benutzers.
• Die Aufforderung wird an das LLM (z. B. GPT4) gesendet, um eine Antwort zu erzeugen.
• Microsoft führt die KI-Prüfung für die Nachbearbeitung durch.
• Microsoft erzeugt eine Antwort und gibt den Befehl, diese an die M365-Anwendung zurückzusenden.

Bildnachweis: Microsoft

Microsoft 365 Kopilot Sicherheitsmodell#

Für Microsoft gab es schon immer ein extremes Spannungsverhältnis zwischen Produktivität und Sicherheit.

Dies zeigte sich während des Coronavirus, als das IT-Team Microsoft Teams schnell einführte, ohne zunächst vollständig zu verstehen, wie das zugrunde liegende Sicherheitsmodell funktionierte oder welchen Status die M365-Berechtigungen, Gruppen und Verknüpfungsrichtlinien des Unternehmens hatten.

Eine gute Nachricht:#

• Segregation von Mietern.Copilot verwendet nur Daten aus dem M365-Tenant des aktuellen Benutzers. Das AI-Tool zeigt keine Daten aus anderen Tenants an, bei denen der Benutzer ein Gast ist, oder aus Tenants, die für eine mandantenübergreifende Synchronisierung eingerichtet sind.
• Grenzen der Ausbildung.Kopilotwird nicht (handeln, geschehen usw.)Verwenden Sie Ihre Geschäftsdaten, um Copilot auf dem zugrundeliegenden LLM zu trainieren, das von allen Mietern verwendet wird. Sie.muss nichtMachen Sie sich Sorgen darüber, dass Ihre geschützten Daten in den Antworten anderer Nutzer in anderen Mietern auftauchen.

Die schlechte Nachricht:#

• Erlaubt.Copilot zeigt alle organisatorischen Daten an, für die einzelne Benutzer zumindest Ansichtsrechte haben.
• Etiketten.Kopilot-generierte Inhaltewird nicht (handeln, geschehen usw.)Übernimmt das MPIP-Tag der Datei, aus der Copilot die Antwort erhält.
• Menschen.Die Antworten des Co-Piloten sind nicht garantiert 100% wahrheitsgetreu oder sicher; Menschen müssen für die Überprüfung der von der KI generierten Inhalte verantwortlich sein.

Lassen Sie uns die schlechten Nachrichten der Reihe nach durchgehen.

Umfang der eigenen Zuständigkeit#

Wenn Unternehmen die geringsten Rechte in Microsoft 365 leicht durchsetzen können, wäre es eine gute Idee, nur Copilot-Berechtigungen zu erteilen, auf die die Benutzer zugreifen können.

Microsoft erklärt in seinem Copilot-Datensicherheitsdokument:

"Es ist wichtig, dass Sie die in Microsoft 365-Diensten wie SharePoint bereitgestellten Berechtigungsmodelle nutzen, um sicherzustellen, dass die richtigen Benutzer oder Gruppen die richtigen Zugriffsrechte auf die richtigen Inhalte innerhalb Ihrer Organisation haben."

Quelle: Daten, Datenschutz und Sicherheit in Microsoft 365 Copilot

Wir wissen jedoch aus Erfahrung, dass die meisten Unternehmen weit davon entfernt sind, minimal privilegiert zu sein. Werfen Sie einfach einen Blick auf einige der Statistiken in Microsofts eigenem Cloud Privilege Risk Status Report.

Dieses Diagramm entspricht dem, was Varonis jedes Jahr bei der Durchführung von Tausenden von Datenrisikobewertungen für Unternehmen, die Microsoft 365 nutzen, feststellt. In unserem Bericht "The Great SaaS Data Exposure" haben wir festgestellt, dass der durchschnittliche M365-Mieter:

• Mehr als 40 Millionen eindeutige Berechtigungen
• Öffentliche Freigabe von mehr als 113K sensiblen Datensätzen
• 27K+ Link teilen

Warum ist das so?Microsoft 365 Berechtigungen sind extrem komplex. Denken Sie nur an all die Möglichkeiten, wie Benutzer auf Daten zugreifen:

• direkte Benutzerrechte
• Microsoft 365 Gruppenberechtigungen
• Lokale SharePoint-Berechtigungen (mit benutzerdefinierten Ebenen)
• Gastzugang
• externer Zugriff
• öffentlicher Zugang
• Link-Zugang (jeder, organisationsweit, direkt, Besucher)

Erschwerend kommt hinzu, dass die Berechtigungen größtenteils in den Händen des Endbenutzers und nicht in denen des IT- oder Sicherheitsteams liegen.

Registerkarte (eines Fensters) (Computertechnik)#

Microsoft verlässt sich bei der Durchsetzung von DLP-Richtlinien, der Anwendung von Verschlüsselung und der weitgehenden Verhinderung von Datenlecks in hohem Maße auf Sensibilitätskennzeichnungen. In der Praxis ist die Erstellung von Kennzeichnungen jedocheine Rolle spielenDas ist schwierig, vor allem wenn man sich bei der Vergabe von Sensibilitätskennzeichnungen auf Menschen verlässt.

Microsoft malt ein rosiges Bild von Tagging und Masking als ultimatives Sicherheitsnetz für Daten. Die Realität zeigt ein düstereres Szenario. Die Kennzeichnung hinkt oft hinterher oder wird obsolet, wenn Menschen Daten erstellen.

Das Sperren oder Verschlüsseln von Daten kann den Arbeitsablauf erschweren, und die Kennzeichnungstechnologie ist auf bestimmte Dateitypen beschränkt. Je mehr Tags eine Organisation hat, desto wahrscheinlicher ist es, dass die Benutzer verwirrt werden. Dies gilt insbesondere für große Organisationen.

Die Wirksamkeit des Tag-basierten Datenschutzes wird mit Sicherheit abnehmen, wenn wir zulassen, dass KI um Größenordnungen mehr Daten erzeugt, die genaue und automatische Tag-Aktualisierungen erfordern.

Ist mein Etikett in Ordnung?#

Varonis kann die Microsoft-Sensibilitätskennzeichnungen eines Unternehmens durch Scannen, Erkennen und Beheben validieren und verbessern:

• Nicht etikettierte sensible Dokumente
• Falsch etikettierte sensible Dokumente
• Unempfindliche Dokumente mit empfindlichen Etiketten

die Menschheit#

Künstliche Intelligenz wird die Menschen faul machen. Inhalte, die von LLMs wie GPT4 generiert werden, sind nicht nur gut, sie sind fantastisch. In vielen Fällen übersteigt die Geschwindigkeit und Qualität bei weitem die menschlichen Fähigkeiten. Infolgedessen beginnen die Menschen, der KI blind zu vertrauen, um sicher und präzise zu reagieren.

Wir haben reale Szenarien erlebt, in denen Copilot ein Angebot für einen Kunden erstellt, das sensible Daten enthält, die einem ganz anderen Kunden gehören. Der Benutzer wirft einen kurzen Blick darauf (oder auch nicht) und klickt auf "Senden", und schon sind Sie mit einer Datenschutzverletzung konfrontiert.

Bereiten Sie Ihre Mieter auf die Copilot-Sicherheit vor#

Bei der Einführung von Copilotim VorfeldEs ist wichtig, den Sicherheitsstatus Ihrer Daten zu kennen. Jetzt, da Copilot universell verfügbar ist, ist es ein guter Zeitpunkt, um Sicherheitskontrollen zu implementieren.

Varonis schützt Tausende von Microsoft 365-Kunden durch unsere Datensicherheitsplattform, die eine Echtzeit-Ansicht des Risikos und die Fähigkeit zur automatischen Durchsetzung der geringsten Berechtigung bietet.

Wir können Ihnen helfen, Ihre größten Sicherheitsrisiken mit Copilot mit wenig bis gar keinem manuellen Aufwand zu beseitigen. Mit Varonis für Microsoft 365 können Sie:

• Erkennen und kategorisieren Sie automatisch alle KI-generierten sensiblen Inhalte.
• Stellt automatisch sicher, dass MPIP-Etiketten korrekt angebracht werden.
• Setzt automatisch das geringste Recht durch.
• Kontinuierliche Überwachung sensibler Daten in M365 und Alarmierung und Reaktion auf abnormales Verhalten.