6 जून 2023
टोनी फ्रुम द्वारा - उत्पाद विशेषज्ञ, Skyhigh Security
रोटरी टेलीफोन का उपयोग करने का तरीका जानने के बाद, मैंने अपने वर्षों में उचित मात्रा में तकनीकी प्रगति देखी है। हालांकि, मुझे लगता है कि आर्टिफिशियल इंटेलिजेंस (एआई) के आगमन के कारण मेरे बच्चे अपने जीवनकाल में क्या देखेंगे, इसकी तुलना में यह कम हो सकता है। क्षेत्र के विशेषज्ञ इसके महत्व का वर्णन करने के लिए परमाणु बम और आग की खोज जैसी अति-शीर्ष तुलनाओं का उपयोग करते हैं, और एक अच्छा मौका है कि ये अतिशयोक्ति नहीं होगी।
इस विकास के आसपास बहुत अधिक घबराहट है, कुछ सुरक्षा उपायों, सरकारी नियमों और यहां तक कि एआई अनुसंधान पर रोक लगाने के लिए बुला रहे हैं। साइबर सुरक्षा क्षेत्र में, चैटजीपीटी जैसे एआई उपकरणों के उपयोग और डेटा सुरक्षा पर उनके प्रभाव के बारे में बहुत चिंता है। एक पागलपन डेटा-केंद्रित के रूप में Security Service Edge (एसएसई) विक्रेता, हम Skyhigh Security कम से कम दैनिक आधार पर पूछा जाता है कि चैटजीपीटी के माध्यम से डेटा हानि को कैसे रोका जा सकता है। हमारे ग्राहक चैटजीपीटी के माध्यम से सैमसंग की डेटा हानि की घटना जैसी स्थितियों के बारे में पढ़ रहे हैं और यह सुनिश्चित करना चाहते हैं कि उनके पास सही नियंत्रण हो।
ChatGPT जैसे उपकरणों की नवीनता के बावजूद, मुझे सभोपदेशक को यह कहते हुए उद्धृत करने के आग्रह का विरोध करना होगा, "सूर्य के नीचे कुछ भी नया नहीं है। जबकि आपके डेटा पर एआई मॉडल के प्रशिक्षित होने का विशिष्ट जोखिम एक नया मोड़ हो सकता है, आपके डेटा को चैटजीपीटी से सुरक्षित रखने की रसद वास्तव में कोई नई बात नहीं है। यह वही है जो हम हर दिन करते हैं! और, इसे स्पष्ट रूप से रखने के लिए, यदि आपके पास सही डेटा सुरक्षा नियंत्रण हैं, तो आपको पहले से ही अपने ठिकानों को कवर करना चाहिए। आइए लागू नियंत्रणों की संक्षेप में समीक्षा करें, जिनमें से कई आपने संभवतः पहले से ही तैनात किए हैं, और वे इस नए, लेकिन नए नहीं, जोखिम को संबोधित करने में आपकी सहायता कैसे कर सकते हैं।
श्रेणी/ऐप द्वारा अवरुद्ध करना
कई संगठनों को एआई चैटबॉट्स और अन्य जनरेटिव एआई सेवाओं द्वारा उत्पन्न जोखिमों के लिए कोई भूख नहीं है। इन संस्थाओं के लिए, इन ऐप्स के उपयोग को एकमुश्त अवरुद्ध करना उनकी पसंदीदा रणनीति है। Apple हाल ही में इन कंपनियों की बढ़ती सूची में शामिल हो गया है। लेकिन, जैसा कि मैंने बताया है कि हमारे Secure Web Gateway (एसडब्ल्यूजी) ग्राहकों ने वर्षों से, "कुछ अवरुद्ध करना आसान है। कोई भी ऐसा कर सकता है। यह जानना कि क्या ब्लॉक करना कठिन हिस्सा है। कहा जा रहा है कि, आज इसके नमक के लायक किसी भी एसडब्ल्यूजी को पहले से ही इन एआई उपकरणों के बारे में पता होना चाहिए और उन्हें ब्लॉक करने के लिए आसानी से एक नीति बनाने में सक्षम होना चाहिए। इस लेखन के समय, Skyhigh Securityक्लाउड रजिस्ट्री में 400 से अधिक एआई अनुप्रयोगों का पूर्ण जोखिम विश्लेषण शामिल है, और सूची प्रतिदिन बढ़ रही है! इनमें से प्रत्येक में 65 से अधिक जोखिम विशेषताएँ और ऐप्स से संबंधित सभी डोमेन की सूची शामिल है। कुछ ही क्लिक में, इन ऐप्स को नियंत्रित करने के लिए हमारे ग्राहकों की वेब सुरक्षा नीतियों में इस समृद्ध डेटा का लाभ उठाया जा सकता है। एआई चैटबॉट्स के उपयोग पर प्रतिबंध लगाने के इच्छुक ग्राहकों के लिए, यह उनके लिए "आसान बटन" है।
विशिष्ट गतिविधियों को प्रतिबंधित करना
कुछ संगठन एआई चैटबॉट्स के उपयोग की अनुमति देने में मूल्य देखते हैं लेकिन यह सुनिश्चित करना चाहते हैं कि उनका अधिक महत्वपूर्ण डेटा सुरक्षित रहे। आज इस लौकिक बिल्ली की त्वचा के कई तरीके हैं। एक विकल्प एआई-आधारित एप्लिकेशन को अनुमति देने के लिए गतिविधि नियंत्रण का उपयोग करना है, लेकिन कुछ गतिविधियों जैसे कि फाइल अपलोड करना या संकेत भेजना। Skyhigh का SWG हमारी रजिस्ट्री में सभी 35k+ अनुप्रयोगों के लिए गतिविधि नियंत्रण का समर्थन करता है, जिसमें AI के रूप में वर्गीकृत 400 से अधिक ऐप्स शामिल हैं। फिर से, कुछ ही क्लिक में आप इन एप्लिकेशन पर किसी भी सामग्री के अपलोड को मिनटों में रोक सकते हैं।
बेशक, कुछ एप्लिकेशन, जैसे कि चैटजीपीटी प्रश्न भेजने जैसी गतिविधियों को रोककर बेकार हो सकते हैं। यदि आप इसे प्रश्न नहीं पूछ सकते हैं तो ऐप को अनुमति देने से क्या अच्छा है? इन स्थितियों में, ग्राहक अधिक सूक्ष्म दृष्टिकोण अपनाना चाह सकते हैं। उदाहरण के लिए, सैमसंग ने शुरू में चैटजीपीटी संकेतों को 1,024 बाइट्स तक सीमित करके अपने डेटा लीक का जवाब दिया। अन्य विकल्पों में कुछ प्रकार की फ़ाइलों के अपलोड को रोकना, जियोलोकेशन के आधार पर पहुंच सीमित करना और बहुत कुछ शामिल हो सकते हैं। इनमें से कई विकल्पों के लिए, एक अत्यधिक दानेदार वेब नीति इंजन की आवश्यकता है। स्काईहाई एसडब्ल्यूजी समाधान , बिना किसी संदेह के, आज बाजार पर सबसे शक्तिशाली और दानेदार वेब नीति इंजन है, जो इन जैसे उपयोग के मामलों का त्वरित काम कर रहा है। उदाहरण के लिए, एक एकल, कस्टम नियम के साथ हमारे ग्राहक एक नीति लागू कर सकते हैं कि यदि किसी एआई-आधारित प्लेटफॉर्म के लिए अनुरोध 1024 बाइट्स से अधिक है, तो उसे ब्लॉक कर दें। इसलिए, आपका पसंदीदा दृष्टिकोण जो भी हो, हम आपको आसानी से उस नियंत्रण का प्रयोग करने में सक्षम बनाने की संभावना रखते हैं।
आपके व्यवसाय के महत्वपूर्ण डेटा की सुरक्षा करना
व्यक्तिगत रूप से, मुझे लगता है कि सबसे अच्छा तरीका डेटा जागरूकता शामिल है। आज की क्लाउड-आधारित दुनिया में, संगठनों के पास पहले से ही एक अच्छा हैंडल होना चाहिए कि उन्हें किस डेटा को संरक्षित करने की आवश्यकता है, और उन्हें उस डेटा को किसी भी बाहरी एप्लिकेशन को भेजे जाने से रोकने के लिए एक नीति लागू करनी चाहिए जो संगठन द्वारा स्वीकृत और ठीक से सुरक्षित नहीं है। इस संबंध में, चैटजीपीटी वास्तव में व्यक्तिगत ड्रॉपबॉक्स खाते से अलग नहीं है। आपका संगठन व्यक्तिगत ड्रॉपबॉक्स के उपयोग की अनुमति दे सकता है और सहन कर सकता है, लेकिन उन्हें यह भी सुनिश्चित करना चाहिए कि उनका सबसे महत्वपूर्ण डेटा इस अस्वीकृत और असुरक्षित एप्लिकेशन पर अपलोड नहीं किया गया है। उसी तरह, परिपक्व डेटा सुरक्षा कार्यक्रमों वाले संगठनों के पास संवेदनशील डेटा को किसी भी अस्वीकृत एप्लिकेशन तक पहुंचने से रोकने के लिए पहले से ही एक नीति होगी, जिसे स्वाभाविक रूप से चैटजीपीटी जैसे ऐप्स तक विस्तारित करना चाहिए। Skyhigh Security ग्राहक पहले से ही इस क्षेत्र में वक्र से आगे हैं क्योंकि वे पहले से ही एक परिपक्व और अत्यधिक लाभ उठा रहे हैं अग्रवर्ती Data Loss Prevention (DLP) इंजन मजबूत क्षमताओं जैसे सटीक डेटा मैच (EDM), अनुक्रमित डेटा मिलान (IDM), ऑप्टिकल कैरेक्टर रिकग्निशन (OCR), और बहुत कुछ।
OpenAI का एक हालिया विकास जो अतिरिक्त आशा लाता है, वह ChatGPT वार्तालाप इतिहास और उन वार्तालापों पर प्रशिक्षण को अक्षम करने के लिए एक नया नियंत्रण है। UI में एक स्विच के सरल फ्लिप के साथ, उपयोगकर्ता यह संकेत दे सकते हैं कि वे अपना डेटा संग्रहीत नहीं करना चाहते हैं, और इसका उपयोग ChatGPT के प्रशिक्षण के लिए नहीं किया जाना चाहिए। उपयोगकर्ताओं को इस विकल्प को मैन्युअल रूप से सक्षम करना होगा, जो डिफ़ॉल्ट रूप से अक्षम है, लेकिन यह चैटजीपीटी मॉडल को संभावित संवेदनशील डेटा पर प्रशिक्षित होने से रोकने के लिए सुरक्षा की एक अतिरिक्त परत प्रदान करता है। Skyhigh Security पहले से ही हमारे एसडब्ल्यूजी समाधान में एक नीति का परीक्षण किया है जो इस नए विकल्प को हमारे प्रॉक्सी के माध्यम से जाने वाले किसी भी प्रबंधित डिवाइस के लिए सक्षम होने के लिए मजबूर करता है, भले ही उपयोगकर्ता किस खाते में लॉग इन हो।
सेवा को मंजूरी देना
OpenAI ने भविष्य में ChatGPT Business सब्सक्रिप्शन की योजना की भी घोषणा की है। इस नए सदस्यता विकल्प के साथ, संगठन अपने उपयोगकर्ताओं के लिए व्यावसायिक खाते बनाने में सक्षम होंगे और केंद्रीय रूप से प्रबंधित करेंगे कि उनका डेटा कैसे संभाला जाता है। यह, संभावित रूप से, की कई अन्य क्षमताओं को ला सकता है Skyhigh Security खेलने में एसएसई मंच। पहला वह है जिसे हम "किरायेदार प्रतिबंध" कहते हैं, जो आपको व्यक्तिगत और तृतीय-पक्ष खातों को अवरुद्ध करते समय केवल अपने स्वीकृत किरायेदार, या किसी आवेदन के उदाहरण के लिए लॉगिन की अनुमति देने में सक्षम बनाता है। यह महत्वपूर्ण होगा यदि संगठन कंपनी भर में डेटा हैंडलिंग नीतियों को लागू करने के लिए चैटजीपीटी बिजनेस मार्ग पर जाना चाहते हैं। ऐसा करना व्यर्थ होगा यदि आप उपयोगकर्ताओं को अनियंत्रित, व्यक्तिगत चैटजीपीटी खातों में लॉग इन करने से भी नहीं रोक सकते।
Skyhigh Securityकी इंजीनियरिंग टीम ने पहले ही OpenAI के API के साथ इंटरैक्ट करने वाली अवधारणा का प्रमाण सफलतापूर्वक किया है ताकि OpenAI प्लेटफॉर्म पर अपलोड की गई फ़ाइलों की जांच की जा सके cloud access security broker (सीएबी) हमारे पोर्टफोलियो का हिस्सा। हालांकि OpenAI API अभी तक सभी उपयोग के मामलों का समर्थन नहीं करते हैं, हम अपनी CASB API क्षमताओं का उपयोग करके आउट-ऑफ-बैंड प्रक्रिया में एंटरप्राइज़ किरायेदारों में संवेदनशील डेटा को स्कैन करने और उसका उपचार करने के अवसरों की तलाश जारी रखेंगे।
इसी तरह, यदि ChatGPT तृतीय-पक्ष पहचान प्रदाता से एकल साइन-ऑन (SSO) का उपयोग करने की क्षमता प्रदान करता है, तो Skyhigh Securityसीएएसबी तकनीक मूल्य लाने में सक्षम होगी। ChatGPT और तृतीय-पक्ष पहचान प्रदाता के बीच SAML हैंड-ऑफ प्रक्रिया में प्लग इन करके, CASB आपके ChatGPT टेनेंट को प्रमाणित करने वाले दुनिया के किसी भी डिवाइस के लिए इनलाइन प्राप्त कर सकता है और डिवाइस एक्सेस कंट्रोल कर सकता है। इस तरह, हम आपके संगठनों तक पहुंच को प्रतिबंधित करने में सक्षम होंगे चैटजीपीटी ताकि केवल विश्वसनीय डिवाइस ही पहुंच प्राप्त कर सकें। इस लेखन के रूप में इसकी पुष्टि नहीं हुई है कि OpenAI SSO की पेशकश करने की योजना बना रहा है, लेकिन इसकी अत्यधिक संभावना है क्योंकि यह प्रमाणीकरण और खाता प्रबंधन के लिए एक सामान्य दृष्टिकोण है।
पर मेरे सहयोगियों के लिए Skyhigh Security, हमने अभी जो चर्चा की है, वह ग्राहकों के साथ हमारी दैनिक बातचीत के संक्षिप्त सारांश की तरह लगेगी। हम यही करते हैं। एआई चैटबॉट, और विशेष रूप से चैटजीपीटी, डेटा हानि के जोखिम में एक नया मोड़ ला सकते हैं, लेकिन डेटा सुरक्षा पेशेवरों के लिए यह अभी भी वही काम है जिसके लिए समान उपकरण और समान दांव की आवश्यकता होती है। संभावना है कि आप इनमें से कई उपकरणों के साथ पहले से ही तैयार हैं, लेकिन यदि आपको अपने सुरक्षा नियंत्रणों की कमी लगती है, तो हमें यह दिखाने का मौका दें कि हम कैसे मदद कर सकते हैं। यह हमारे व्हीलहाउस में सही है क्योंकि हमारे ग्राहकों के डेटा की सुरक्षा करना हम हर एक दिन करते हैं।
कैसे के बारे में अधिक जानने के लिए Skyhigh Security आज हमसे संपर्क करने में आपकी मदद कर सकते हैं।
ब्लॉग पर वापस जाएं