सारंग वारुडकर द्वारा - वरिष्ठ तकनीकी पीएमएम
19 मई, 2026 4 मिनट रीड
जनरेटिव एआई को अपनाने से उद्यम सुरक्षा में ऐसे बदलाव आए हैं जिनका समाधान अभी तक कई संगठनों को नहीं मिल पाया है। खतरा किसी परिष्कृत हमले से नहीं आया, बल्कि एक ब्राउज़र टैब से आया।
कर्मचारी अपना अधिकांश समय ब्राउज़र पर बिताते हैं, CRM रिकॉर्ड, वित्तीय डैशबोर्ड, साझा दस्तावेज़ और ChatGPT, Microsoft 365 Copilot और Gemini जैसे AI टूल का उपयोग करते हैं। उत्पादकता में वृद्धि स्पष्ट है। साथ ही, इसका प्रभाव भी स्पष्ट है।
एआई अनुप्रयोगों ने ऐसे प्रॉम्प्ट फ़ील्ड पेश किए हैं जो कर्मचारी के क्लिपबोर्ड से डेटा को सीधे बाहरी मॉडल में स्थानांतरित करने की अनुमति देते हैं। माइक्रोसॉफ्ट टीम्स वेब और व्हाट्सएप वेब जैसे मैसेजिंग प्लेटफ़ॉर्म लगातार वेबसॉकेट कनेक्शन पर निर्भर करते हैं जिनकी पारंपरिक नेटवर्क सुरक्षा उपकरण जांच नहीं कर सकते। आधुनिक SaaS अनुप्रयोग भी प्रॉक्सी तक पहुंचने से पहले सामग्री को एन्क्रिप्ट करते हैं।
इसका परिणाम यह है कि सत्र के दौरान होने वाली गतिविधियों की एक ऐसी श्रेणी लगातार बढ़ रही है जिसे मौजूदा नेटवर्क सुरक्षा नियंत्रण देख या नियंत्रित नहीं कर सकते। चूंकि यह गतिविधि ब्राउज़र के अंदर होती है, इसलिए वहां भी सुरक्षा व्यवस्था होनी चाहिए।
परंपरागत नेटवर्क निरीक्षण HTTP और HTTPS ट्रैफ़िक पर निर्भर करता है जो एक प्रॉक्सी के माध्यम से प्रवाहित होता है। यह मॉडल वर्षों तक अच्छी तरह से काम करता रहा, लेकिन दो बदलावों ने इसमें और अधिक जटिलताएँ जोड़ दीं।
सबसे पहले, आधुनिक SaaS एप्लिकेशन तेजी से वेबसॉकेट कनेक्शन का उपयोग कर रहे हैं। Microsoft Teams, WhatsApp और Microsoft 365 Copilot जैसे ऐप्स स्थायी ब्राउज़र सेशन बनाते हैं जो पारंपरिक प्रॉक्सी निरीक्षण को दरकिनार कर देते हैं और सुरक्षा टीमों को सेशन गतिविधि की जानकारी नहीं मिल पाती है।
दूसरा, एंड-टू-एंड एन्क्रिप्टेड एप्लिकेशन प्रॉक्सी तक पहुंचने से पहले ही कंटेंट को एन्क्रिप्ट कर देते हैं। नेटवर्क सुरक्षा उपकरण कनेक्शन को देख सकते हैं लेकिन पेलोड की जांच नहीं कर सकते।
इससे ब्राउज़र गतिविधि उत्पन्न होती है जो मौजूदा सुरक्षा नियंत्रणों की पहुंच से बाहर होती है।
डेटा लीक होने की अधिकतर घटनाएं उन्नत हमलावरों द्वारा नहीं होतीं; वे ब्राउज़र के अंदर कर्मचारियों की नियमित गतिविधियों के कारण होती हैं, उदाहरण के लिए: कॉपी-पेस्ट, स्क्रीनशॉट लेना, अपलोड करना और एक्सेस मिलने के बाद होने वाले एआई प्रॉम्प्ट।
सत्र के दौरान डेटा लीक होने की सबसे आम घटनाओं में एक पैटर्न देखने को मिलता है। ये वे नियमित क्रियाएं हैं जो कर्मचारी सामान्य कार्य के दौरान करते हैं, और नेटवर्क एज पर काम करने वाले उपकरणों से इनका पता लगाना या इन्हें नियंत्रित करना मुश्किल होता है।
उदाहरणों में शामिल हैं:
ये क्रियाएं सामान्य कामकाज के दौरान होती हैं और पारंपरिक नियंत्रणों के लिए इनका पता लगाना मुश्किल होता है।
जनरेटिव एआई ने ब्राउज़र प्रॉम्प्ट फ़ील्ड बनाकर इस समस्या को और बढ़ा दिया है, जो किसी भी पेस्ट की गई सामग्री को स्वीकार करते हैं। कर्मचारी कुछ ही सेकंड में सोर्स कोड, ग्राहक की व्यक्तिगत पहचान जानकारी (PII), वित्तीय डेटा, कानूनी दस्तावेज़ या विलय एवं अधिग्रहण योजनाएँ बाहरी एआई सिस्टम में सबमिट कर सकते हैं। हाल ही में हुए उद्योग अनुसंधान से पता चला है कि 41% कर्मचारी नियमित रूप से एआई वेब टूल के साथ इंटरैक्ट करते हैं, जिन पर पेस्ट या अपलोड की जाने वाली सामग्री को नियंत्रित करने के लिए कोई गवर्नेंस नियंत्रण नहीं है। अधिकांश संगठनों में, कर्मचारी के क्लिपबोर्ड और बाहरी एआई मॉडल के बीच कोई तकनीकी नियंत्रण मौजूद नहीं है।
कई संगठनों के लिए, कर्मचारी के क्लिपबोर्ड और बाहरी एआई प्रॉम्प्ट फ़ील्ड के बीच कोई तकनीकी नियंत्रण मौजूद नहीं है।
नियमों में पहले से ही संवेदनशील डेटा के लिए तकनीकी सुरक्षा उपायों की आवश्यकता है।
सामान्य डेटा संरक्षण विनियमन (जीडीपीआर) के अनुच्छेद 32 के तहत व्यक्तिगत डेटा प्रसंस्करण की सुरक्षा अनिवार्य है। स्वास्थ्य बीमा पोर्टेबिलिटी और जवाबदेही अधिनियम स्वास्थ्य सेवा डेटा की सुरक्षा के लिए सुरक्षा उपायों को अनिवार्य बनाता है। भारत का डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम व्यक्तिगत डेटा के लिए तकनीकी सुरक्षा प्रदान करता है। भुगतान कार्ड उद्योग डेटा सुरक्षा मानक कार्डधारक डेटा के लिए नियंत्रण अनिवार्य करता है।
ऑडिटर अक्सर यह सवाल पूछते हैं कि कर्मचारियों को संवेदनशील डेटा को बाहरी एआई टूल में कॉपी करने से क्या रोकता है। कई संगठनों के पास इसका कोई स्पष्ट तकनीकी जवाब नहीं है।
बाजार में ब्राउज़र सुरक्षा के लिए कई दृष्टिकोण विकसित किए गए हैं। सुरक्षित एंटरप्राइज़ ब्राउज़र कर्मचारियों द्वारा उपयोग किए जाने वाले ब्राउज़र को प्रबंधित कॉर्पोरेट विकल्प से बदलकर गहन इन-सेशन नियंत्रण प्रदान करते हैं। यह मॉडल कड़े नियंत्रण वाले वातावरणों के लिए कारगर है, लेकिन इसमें अपनाने में काफी कठिनाई, तीन से छह महीने की तैनाती अवधि और BYOD तथा ठेकेदार उपकरणों के लिए संरचनात्मक कवरेज अंतराल जैसी समस्याएं आती हैं।
एजेंटलेस सुरक्षित ब्राउज़र नियंत्रण एक अलग दृष्टिकोण अपनाते हैं। ये ब्राउज़र को बदले बिना, एंडपॉइंट एजेंट इंस्टॉल किए बिना और कर्मचारियों को अपने काम करने के तरीके में बदलाव करने की आवश्यकता के बिना, मौजूदा SSE इन्फ्रास्ट्रक्चर के माध्यम से सक्रिय ब्राउज़र सत्रों के भीतर डेटा सुरक्षा नीतियों को लागू करते हैं। कवरेज प्रबंधित उपकरणों, BYOD एंडपॉइंट्स और ठेकेदार उपकरणों पर Chrome, Edge, Firefox और Safari तक समान रूप से फैला हुआ है। सक्रियण में मिनटों का समय लगता है, महीनों का नहीं।
इसका परिणाम यह है कि ब्राउज़र बदलने की जटिल प्रक्रिया और लागत के बिना ही एंटरप्राइज़ ब्राउज़र सुरक्षा के लाभ मिलते हैं। ब्राउज़र स्थिर रहता है। सुरक्षा व्यवस्था लागू हो जाती है।
यदि ऊपर वर्णित सत्र के दौरान होने वाली गतिविधि आपके वातावरण में जानी-पहचानी सी लगती है, तो अगला सबसे तेज़ कदम यह सीखना है कि एजेंट रहित सुरक्षित ब्राउज़र नियंत्रण इसे कैसे संभालते हैं।
Skyhigh Secure Browser Controls उत्पाद पृष्ठ पर जाकर देखें कि यह सुविधा कैसे काम करती है, आपके मौजूदा SSE प्लेटफॉर्म के माध्यम से इसे कैसे तैनात किया जाता है, और प्रबंधित उपकरणों, BYOD और ठेकेदार एंडपॉइंट्स पर इसका कवरेज कैसा दिखता है।
आप Skyhigh के सुरक्षित ब्राउज़र नियंत्रणों का वैयक्तिकृत डेमो भी अनुरोध कर सकते हैं।
लेखक के बारे में

सारंग वरुडकर एक अनुभवी उत्पाद विपणन प्रबंधक हैं, जिनके पास साइबर सुरक्षा में 10+ वर्षों का अनुभव है, तथा वे तकनीकी नवाचार को बाजार की जरूरतों के साथ जोड़ने में कुशल हैं। वे CASB, DLP, तथा AI-संचालित खतरे का पता लगाने जैसे समाधानों में गहन विशेषज्ञता रखते हैं, तथा प्रभावशाली बाजार-उन्मुख रणनीतियों और ग्राहक जुड़ाव को आगे बढ़ाते हैं। सारंग के पास IIM बैंगलोर से MBA तथा पुणे विश्वविद्यालय से इंजीनियरिंग की डिग्री है, जो तकनीकी और रणनीतिक अंतर्दृष्टि को जोड़ती है।
Sarang Warudkar July 15, 2026
स्टुअर्ट बेलिस और सारंग वरुडकर 25 जून, 2026
सारंग वारुडकर 17 जून, 2026
सारंग वरुडकर और स्टुअर्ट बेलिस 21 मई, 2026
सारंग वारुडकर 19 मई, 2026