มิถุนายน 6, 2023
โดย Tony Frum - Product Specialist, Skyhigh Security
เมื่อโตขึ้นรู้วิธีใช้โทรศัพท์แบบหมุนฉันได้เห็นความก้าวหน้าทางเทคโนโลยีพอสมควรในช่วงหลายปีที่ผ่านมา อย่างไรก็ตาม ฉันคิดว่ามันอาจจะซีดเมื่อเทียบกับสิ่งที่ลูกๆ ของฉันจะได้เห็นในช่วงชีวิตของพวกเขาเนื่องจากการถือกําเนิดของปัญญาประดิษฐ์ ผู้เชี่ยวชาญในสาขานี้ใช้การเปรียบเทียบที่เหนือชั้น เช่น ระเบิดปรมาณูและการค้นพบไฟเพื่ออธิบายความสําคัญของมัน และมีโอกาสที่ดีที่สิ่งเหล่านี้จะไม่พูดเกินจริง
มีข้อโต้แย้งมากมายเกี่ยวกับการพัฒนานี้ โดยมีการเรียกร้องให้มีมาตรการรักษาความปลอดภัย กฎระเบียบของรัฐบาล และแม้แต่ การเลื่อนการชําระหนี้ในการวิจัย AI ในด้านความปลอดภัยทางไซเบอร์มีความวิตกกังวลอย่างมากเกี่ยวกับการใช้เครื่องมือ AI เช่น ChatGPT และผลกระทบต่อความปลอดภัยของข้อมูล ในฐานะที่เป็นคนบ้าข้อมูลที่เน้น Security Service Edge (SSE) ผู้ขายเราที่ Skyhigh Security ถูกถามอย่างน้อยทุกวันเกี่ยวกับวิธีป้องกันข้อมูลสูญหายผ่าน ChatGPT ลูกค้าของเรากําลังอ่านเกี่ยวกับสถานการณ์ต่างๆ เช่น เหตุการณ์ข้อมูลสูญหายของ Samsung ผ่าน ChatGPT และต้องการให้แน่ใจว่าพวกเขามีการควบคุมที่เหมาะสม
แม้จะมีเครื่องมือแปลกใหม่อย่าง ChatGPT แต่ฉันก็ต้องต่อต้านการกระตุ้นให้อ้างปัญญาจารย์ที่พูดว่า "ไม่มีอะไรใหม่ภายใต้ดวงอาทิตย์" แม้ว่าความเสี่ยงเฉพาะของโมเดล AI ที่ได้รับการฝึกอบรมเกี่ยวกับข้อมูลของคุณอาจเป็นการพลิกโฉมใหม่ แต่โลจิสติกส์ในการปกป้องข้อมูลของคุณจาก ChatGPT นั้นไม่ใช่เรื่องใหม่ นี่คือสิ่งที่เราทําทุกวัน! และพูดตรงๆ ถ้าคุณมีการควบคุมความปลอดภัยของข้อมูลที่เหมาะสม คุณก็ควรครอบคลุมฐานของคุณแล้ว มาทบทวนการควบคุมที่เกี่ยวข้องโดยสังเขป ซึ่งหลายๆ อย่างคุณอาจได้ปรับใช้ไปแล้ว และวิธีที่การควบคุมเหล่านี้สามารถช่วยคุณจัดการกับความเสี่ยงใหม่แต่ไม่ใช่เรื่องใหม่นี้
การบล็อกตามหมวดหมู่/แอป
หลายองค์กรไม่มีความกระหายต่อความเสี่ยงที่เกิดจากแชทบอท AI และบริการ AI เชิงกําเนิดอื่นๆ สําหรับเอนทิตีเหล่านี้การบล็อกการใช้แอพเหล่านี้เป็นกลยุทธ์ที่พวกเขาต้องการ Apple เพิ่งเข้าร่วมรายชื่อบริษัทเหล่านี้ที่เพิ่มขึ้นเรื่อยๆ แต่อย่างที่บอกเรา Secure Web Gateway (SWG) ลูกค้ามานานหลายปี "การบล็อกบางสิ่งเป็นเรื่องง่าย ใครๆ ก็ทําได้ การรู้ว่าต้องบล็อกอะไรเป็นส่วนที่ยาก" ดังที่กล่าวไปแล้ว SWG ใด ๆ ที่คุ้มค่ากับเกลือในปัจจุบันควรตระหนักถึงเครื่องมือ AI เหล่านี้อยู่แล้วและควรจะสามารถสร้างนโยบายเพื่อบล็อกได้อย่างง่ายดาย ในขณะที่เขียนบทความนี้ Skyhigh Securityรีจิสทรีบนคลาวด์ ของ มีการวิเคราะห์ความเสี่ยงอย่างเต็มรูปแบบของแอปพลิเคชัน AI มากกว่า 400 รายการ และรายการก็เพิ่มขึ้นทุกวัน! แต่ละรายการมีแอตทริบิวต์ความเสี่ยงมากกว่า 65 รายการและรายการโดเมนทั้งหมดที่เกี่ยวข้องกับแอป ข้อมูลที่สมบูรณ์นี้สามารถนําไปใช้ประโยชน์ในนโยบายความปลอดภัยของเว็บของลูกค้าเพื่อควบคุมแอปเหล่านี้ได้ด้วยการคลิกเพียงไม่กี่ครั้ง สําหรับลูกค้าที่ต้องการห้ามใช้แชทบอท AI นี่คือ "ปุ่มง่าย" สําหรับพวกเขา
การจํากัดกิจกรรมเฉพาะ
บางองค์กรเห็นคุณค่าในการอนุญาตให้ใช้แชทบอท AI แต่ต้องการให้แน่ใจว่าข้อมูลที่สําคัญกว่าของพวกเขายังคงปลอดภัย มีหลายวิธีในการถลกหนังแมวสุภาษิตตัวนี้ในปัจจุบัน ทางเลือกหนึ่งคือการใช้การควบคุมกิจกรรมเพื่ออนุญาตแอปพลิเคชันที่ใช้ AI แต่เพื่อป้องกันกิจกรรมบางอย่าง เช่น การอัปโหลดไฟล์หรือการส่งข้อความแจ้ง SWG ของ Skyhigh รองรับการควบคุมกิจกรรมสําหรับแอปพลิเคชัน 35k+ ทั้งหมดในรีจิสทรีของเรา รวมถึงแอปมากกว่า 400 แอปที่จัดอยู่ในประเภท AI อีกครั้งด้วยการคลิกเพียงไม่กี่ครั้งคุณสามารถป้องกันการอัปโหลดเนื้อหาใด ๆ ไปยังแอปพลิเคชันเหล่านี้ได้ภายในไม่กี่นาที
แน่นอนว่าบางแอปพลิเคชัน เช่น ChatGPT อาจไร้ประโยชน์โดยการป้องกันกิจกรรมต่างๆ เช่น การส่งคําถาม การอนุญาตให้แอปมีประโยชน์อะไรหากคุณไม่สามารถถามคําถามได้ ในสถานการณ์เหล่านี้ ลูกค้าอาจต้องการใช้แนวทางที่เหมาะสมยิ่งขึ้น ตัวอย่างเช่น Samsung ตอบสนองต่อการรั่วไหลของข้อมูลในขั้นต้นโดยจํากัดข้อความแจ้ง ChatGPT ไว้ที่ 1,024 ไบต์ ตัวเลือกอื่นๆ อาจรวมถึงการป้องกันการอัปโหลดไฟล์บางประเภท การจํากัดการเข้าถึงตามตําแหน่งทางภูมิศาสตร์ และอื่นๆ สําหรับตัวเลือกเหล่านี้จําเป็นต้องใช้เครื่องมือนโยบายเว็บที่มีรายละเอียดสูง โซลูชัน Skyhigh SWG มีเครื่องมือนโยบายเว็บที่ทรงพลังและละเอียดที่สุดในตลาดปัจจุบันอย่างไม่ต้องสงสัยทําให้การทํางานอย่างรวดเร็วในกรณีการใช้งานเช่นนี้ ตัวอย่างเช่น ด้วยกฎที่กําหนดเองเพียงข้อเดียว ลูกค้าของเราสามารถใช้นโยบายที่หากคําขอไปยังแพลตฟอร์มที่ใช้ AI ใดๆ เกิน 1024 ไบต์ ให้บล็อกคําขอนั้น ดังนั้น ไม่ว่าแนวทางที่คุณต้องการคืออะไร เราน่าจะช่วยให้คุณสามารถควบคุมสิ่งนั้นได้อย่างง่ายดาย
การปกป้องข้อมูลสําคัญทางธุรกิจของคุณ
โดยส่วนตัวแล้วฉันรู้สึกว่าแนวทางที่ดีที่สุดเกี่ยวข้องกับการรับรู้ข้อมูล ในโลกของระบบคลาวด์ในปัจจุบันองค์กรควรมีการจัดการที่ดีเกี่ยวกับข้อมูลที่พวกเขาต้องการปกป้องและควรใช้นโยบายเพื่อป้องกันไม่ให้ข้อมูลนั้นถูกส่งไปยังแอปพลิเคชันภายนอกใด ๆ ที่ไม่ได้รับอนุมัติและรักษาความปลอดภัยอย่างเหมาะสมจากองค์กร ในเรื่องนี้ ChatGPT ไม่ต่างจากบัญชี Dropbox ส่วนตัวจริงๆ องค์กรของคุณอาจอนุญาตและยอมรับการใช้ Dropbox ส่วนบุคคล แต่องค์กรควรตรวจสอบให้แน่ใจด้วยว่าข้อมูลที่สําคัญที่สุดของพวกเขาจะไม่ถูกอัปโหลดไปยังแอปพลิเคชันที่ไม่ได้รับอนุญาตและไม่ปลอดภัยนี้ ในทํานองเดียวกันองค์กรที่มีโปรแกรมรักษาความปลอดภัยข้อมูลที่สมบูรณ์มักจะมีนโยบายที่จะป้องกันไม่ให้ข้อมูลที่ละเอียดอ่อนถูกกรองไปยังแอปพลิเคชันที่ไม่ได้รับอนุญาตซึ่งควรขยายไปยังแอปเช่น ChatGPT Skyhigh Security ลูกค้านําหน้าเส้นโค้งในด้านนี้อยู่แล้ว เนื่องจากพวกเขาใช้ประโยชน์จากการเติบโตที่เป็นผู้ใหญ่และสูงอยู่แล้ว ดึก Data Loss Prevention เอ็นจิ้น (DLP) ที่มีความสามารถที่แข็งแกร่ง เช่น Exact Data Match (EDM), Indexed Data Matching (IDM), Optical Character Recognition (OCR) และอื่นๆ
การพัฒนาล่าสุดอย่างหนึ่งจาก OpenAI ที่นํามาซึ่งความหวังเพิ่มเติมคือการควบคุมใหม่เพื่อปิดใช้งานประวัติการสนทนา ChatGPT และการฝึกอบรมเกี่ยวกับการสนทนาเหล่านั้น ด้วยการพลิกสวิตช์ง่ายๆ ใน UI ผู้ใช้สามารถระบุได้ว่าไม่ต้องการจัดเก็บข้อมูล และไม่ควรใช้สําหรับการฝึกอบรม ChatGPT ผู้ใช้จะต้องเปิดใช้งานตัวเลือกนี้ด้วยตนเอง ซึ่งถูกปิดใช้งานโดยค่าเริ่มต้น แต่มีการรักษาความปลอดภัยอีกชั้นหนึ่งเพื่อป้องกันไม่ให้โมเดล ChatGPT ได้รับการฝึกอบรมเกี่ยวกับข้อมูลที่ละเอียดอ่อน Skyhigh Security ได้ทดสอบนโยบายในโซลูชัน SWG ของเราแล้วซึ่งบังคับให้เปิดใช้งานตัวเลือกใหม่นี้สําหรับอุปกรณ์ที่มีการจัดการใด ๆ ที่ผ่านพร็อกซีของเราไม่ว่าผู้ใช้จะลงชื่อเข้าใช้บัญชีใด
การลงโทษบริการ
OpenAI ยัง ได้ประกาศแผนการสมัครสมาชิก ChatGPT Business ในอนาคต ด้วยตัวเลือกการสมัครสมาชิกใหม่นี้องค์กรจะสามารถสร้างบัญชีธุรกิจสําหรับผู้ใช้และจัดการวิธีจัดการข้อมูลจากส่วนกลาง สิ่งนี้อาจนํามาซึ่งความสามารถอื่น ๆ ของ Skyhigh Security แพลตฟอร์ม SSE เข้ามามีบทบาท ประการแรกคือสิ่งที่เราเรียกว่า "ข้อจํากัดของผู้เช่า" ซึ่งช่วยให้คุณสามารถอนุญาตให้เข้าสู่ระบบเฉพาะผู้เช่าที่ได้รับอนุมัติหรืออินสแตนซ์ของแอปพลิเคชันในขณะที่บล็อกบัญชีส่วนบุคคลและบัญชีบุคคลที่สาม สิ่งนี้จะมีความสําคัญหากองค์กรต้องการใช้เส้นทางธุรกิจ ChatGPT เพื่อใช้นโยบายการจัดการข้อมูลทั่วทั้งบริษัท การทําเช่นนี้จะไร้ประโยชน์หากคุณไม่สามารถป้องกันไม่ให้ผู้ใช้ลงชื่อเข้าใช้บัญชี ChatGPT ส่วนตัวที่ไม่มีการควบคุมได้
Skyhigh Securityทีมวิศวกรของ ประสบความสําเร็จในการพิสูจน์แนวคิดที่โต้ตอบกับ API ของ OpenAI เพื่อตรวจสอบไฟล์ที่อัปโหลดไปยังแพลตฟอร์ม OpenAI โดยใช้ cloud access security broker (แคสบี) ส่วนหนึ่งของพอร์ตโฟลิโอของเรา แม้ว่า OpenAI API จะยังไม่รองรับกรณีการใช้งานทั้งหมด แต่เราจะยังคงมองหาโอกาสในการสแกนและแก้ไขข้อมูลที่ละเอียดอ่อนในผู้เช่าองค์กรในกระบวนการนอกแบนด์โดยใช้ความสามารถ CASB API ของเรา
ในทํานองเดียวกัน หาก ChatGPT เสนอความสามารถในการใช้การลงชื่อเพียงครั้งเดียว (SSO) จากผู้ให้บริการข้อมูลประจําตัวบุคคลที่สาม Skyhigh Securityเทคโนโลยี CASB ของจะสามารถสร้างมูลค่าได้ เมื่อเสียบเข้ากับกระบวนการส่งต่อ SAML ระหว่าง ChatGPT และผู้ให้บริการข้อมูลประจําตัวบุคคลที่สาม CASB จะสามารถอินไลน์สําหรับอุปกรณ์ใดๆ ในโลกที่ตรวจสอบสิทธิ์กับผู้เช่า ChatGPT ของคุณ และดําเนินการควบคุมการเข้าถึงอุปกรณ์ ด้วยวิธีนี้ เราจะสามารถจํากัดการเข้าถึง ChatGPT ขององค์กรของคุณ เพื่อให้เข้าถึงได้เฉพาะอุปกรณ์ที่เชื่อถือได้เท่านั้น ยังไม่ได้รับการยืนยันในขณะที่เขียนบทความนี้ว่า OpenAI วางแผนที่จะเสนอ SSO แต่มีความเป็นไปได้สูงเนื่องจากนี่เป็นแนวทางทั่วไปสําหรับการตรวจสอบสิทธิ์และการจัดการบัญชี
ถึงเพื่อนร่วมงานของฉันที่ Skyhigh Securityสิ่งที่เราเพิ่งพูดคุยกันจะฟังดูเหมือนบทสรุปสั้น ๆ ของการสนทนาประจําวันของเรากับลูกค้า นี่คือสิ่งที่ เราทํา แชทบอท AI และโดยเฉพาะ ChatGPT อาจนําความแปลกใหม่มาสู่ความเสี่ยงที่ข้อมูลจะสูญหาย แต่สําหรับผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล ยังคงเป็นงานเดิมที่ต้องใช้เครื่องมือเดียวกันและมีเดิมพันเท่ากัน มีโอกาสที่คุณจะเตรียมพร้อมกับเครื่องมือเหล่านี้มากมายแล้ว แต่ถ้าคุณพบว่าการควบคุมความปลอดภัยของคุณขาดให้โอกาสเราแสดงให้คุณเห็นว่าเราสามารถช่วยได้อย่างไร สิ่งนี้ถูกต้องในบ้านล้อของเราเพราะการปกป้องข้อมูลของลูกค้าคือสิ่งที่เราทําทุกวัน
เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับวิธีการ Skyhigh Security สามารถช่วยคุณ ติดต่อเรา วันนี้
กลับไปที่บล็อก