GenAI安全:如何防止Microsoft Copilot发生数据泄露

在线体验各类最新模型,更有模型 免费Token 额度领取!
立即体验
简介: GenAI安全:如何防止Microsoft Copilot发生数据泄露

本文来自 企业网D1net公众号

让Copilot成为一个不同于ChatGPT和其他AI工具的工具的是,它可以访问你在365中所做的一切,Copilot可以立即从你的文档、演示文稿、电子邮件、日历、笔记和联系人中搜索和汇编数据,这就是信息安全团队认为存在的问题,Copilot可以访问用户可以访问的所有敏感数据。

微软的Copilot被称为世界上最强大的生产力工具之一。

Copilot是一个AI助手,它位于你的每个Microsoft 365应用程序中-Word、Excel、PowerPoint、Teams、Outlook等。微软的梦想是从日常工作中解脱出来,让人类专注于成为创造性的问题解决者。

让Copilot成为一个不同于ChatGPT和其他AI工具的工具的是,它可以访问你在365中所做的一切,Copilot可以立即从你的文档、演示文稿、电子邮件、日历、笔记和联系人中搜索和汇编数据,这就是信息安全团队认为存在的问题,Copilot可以访问用户可以访问的所有敏感数据。平均而言,一家公司10%的M365数据对所有员工开放。

Copilot还可以快速生成必须保护的全新敏感数据。在AI革命之前,人类创建和共享数据的能力远远超过了保护数据的能力,只要看看数据泄露的趋势就知道了,GenAI为这把火加了一把油。

作为一个整体,当谈到GenAI时,有很多东西需要拆解:模型中毒、幻觉、深度假冒等,然而,在这篇文章中,我将专门关注数据安全以及你的团队如何确保安全的Copilot推出。



Microsoft 365 Copilot的使用案例


GenAI与M365这样的协作套件的使用案例是无限的,很容易理解为什么这么多IT和安全团队都在叫嚣着要及早访问并准备他们的推广计划,生产率的提升将是巨大的。

例如,你可以打开一个空白Word文档,并要求Copilot根据目标数据集为客户起草一份建议书,目标数据集可以包括OneNote页面、PowerPoint幻灯片和其他办公文档,在几秒钟内,你就有了一个完整的提案。

以下是微软在发布会活动中给出的更多例子:

  • Copilot可以参加你的Teams会议,实时总结正在讨论的内容,捕捉行动项目,并告诉你哪些问题在会议中未得到解决。


  • Outlook中的Copilot可以帮助你对收件箱进行分类、确定电子邮件的优先顺序、汇总主题并为你生成回复。


  • Excel中的Copilot可以分析原始数据,为你提供见解、趋势和建议。



Microsoft 365 Copilot的工作原理


以下是Copilot提示处理方式的简单概述:

  • 用户在Word、Outlook或PowerPoint等应用程序中输入提示。


  • 微软根据用户的M365权限收集用户的业务环境。


  • 向LLM(如GPT4)发送提示以生成响应。


  • 微软执行负责任的AI后处理检查。


  • 微软向M365应用程序返回一个响应和命令。


d6266cde0a22ac34e8bcf9e8503162e3.png



Microsoft 365 Copilot的安全模型


在微软,生产力和安全性之间总是存在着极端的紧张关系。

这一点在冠状病毒期间表现得淋漓尽致,当时IT团队在没有完全了解底层安全模型如何工作或组织的M365权限、组和链接策略如何形成的情况下,就迅速部署了Microsoft Teams

好消息是:

  • 租户隔离。Copilot仅使用来自当前用户的M365租户的数据,AI工具不会显示来自用户可能是访客的其他租户的数据,也不会显示可能设置了跨租户同步的任何租户的数据。


  • 培训范围。Copilot不会使用你的任何业务数据来培训Copilot为所有租户使用的基础LLM,你不用担心你的专有数据会出现在其他租户的其他用户的回复中。


坏消息是:

  • 权限。Copilot显示个人用户至少具有查看权限的所有组织数据。


  • Copilot生成的内容不会继承Copilot响应来源的文件的MPIP标签。


  • Copilot的回应不能保证100%真实或安全,人类必须对审查AI生成的内容负责。


让我们把缺点一个接一个地详细说出来。



权限


如果公司能够轻松地在Microsoft 365中强制实施最低特权,那么将Copilot访问权限仅授予用户可以访问的内容将是一个很好的想法。
微软在其Copilot数据安全文档中指出:

请务必使用Microsoft 365服务中提供的权限模式(如SharePoint),以帮助确保正确的用户或组能够正确访问企业中的正确内容。

然而,我们从经验上知道,大多数企业都远远谈不上享有最低特权,看看微软自己的云权限状态风险报告中的一些统计数据就知道了。

这张图片与我们每年对使用Microsoft 365的公司执行数千次数据风险评估时Varonis看到的情况相吻合。在我们的报告中,我们发现M365租户平均拥有:

  • 4000多万个唯一权限


  • 11.3万多条公开共享的敏感记录


  • 27K+共享链接


这一切为什么要发生?Microsoft 365权限极其复杂,只需考虑一下用户可以访问数据的所有方式:

  • 直接用户权限


  • Microsoft 365组权限


  • SharePoint本地权限(具有自定义级别)


  • 访客访问


  • 外部访问


  • 公众通道


  • 链接访问(任何人、组织范围内、直接访问、访客)


更糟糕的是,权限主要掌握在最终用户手中,而不是IT或安全团队。



标签


微软在很大程度上依赖敏感标签来执行DLP策略、应用加密和广泛防止数据泄露,然而,在实践中,让标签发挥作用是困难的,特别是如果你依赖人类来贴敏感标签的话。

微软描绘了一幅美好的图景,将标签和屏蔽作为数据的最终安全网,现实揭示了一种更糟糕的情景,随着人类创造数据,标签往往落后或过时。

阻止或加密数据可能会增加工作流的摩擦,而标记技术仅限于特定的文件类型,一个企业拥有的标签越多,它对用户来说就越令人困惑,对于较大的企业来说,这一点尤其强烈。

当AI生成更多需要准确和自动更新标签的数据时,基于标签的数据保护的效率肯定会下降。

我的标签没问题吧?

Varonis可以通过扫描、发现和修复以下内容来验证和改进组织的Microsoft敏感度标签:

  • 没有标签的敏感文件


  • 标签不正确的敏感文件


  • 带有敏感标签的非敏感文件



人类


AI可以让人类变得懒惰,像GPT4这样的LLM生成的内容不仅很好,而且很棒,在许多情况下,速度和质量都远远超过了人类的能力,因此,人们开始盲目信任AI来创造安全和准确的响应。

我们已经看到了现实世界中的场景,在这些场景中,Copilot为客户起草了一份建议书,其中包括属于完全不同客户的敏感数据,用户快速扫一眼(或不扫一眼)后点击“发送”,现在你就有了隐私或数据泄露的场景。

让你的租户安全-为Copilot做好准备。

在你的Copilot推出之前,对你的数据安全态势有一个感觉是至关重要的。现在,Copilot已基本可用,现在正是设置安全控制的好时机。

最好的方法是从免费的风险评估开始,只需几分钟即可完成设置,一两天之内,你就可以实时了解敏感数据风险。


相关文章
|
机器学习/深度学习 自然语言处理 达摩院
Modelscope 工程介绍及实战演示| 学习笔记
快速学习 Modelscope 工程介绍及实战演示
Modelscope 工程介绍及实战演示| 学习笔记
|
Java API Android开发
Android native应用开发简明教程 (1) - 本地开发武器库概览
native应用比起Java应用来,跟Android版本的相关性更高一些。 所以,这些API都是根据平台版本号分成不同的目录的。 我们来看看Android为我们提供了哪些API
6944 0
|
监控 安全 数据可视化
如何使用这些上网行为管理软件一键管控员工网络
使用WorkWin、Hubstaff和Veriato等上网行为管理软件,企业可以有效监控和提升员工工作效率。这些工具提供实时员工监控、时间统计、移动部署、权限控制、远程管理及安全监控等功能,确保工作安全,优化时间分配,防止数据泄露,并通过任务追踪促进项目进展。通过生成报告和分析,企业能识别生产力瓶颈和安全风险,从而制定改进策略。
497 3
|
容器
Axure设计之下拉多选框制作教程A(中继器)
本文详细讲解了如何使用Axure制作动态交互的下拉多选器组件,以实现高保真原型设计。组件功能包括:下拉选项滚动显示、选中状态高亮、鼠标悬停效果、箭头图标切换、已选项删除等。通过选择框、中继器和动态面板的结合,完成从创建到交互设置的全流程。适合Web设计师和产品经理提升原型交互性,确保需求清晰传达。文内附案例预览图、在线演示链接及组件下载地址,方便学习与复用。
2131 8
|
缓存 监控 前端开发
Go 语言中如何集成 WebSocket 与 Socket.IO,实现高效、灵活的实时通信
本文探讨了在 Go 语言中如何集成 WebSocket 与 Socket.IO,实现高效、灵活的实时通信。首先介绍了 WebSocket 和 Socket.IO 的基本概念及其优势,接着详细讲解了 Go 语言中 WebSocket 的实现方法,以及二者集成的重要意义和具体步骤。文章还讨论了集成过程中需要注意的问题,如协议兼容性、消息格式、并发处理等,并提供了实时聊天、数据监控和在线协作工具等应用案例,最后提出了性能优化策略,包括数据压缩、缓存策略和连接管理优化。旨在帮助开发者更好地理解并应用这些技术。
1024 3
|
存储 开发框架 监控
一个轻量级的实时监控工具---WatchDog
一个轻量级的实时监控工具---WatchDog
587 0
|
存储 关系型数据库 MySQL
MySQL 上亿大表,如何深度优化?
【8月更文挑战第11天】随着大数据时代的到来,MySQL 作为广泛使用的关系型数据库管理系统,经常需要处理上亿级别的数据。当数据量如此庞大时,如何确保数据库的查询效率、稳定性和可扩展性,成为了一个亟待解决的问题。本文将围绕 MySQL 上亿大表的深度优化,分享一系列实用的技术干货,帮助你在工作和学习中应对挑战。
1493 1
|
安全 Linux 开发者
分析Linux桌面操作系统的迅速增长及其未来前景
最近技术圈新闻“层出不穷”,尤其是在最近,Linux桌面操作系统的市场份额迅速增长,Linux桌面操作系统的市场份额近期呈现火速增长的趋势,这一数据虽然看似不太引人注目,但实际上却具有重要的意义,达到了历史新高。了解Linux的开发者想必都知道,历经30年的努力,Linux系统的份额才在不久前达到了3%,而如今仅用了八个月的时间就新增了1%,显示出开源操作系统正迅速升温。尽管Windows和macOS仍然主导着桌面操作系统市场,但前者的份额波动较小,后者则略有下滑。虽然Linux的表现出色,但要想取得主导地位还有一段距离,有些开发者认为这是因为缺乏一个适用于所有Linux发行版的标准化桌面界面
500 1
分析Linux桌面操作系统的迅速增长及其未来前景
|
开发工具 iOS开发 MacOS
iPhone OS SDK的这些事[安装、下载、版本、实例、脱机文档等资料汇总]
第一次使用iPhone SDK是,如果不清楚版本和操作系统等的关系,会浪费很多的时间进行下载和安装。 以下汇总了一些常见可以尽快使用的方法和参考。 SDK安装 切记选择和自己的mac os系统吻合的版本,下载包都很大,国内需要很长的时间下载,如果选择错误,安装不了,如最新的ios sdk 4.
1792 0
|
存储 移动开发 前端开发
【专栏:工具与技巧篇】高效的 HTML 与 CSS 编写技巧
【4月更文挑战第30天】本文探讨了提高HTML和CSS编写效率的技巧,包括使用语义化标签、精简代码、利用HTML5新特性;使用CSS预处理器、模块化设计、优化选择器及媒体查询;协同技巧如一致的类名规划和理解盒模型;选择高效工具如Visual Studio Code和代码格式化工具;以及性能优化方法如代码压缩、减少HTTP请求和图片优化。通过案例分析,展示如何在实践中应用这些技巧,以创建结构良好、样式优美且性能卓越的网站。
425 1