यह लेख आपके संगठन में एआई ऐप्स तक सुरक्षित पहुंच बनाए रखने के तरीके की व्याख्या करता है।
एआई-आधारित उपकरणों का उपयोग उत्पादकता बढ़ाता है लेकिन आपके संगठन के लिए सुरक्षा की चुनौतियां और जोखिम भी उत्पन्न करता है। उदाहरण के लिए, उपयोगकर्ता एआई ऐप के मुफ्त संस्करण में स्वामित्व डेटा दर्ज कर सकते हैं, जिसके परिणामस्वरूप ऐप विक्रेता को इस जानकारी का उपयोग करने का अधिकार होगा। दुर्भावनापूर्ण व्यक्ति एआई ऐप के एलएलएम को क्वेरी करके स्वामित्व डेटा निकाल सकते हैं। जैसे-जैसे एआई ऐप्स की संख्या तेजी से बढ़ती है, सुरक्षा टीमों को इस चुनौती का सामना करना पड़ता है कि कौन-कौन से ऐप उपयोग में हैं और संवेदनशील डेटा कहाँ साझा किया जा रहा है।
आपके संगठन और उसके संवेदनशील डेटा की रक्षा करने के लिए और सुरक्षित एआई ऐप्लिकेशन उपयोग को सक्षम करने के लिए, Cato तीन-भाग की रणनीति की सिफारिश करता है:
-
दृश्यता प्राप्त करें: समझें कि कौन-से एआई ऐप्लिकेशन उपयोग में हैं, कौन उनका उपयोग कर रहा है, और वे कैसे उपयोग किए जा रहे हैं
-
प्रवेश को नियंत्रित करें: एआई ऐप्लिकेशन की पहुंच को नियंत्रित करने के लिए नीति लागू करें और सुरक्षा उपायों को सख्ती से लागू करें
-
डेटा की रक्षा करें: एआई ऐप्लिकेशनों में अनधिकृत एक्सेस या साझाकरण को रोककर संवेदनशील जानकारी की सुरक्षा करें
सुविधाओं के संयोजन का उपयोग आपको इस रणनीति को लागू करने और एआई ऐप ट्रैफ़िक की निगरानी और सुरक्षा प्रदान करता है। आप इंटरनेट फ़ायरवॉल के नियम को परिभाषित कर सकते हैं ताकि एआई ऐप्स की एक श्रेणी तक पहुंच को नियंत्रित किया जा सके और विशिष्ट एआई ऐप्लिकेशनों के नियमों को सेट किया जा सके। इसके अलावा, ऐप्लिकेशन नियंत्रण की नीति को परिभाषित करें ताकि उपयोगकर्ता केवल अपने एंटरप्राइज़ टेनेंट तक पहुंच सकें या ग्रैन्युलर कार्रवाइयों को ब्लॉक कर सकें, जिससे आपकी स्वामित्व जानकारी सुरक्षित रहती है। अधिक सुरक्षा की एक और परत के रूप में, आप संवेदनशील डेटा को एआई ऐप्स में स्थानांतरित होने से रोकने के लिए डेटा नियंत्रण नीति को कॉन्फ़िगर कर सकते हैं।
आपके संगठन में उपयोग किए जा रहे एआई ऐप्स से संबंधित जोखिमों को जानना और समझना डेटा की लीकिंग के जोखिमों, अनुपालन उल्लंघनों और संभावित सुरक्षा कमजोरियों को रोक सकता है। समझना कि कौन-से एआई ऐप्स उपयोग में हैं, कौन उनका उपयोग कर रहा है, और वे कैसे संवेदनशील डेटा के साथ इंटरैक्ट कर रहे हैं, आपको नीति लागू करने, धमकियों को कम करने और जिम्मेदार एआई अपनाने को सुनिश्चित करने में सक्षम बनाता है। दृश्यता एआई ऐप्स के संभावित जोखिमों का आकलन करने, शासन बनाए रखने और आपके संगठन की सुरक्षा फ्रेमवर्क के साथ एआई उपयोग को संरेखित करने में भी सहायता करती है।
GenAI ऐप्लिकेशन डैशबोर्ड और ऐप्स कैटलॉग आपको आपके वातावरण में उपयोग किए जा रहे एआई ऐप्स की दृश्यता और समझ प्रदान करते हैं।
GenAI ऐप्लिकेशन डैशबोर्ड आपको स्थानीय GenAI ऐप्लिकेशन उपयोग की केंद्रीकृत, व्यापक दृश्यता प्रदान करता है, जिसमें शैडो एआई भी शामिल है। डैशबोर्ड यह विवरण देता है कि कौन-से एआई ऐप्लिकेशनों का आपके संगठन में उपयोग किया जा रहा है, और कौन कर रहा है, और सभी उपयोगकर्ता इंटरैक्शन और संवेदनशील डेटा साझाकरण को ट्रैक करता है। GenAI ऐप्लिकेशन डैशबोर्ड द्वारा प्रदान की गई दृश्यता के साथ, आप जोखिमों की पहचान करके डाटा ब्रीच्स को सक्रिय रूप से रोक सकते हैं। अधिक जानकारी के लिए, देखें GenAI ऐप्स डैशबोर्ड का उपयोग.
ऐप कैटलॉग में सैकड़ों एआई ऐप्स और सेवाओं के लिए सुरक्षा डेटा, अनुपालन और सामान्य जानकारी की विस्तृत मात्रा है। इसमें TPRM (थर्ड-पार्टी रिस्क मैनेजमेंट) करने के अंतर्दृष्टि शामिल हैं ताकि इस ऐप का उपयोग करने के जोखिमों का मूल्यांकन किया जा सके। आप ऐप के बारे में अधिक जानने और निर्णय लेने के लिए ऐप कैटलॉग का उपयोग कर सकते हैं कि इसे आपके संगठन में कैसे उपयोग किया जाए। अधिक जानकारी के लिए, देखें ऐप कैटलॉग का उपयोग.
ऑडिट एक्टिविटीज आपके लिए एक कनेक्टेड SaaS ऐप्लिकेशन में किसी उपयोगकर्ता द्वारा की जाने वाली सभी गतिविधियों की बैकअप दृश्यता प्रदान करती है, भले ही उपयोगकर्ता Cato क्लाउड से कनेक्ट न हो। Microsoft Copilot और ChatGPT को Cato के साथ जोड़ा जा सकता है ताकि आपको इन ऐप्स के साथ साझा किए जा रहे चैट्स और डेटा की दृश्यता प्रदान की जा सके। अधिक जानकारी के लिए, देखें ऐप एक्टिविटी के साथ एपीआई के माध्यम से ऐप्लिकेशन नियंत्रण.
कंपनी ABC GenAI ऐप्लिकेशन डैशबोर्ड की समीक्षा करती है और एक अज्ञात एआई-संचालित कोड विश्लेषण टूल की पहचान करती है। वे ऐप्लिकेशन को ऐप कैटलॉग में खोजते हैं और पाते हैं कि ऐप का जोखिम स्कोर 6 है। संवेदनशील जानकारी के खुलासा के जोखिम से बचने के लिए, वे ऐप्लिकेशन तक पहुँच को रोकने के लिए ऐप्लिकेशन नियंत्रण भूमिका बनाते हैं।
उचित पहुंच नियंत्रण के बिना, उपयोगकर्ता अनजाने में एआई मॉडल में गोपनीय जानकारी दर्ज कर सकते हैं, जिससे डेटा रिसाव या नियामक उल्लंघन हो सकता है। इसके अतिरिक्त, अप्रयुक्त एआई ऐप्लिकेशन सुरक्षा कमजोरियों को पेश कर सकते हैं, स्वामित्व कोड को उजागर कर सकते हैं, या भ्रामक या हानिकारक सामग्री उत्पन्न कर सकते हैं। कड़े प्रवेश नीतियों को लागू करके, आप यह सुनिश्चित कर सकते हैं कि केवल अधिकृत उपयोगकर्ता अधिकृत एआई टूल का उपयोग कर सकें, जोखिम को कम करते हुए एआई अपनाने को सक्षम करें।
Cato एआई ऐप्स के लिए सामान्य जनरेटिव एआई टूल्स श्रेणी के अलावा 8 सिस्टम श्रेणियों को बनाए रखता है। इनका उपयोग इंटरनेट फ़ायरवॉल में एआई ऐप्स की एक श्रेणी की पहुंच को नियंत्रित करने के लिए किया जा सकता है, उदाहरण के लिए, कोड असिस्टेंट ऐप्स, या लोकप्रिय एआई ऐप्स के लिए, जिनमें ChatGPT, AgentGPT, Google Bard, Elicit AI, MagicPen AI, Poe AI, OpenAI, आदि शामिल हैं।
आप विशिष्ट एआई ऐप्स या ऐप श्रेणियों के लिए नियम भी परिभाषित कर सकते हैं। उदाहरण के लिए, जनरेटिव एआई टूल्स श्रेणी में ट्रैफ़िक को ब्लॉक करने वाला नियम बनाने के बाद, आप उच्च प्राथमिकता वाला ऐसा नियम बना सकते हैं जो ChatGPT तक पहुँच की अनुमति देता हो एक विशिष्ट उपयोगकर्ता समूह के लिए। अधिक जानकारी के लिए, देखें Cato इंटरनेट फ़ायरवॉल क्या है?.
निम्नलिखित उदाहरण इंटरनेट फ़ायरवॉल नियम उपयोगकर्ता समूह अनुसंधान टीम को ChatGPT तक पहुंचने की अनुमति देते हैं, जबकि बाकी सभी जनरेटिव एआई टूल्स श्रेणी तक पहुंच को ब्लॉक करते हैं:
ऐप्लिकेशन नियंत्रण नीति आपको ऐप की पहुँच को विशेष मानदंडों पर आधारित कर सख्ती से नियंत्रित करने की अनुमति देती है, जैसे कि किसी ऐप का जोखिम स्कोर या उसके अनुपालन स्तर। ऐप्लिकेशन नियंत्रण के नियम कॉन्फ़िगर करने के लिए, अधिक जानकारी के लिए देखें ऐप्लिकेशन नियंत्रण नीति प्रबंधित करना.
किसी ऐप के मुफ्त संस्करण में स्वामित्व जानकारी के खुलासा को रोकने के लिए, आप ऐप्लिकेशन नियंत्रण नीति में नियम बना सकते हैं जो उपयोगकर्ताओं को निजी खातों तक पहुँचने से रोकते हैं, और केवल आपके एंटरप्राइज़ टेनेंट तक पहुंच की अनुमति देते हैं। उदाहरण के लिए, आप OpenAI ऐप के लिए नियम परिभाषित कर सकते हैं जो केवल आपकी संस्था के टेनेंट में लॉगिन गतिविधि की अनुमति देता है, और सभी अन्य लॉगिन को रोकता है (उदाहरण के लिए, निजी ईमेल पता के साथ लॉगिन करना)।
नीचे एक नमूना नियमबेस है जहां पहला नियम OpenAI में लॉगिन की अनुमति देता है उनके उपयोगकर्ता नामों के लिए जिनमें कंपनी डोमेन शामिल है, फिर अगले नियम सभी डायरेक्ट और थर्ड-पार्टी प्रमाणीकरण के माध्यम से OpenAI में लॉगिन को रोकते हैं।
अधिक ग्रैन्युलारिटी के लिए, कुछ ऐप्स के लिए आप आवश्यक ऐप्लिकेशन तक उपयोगकर्ताओं की पहुँच की अनुमति देकर और उसमें जोखिमपूर्ण गतिविधियों को रोक कर सुरक्षा और उत्पादकता के बीच संतुलन बना सकते हैं। इसके लिए, आप ऐप्लिकेशन नियंत्रण नीति में नियम बना सकते हैं, जिसमें ग्रैन्युलर गतिविधियां शामिल हों। उदाहरण के लिए, आप Wordtune तक पहुंच की अनुमति दे सकते हैं, लेकिन उपयोगकर्ताओं को फ़ाइलें अपलोड करने से रोक सकते हैं।
ChatGPT एक अस्थायी चैट सुविधा प्रदान करता है जो उपयोगकर्ता गोपनीयता को बढ़ावा देने के लिए डिज़ाइन किया गया है। OpenAI के अनुसार, ये चैट उपयोगकर्ता के इतिहास में दिखाई नहीं देते हैं, स्मृति में संग्रहीत नहीं किए जाते हैं, और मॉडलों के प्रशिक्षण में उपयोग नहीं किए जाते हैं। हालांकि, यह गोपनीयता सुरक्षा वाल्व डिफ़ॉल्ट रूप से अक्षम है। जब तक उपयोगकर्ता इसे मैन्युअल रूप से सक्षम नहीं करते, सभी इंटरैक्शन सहेजे जाते हैं, जो कार्य से संबंधित उपयोग के लिए संभावित जोखिम पैदा कर सकते हैं।
एप्लिकेशन नियंत्रण नीति यह पता लगा सकती है कि उपयोगकर्ता अस्थायी चैट में हैं या नहीं और जब नहीं हैं तब ट्रैफ़िक को अवरुद्ध कर सकती है। यह संगठनों को उपयोगकर्ताओं को ChatGPT तक पहुंच प्रदान करने देता है, जबकि सुनिश्चित करता है कि संवेदनशील डेटा अनजाने में उजागर न हो।
GenAI ऐप्स अक्सर उपयोगकर्ता इनपुट को ऐसे तरीकों से संसाधित करते हैं जो डेटा रिसाव का कारण बन सकते हैं, जैसे कि उपयोगकर्ता अनजाने में स्वामित्व कोड, व्यक्तिगत रूप से पहचान योग्य जानकारी (PII), या गोपनीय व्यावसायिक डेटा साझा करते हैं। Cato DLP सर्विस सामग्री को स्कैन करती है और नीति लागू करती है ताकि आपको एआई ऐप का उपयोग करते समय संवेदनशील डेटा के समझौते से उपयोगकर्ताओं को रोकने में मदद मिले। GenAI ऐप्स के लिए DLP नियम बनाकर, आप ऐसी नीतियां लागू कर सकते हैं जो संवेदनशील डेटा को एआई मॉडल में दर्ज करने का पता लगाएं और रोकें।
Cato की DLP सेवा दर्जनों मॉडल का उपयोग करती है जो संवेदनशील डेटा को उन्नत तकनीकों का उपयोग कर ट्रैफ़िक प्रवाह में पहचानने में सक्षम हैं। इसमें वित्त, कानूनी, एचआर, प्रवास, और चिकित्सा जैसी श्रेणियां शामिल हैं। इसके अलावा, DLP में GenAI ऐप्स के साथ उपयोग के लिए डेटा प्रकार भी शामिल हैं। उदाहरण के लिए, PII डेटा प्रोफ़ाइल में क्रेडिट कार्ड जानकारी और ड्राइव लाइसेंस जैसे डेटा प्रकार शामिल हैं। यह आपको केवल संबंधित संवेदनशील डेटा पर लागू होने वाली ग्रैन्युलर नीति बनाने की अनुमति देता है और इसे एआई ऐप में उपयोग करने से रोकता है।
यदि पूर्व-निर्धारित डेटा प्रोफ़ाइल आपके अपने फाइल्स/डेटा को कस्टम एमएल मॉडल को प्रशिक्षित करने में मदद कर सकती है। उन्नत एआई इंजन इस इनपुट से सीखते हैं, संदर्भ का अनुसंधान करते हैं, और फिर बाद में उसी डोमेन में संवेदनशील डेटा का पता लगाते हैं।
अधिक जानकारी के लिए, देखें DLP के लिए कस्टम डेटा प्रकारों के साथ काम करना.
टिप्पणी
Note: यह सुविधा 25 मार्च 2025 के बाद बनाए गए खातों के लिए स्वचालित रूप से उपलब्ध है। इस तारीख से पहले बनाए गए खातों के लिए, आप डेटा प्रकारों को मैन्युअल रूप से बना सकते हैं। अधिक जानकारी के लिए, AI ऐप्स की निगरानी के लिए अनुशंसित DLP कॉन्फ़िगरेशन देखें।
ऐप्लिकेशन नियंत्रण और डीएलपी नीति में पूर्व-निर्धारित Cato-अनुशंसित नियम शामिल हैं। इनमें आपके एआई ऐप्स की रक्षा करने के नियम शामिल हैं। डिफ़ॉल्ट रूप से, डीएलपी निम्नलिखित डेटा प्रकारों की निगरानी करता है और उनके जेनएआई टूल्स में अपलोड होने के कार्यक्रम बनाता है:
-
PII
-
वित्तीय डेटा
-
एक्सेस कीज और टोकन
-
कानूनी डेटा
कंपनी ABC एक नए SaaS ऐप्लिकेशन की सदस्यता लेने के लिए अनुबंध पर हस्ताक्षर कर रही है। उन्हें अनुबंध हस्ताक्षर करने के लिए भेजा जाता है और एक उपयोगकर्ता इसे समीक्षा और सारांशित करने के लिए उच्च-जोखिम वाले GenAI ऐप के मुफ्त संस्करण में अपलोड करता है। पूर्व-निर्धारित डीएलपी नियम सुरक्षा टीम को इस नीति उल्लंघन की चेतावनी देने के लिए एक घटना बनाती है।
0 टिप्पणियां
लेख टिप्पणियों के लिए उपलब्ध नहीं है.