Este artigo explica como manter acesso seguro aos aplicativos de IA na sua organização.
Usando ferramentas baseadas em IA aumenta a produtividade, mas também apresenta novos desafios de segurança e riscos para sua organização. Por exemplo, os usuários podem inserir dados proprietários na versão gratuita de um aplicativo de IA, resultando no direito do fornecedor de usar essas informações. Atores mal-intencionados poderiam consultar o LLM do aplicativo de IA para extrair os dados proprietários. À medida que o número de aplicativos de IA expande rapidamente, as equipes de segurança enfrentam o desafio de saber quais aplicativos estão em uso e onde dados sensíveis estão sendo compartilhados.
Para proteger sua organização e seus dados sensíveis enquanto permite o uso seguro de aplicativos de IA, a Cato recomenda uma estratégia em três partes:
-
Obter Visibilidade: Entenda quais aplicativos de IA estão em uso, quem os está utilizando e como são utilizados
-
Controlar o Acesso: Implementar políticas para regular o acesso a aplicativos de IA e aplicar medidas de segurança
-
Proteger os Dados: Proteger informações sensíveis evitando acesso não autorizado ou compartilhamento dentro de aplicativos de IA
Utilizar uma combinação de recursos permite implementar essa estratégia e monitorar e proteger o tráfego de aplicativos de IA. Você pode definir regras de Firewall da Internet para controlar o acesso a uma categoria de aplicativos de IA e definir regras para aplicativos de IA específicos. Além disso, defina a Política de Controle de Aplicativos para garantir que os usuários acessem apenas seu tenant empresarial para um aplicativo de IA ou bloqueie ações granulares, mantendo suas informações proprietárias seguras. Como uma camada adicional de proteção, você pode configurar a política de Controle de Dados para evitar a transferência de dados sensíveis para aplicativos de IA.
Conhecer e entender os riscos associados aos aplicativos de IA usados dentro de sua organização pode prevenir riscos de vazamento de dados, violações de conformidade e potenciais vulnerabilidades de segurança. Compreender quais aplicativos de IA estão em uso, quem os está usando e como interagem com dados sensíveis permite que você implemente políticas, mitigue ameaças e assegure a adoção responsável de IA. A visibilidade também ajuda a avaliar os riscos potenciais dos aplicativos de IA, a manter a governança e a alinhar o uso de IA com a estrutura de segurança da sua organização.
O Painel de Aplicativos GenAI e o Catálogo de Aplicativos proporcionam visibilidade e compreensão dos aplicativos de IA utilizados em seu ambiente.
O Painel de Aplicativos GenAI proporciona uma visibilidade centralizada e abrangente do uso de aplicativos GenAI inline, incluindo shadow AI. O painel detalha quais aplicativos de IA estão sendo usados em toda sua organização, por quem, e rastreia todas as interações dos usuários e compartilhamento de dados sensíveis. Com a visibilidade fornecida pelo painel de aplicativos GenAI, você pode proativamente prevenir vazamentos de dados identificando riscos. Para mais informações, veja Using the GenAI Apps Dashboard.
O Catálogo de Aplicativos contém uma ampla gama de dados de segurança, conformidade e informações gerais para centenas de aplicativos e serviços de IA. Isso inclui fornecer todos os insights para conduzir o TPRM (gerenciamento de risco de terceiros) para avaliar o risco de usar este aplicativo. Você pode usar o catálogo para aprender mais sobre um aplicativo e decidir como usá-lo em sua organização. Para mais informações, veja Using the App Catalog.
Atividades de Auditoria proporcionam visibilidade fora de banda de todas as atividades realizadas por qualquer usuário em um aplicativo SaaS conectado, mesmo que um usuário não esteja conectado à nuvem Cato. O Microsoft Copilot e ChatGPT podem ser integrados com a Cato para proporcionar visibilidade dos chats e dados que estão sendo compartilhados com esses aplicativos. Para mais informações, veja What is Application Control via API with App Activities.
A empresa ABC revisa o Painel de Aplicativos GenAI e identifica uma ferramenta de análise de código desconhecida baseada em IA. Eles procuram o aplicativo no Catálogo de Aplicativos e descobrem que o aplicativo tem uma Pontuação de Risco de 6. Para evitar o risco de divulgação de informações sensíveis, eles criam uma função de Controle de Aplicativos para bloquear o acesso ao aplicativo.
Sem controles de acesso adequados, os usuários podem inadvertidamente inserir informações confidenciais em modelos de IA, levando a vazamentos de dados ou violações regulatórias. Além disso, aplicativos de IA não verificados podem introduzir vulnerabilidades de segurança, expor código proprietário ou gerar conteúdo enganoso ou prejudicial. Ao impor políticas de acesso estritas, você pode garantir que apenas usuários autorizados acessem ferramentas de IA autorizadas, minimizando riscos ao permitir a adoção de IA.
A Cato mantém 8 categorias do sistema para aplicativos de IA além da categoria geral Ferramentas de IA Gerativa. Estas podem ser usadas no Firewall da Internet para controlar o acesso a uma categoria de aplicativos de IA, por exemplo, aplicativos assistentes de código, ou para os aplicativos de IA mais populares, incluindo ChatGPT, AgentGPT, Google Bard, Elicit IA, MagicPen IA, Poe IA, OpenAI e mais.
Você também pode definir regras para aplicativos de IA específicos ou categorias de aplicativos. Por exemplo, após criar uma regra que bloqueia o tráfego para a categoria Ferramentas de IA Generativa, você pode criar uma regra com maior prioridade que permite o tráfego para o ChatGPT para um grupo específico de usuários que precisam de acesso. Para mais informações, veja What is the Cato Internet Firewall?.
O seguinte exemplo de regras de Firewall de Internet permite que o Grupo de Usuários Equipe de Pesquisa acesse o ChatGPT, enquanto bloqueia todos os outros acessos à categoria Ferramentas de IA Generativa:
A Política de Controle de Aplicativo permite controlar granularmente o acesso a aplicativos com base em critérios específicos, como a Pontuação de Risco de um aplicativo ou seu nível de conformidade. Para mais informações sobre a configuração de regras de Controle de Aplicativos, veja Gerenciar a Política de Controle de Aplicativos.
Para evitar a exposição de informações proprietárias na versão gratuita de um aplicativo, você pode criar regras na política de Controle de Aplicativos que bloqueiam os usuários de acessar contas privadas e permitem o acesso somente ao seu locatário empresarial. Por exemplo, você pode definir regras para o aplicativo OpenAI que permitam apenas atividade de login no locatário da sua organização e bloqueiem todos os outros logins (por exemplo, logar com um endereço de e-mail privado).
Abaixo está um exemplo de base de regras onde a primeira regra permite o login no OpenAI para nomes de usuários que incluam o domínio da empresa, então as próximas regras bloqueiam todos os logins no OpenAI através de autenticação direta e de terceiros.
Para aumentar a granularidade, para alguns aplicativos você pode equilibrar segurança com produtividade permitindo que os usuários acessem um aplicativo necessário enquanto bloqueia atividades arriscadas dentro dele. Para fazer isso, você pode criar regras na política de Controle de Aplicativos, que incluem atividades granulares. Por exemplo, você pode permitir o acesso ao Wordtune, mas bloquear usuários de fazer upload de arquivos.
Aplicativos GenAI frequentemente processam entradas dos usuários de maneiras que podem levar a vazamentos de dados, como usuários compartilhando involuntariamente código proprietário, informações pessoalmente identificáveis (PII) ou dados comerciais confidenciais. O serviço DLP da Cato escaneia conteúdo e aplica políticas em um aplicativo de IA para ajudar você a prevenir que usuários comprometam dados sensíveis ao usar o aplicativo. Criando regras de DLP para aplicativos GenAI, você pode aplicar políticas que detectam e bloqueiam dados sensíveis de serem inseridos em modelos de IA.
O serviço DLP da Cato utiliza dezenas de modelos capazes de detectar dados sensíveis no fluxo de tráfego usando técnicas avançadas. Isso inclui categorias como Finanças, Jurídico, RH, Imigração e Medicina. Além disso, DLP também inclui Tipos de Dados para uso com aplicativos GenAI. Por exemplo, o Perfil de Dados PII inclui Tipos de Dados como informações de cartão de crédito e Licenças de Condução. Isso permite criar uma política granular que se aplica apenas aos dados sensíveis relevantes e evita seu uso em um aplicativo de IA.
Se os perfis de dados pré-definidos podem fornecer seus próprios arquivos/dados para treinar um modelo de ML personalizado. Motores avançados de IA aprendem com essa entrada, deduzem contexto e posteriormente detectam dados sensíveis dentro do mesmo domínio.
Para mais informações, veja Working with Custom Data Types for DLP.
Nota
Nota: Este recurso é disponível por padrão para contas criadas após 25 de março de 2025. Para contas criadas antes desta data, você pode criar manualmente os Tipos de Dados. Para mais informações, veja Recommended DLP Rules to Monitor AI Apps.
A Política de Controle de Aplicativo e DLP inclui regras predefinidas recomendadas pela Cato. Incluídas nestas estão regras para proteger seus aplicativos de IA. Por padrão, DLP monitora e cria eventos para os seguintes Tipos de Dados sendo enviados para ferramentas GenAI:
-
PII
-
Dados financeiros
-
Chaves de acesso & tokens
-
Dados jurídicos
A empresa ABC está assinando um acordo para se inscrever em um novo aplicativo SaaS. Eles recebem o contrato para assinar e um usuário o envia para o nível gratuito de um aplicativo GenAI de alto risco para revisar e resumir o contrato. A regra DLP predefinida cria um Evento para alertar a equipe de segurança sobre essa violação de política.
0 comentário
Artigo fechado para comentários.