Come impedire il tuo primo data breach AI

Durante il suo discorso programmatico alla RSA Conference 2024, Matt Radolec, Vice Presidente di Incident Response and Cloud Operations di Varonis, ha descritto una situazione che sta diventando sempre più comune nell'era dell'AI generativa:

Un'organizzazione si è rivolta a Varonis con un mistero. Un suo concorrente aveva in qualche modo ottenuto l'accesso a informazioni sensibili sull'account e stava utilizzando tali dati per inviare campagne pubblicitarie ai clienti dell'organizzazione.

L'organizzazione non aveva idea di come fossero stati ottenuti i dati; si trattava di un incubo in termini di sicurezza che poteva mettere a repentaglio la fiducia dei clienti.

Collaborando con Varonis, l'azienda ha individuato la fonte della violazione dei dati. Un ex dipendente ha usato un copilot di AI generativa per accedere a un database interno ricco di dati sui conti. Poi ha copiato dati sensibili, come le spese dei clienti e l'utilizzo dei prodotti, e li ha portati con sé a un concorrente.

Guarda la discussione completa di Matt Radolec su come impedire le violazioni dei dati AI alla RSA Conference 2024. 

Questo esempio evidenzia un problema crescente: l'ampio uso di copilot di AI generativa aumenterà inevitabilmente le violazioni dei dati.

Secondo un recente sondaggio di Gartner, i casi d'uso dell'AI più comuni includono applicazioni basate sull'AI generativa, come Microsoft 365 Copilot e Einstein Copilot di Salesforce. Sebbene questi strumenti siano un modo eccellente per le organizzazioni di aumentare la produttività, creano anche notevoli sfide per la sicurezza dei dati.

In questo blog, esploreremo queste sfide e ti mostreremo come proteggere i dati nell'era dell'AI generativa.

Il rischio dei dati dell'AI generativa 

Quasi il 99% delle autorizzazioni sono inutilizzate e più della metà di esse sono ad alto rischio. L'accesso non utilizzato e troppo permissivo ai dati è sempre un problema per la sicurezza dei dati, ma l'AI generativa getta benzina sul fuoco.

Quando un utente pone una domanda a un copilot di AI, lo strumento formula una risposta in linguaggio naturale basata su Internet e contenuti aziendali tramite la tecnologia grafica.

Poiché gli utenti hanno spesso un accesso ai dati eccessivamente permissivo, il copilot può far emergere dati sensibili facilmente, anche se l'utente non si è reso conto di avervi accesso. Innanzitutto, molte organizzazioni non sanno quali sono i dati sensibili che possiedono e il giusto dimensionamento degli accessi è quasi impossibile da effettuare manualmente.

L'AI generativa abbassa l'asticella delle violazioni dei dati.  

Gli aggressori non devono più sapere come violare un sistema o capire i dettagli del tuo ambiente. Possono semplicemente chiedere a un copilot informazioni o credenziali sensibili che consentano loro di spostarsi lateralmente nell'ambiente.

Le sfide alla sicurezza derivanti dall'abilitazione degli strumenti di AI generativa includono le seguenti:

• I dipendenti hanno accesso a troppi dati 
• I dati sensibili spesso non vengono etichettati o vengono etichettati in modo errato 
• Gli addetti ai lavori possono trovare ed estrarre rapidamente i dati 
• Gli aggressori possono scoprire segreti per l'escalation dei privilegi e il movimento laterale 
• È impossibile eseguire manualmente il dimensionamento corretto dell'accesso 
• L'AI generativa può creare nuovi dati sensibili rapidamente

Queste sfide alla sicurezza dei dati non sono nuove, ma sono altamente sfruttabili, data la velocità e la facilità con cui l'AI può far emergere le informazioni.

Come impedire che si verifichi la prima violazione dell'AI 

Il primo passo per rimuovere i rischi associati alla generazione di AI è assicurarsi che la tua casa sia in ordine.

È una cattiva idea lasciare liberi i copilot nella tua organizzazione se non sai esattamente dove sono presenti dati sensibili e quali sono i dati sensibili, e se non sei in grado di analizzare l'esposizione e i rischi né di colmare lacune di sicurezza e correggere gli errori di configurazione in modo efficiente.

Una volta che hai il controllo sulla sicurezza dei dati nel tuo ambiente e sono stati implementati i processi giusti, puoi implementare un copilot. A questo punto devi concentrarti su tre aree: autorizzazioni, label e attività umana.

• Autorizzazioni: assicurati che le autorizzazioni dei tuoi utenti siano delle dimensioni corrette e che l'accesso del copilot rifletta tali autorizzazioni.
• Etichette: una volta compreso quali dati sensibili sono in tuo possesso e quali sono puoi apporre etichette per applicare la DLP.
• Attività umana: è essenziale monitorare l'uso del copilot ed esaminare eventuali comportamenti sospetti rilevati. Il monitoraggio dei suggerimenti e dei file a cui si accede è fondamentale per impedire l'exploit dei copilot.

Integrare queste tre aree di sicurezza dei dati non è facile e di solito non si può realizzare con il solo impegno manuale. Poche organizzazioni possono adottare in sicurezza copilot di AI generativa senza un approccio olistico alla sicurezza dei dati e controlli specifici per i copilot stessi.

Previeni le violazioni dell'AI con Varonis. 

Varonis si concentra sulla protezione dei dati da quasi 20 anni, aiutando più di 8.000 clienti in tutto il mondo a proteggere ciò che conta di più. 

Abbiamo applicato la nostra profonda competenza per proteggere le organizzazioni che pianificano di implementare l'AI generativa.
 
Se hai appena iniziato il percorso verso l'AI generativa, il modo migliore per iniziare è con il nostro Data risk assessment gratuito.

In meno di 24 ore, avrai una visione in tempo reale del rischio dei dati sensibili per determinare se puoi adottare in modo sicuro un copilot di AI generativa. Varonis è anche la prima soluzione di sicurezza dei dati del settore per Microsoft 365 Copilot e dispone di un'ampia gamma di funzionalità di sicurezza AI per altri copilot, LLM e strumenti di AI generativa.

Per saperne di più, esplora le nostre risorse di sicurezza AI.