Como evitar seu primeiro vazamento de dados pela IA

Saiba por que o amplo uso de copilotos de IA generativa inevitavelmente aumentará os vazamentos de dados, como destacado por Matt Radolec, da Varonis, durante a abertura da RSA Conference 2024.
Nolan Necoechea
3 minuto de leitura
Ultima atualização 9 de Agosto de 2024
data protection in age of AI

Durante seu discurso de abertura na RSA Conference 2024, Matt Radolec, vice-presidente de resposta a incidentes e operações em nuvem da Varonis, descreveu um cenário que está se tornando cada vez mais comum na era da IA generativa.

Uma organização procurou a Varonis com um mistério. De alguma forma, um concorrente havia obtido acesso a informações confidenciais de contas e estava usando esses dados para direcionar campanhas publicitárias aos clientes da organização.

A organização não tinha ideia de como os dados haviam sido obtidos; isso era um pesadelo de segurança que poderia comprometer a confiança dos clientes.

Em cooperação com a Varonis, a empresa identificou a origem do vazamento de dados. Um ex-funcionário usou um copiloto de IA generativa para acessar um banco de dados interno cheio de dados de contas. Depois, foram copiadas informações confidenciais, como gastos de clientes e uso de produtos, que foram levados para um concorrente.

 

Assista à fala completa de Matt Radolec na RSA Conference 2024 sobre como evitar vazamentos de dados por IA. 

Esse exemplo destaca um problema crescente: o amplo uso de copilotos de IA generativa inevitavelmente aumentará os vazamentos de dados.

De acordo com uma recente pesquisa da Gartner, os casos de uso de IA mais comuns incluem aplicativos baseados em IA generativa, como o Microsoft 365 Copilot e o Einstein Copilot da Salesforce. Embora essas ferramentas sejam uma excelente maneira de as organizações aumentarem a produtividade, elas também criam desafios significativos para a segurança dos dados.

Neste blog, exploraremos esses desafios e mostraremos como proteger seus dados na era da IA generativa.

Risco de dados da IA generativa 

Quase 99% das permissões não são utilizadas, e mais da metade dessas permissões são de alto risco. O acesso não utilizado e excessivamente permissivo é sempre um problema para a segurança de dados, mas a IA generativa aumenta ainda mais os riscos.

Quando um usuário faz uma pergunta a um copiloto de IA generativa, a ferramenta formula uma resposta em linguagem natural com base no conteúdo da Internet e de negócios por meio da tecnologia de gráficos.

Como os usuários geralmente têm acesso excessivamente permissivo aos dados, o copiloto pode facilmente revelar dados confidenciais, mesmo que o usuário não tenha percebido que tinha acesso a eles. Para começar, muitas organizações não sabem quais dados confidenciais têm, e o dimensionamento correto do acesso é quase impossível de fazer manualmente.

A IA generativa reduz o nível de vazamentos de dados.  

Os promotores das ameaças não precisam mais saber como hackear um sistema ou entender os meandros do seu ambiente. Eles podem simplesmente pedir a um copiloto informações confidenciais ou credenciais que lhes permitam mover-se lateralmente pelo ambiente.

Entre os desafios de segurança resultantes da habilitação de ferramentas de IA generativa estão:

  • Os funcionários têm acesso a muitos dados 
  • Os dados confidenciais muitas vezes não são rotulados ou são rotulados incorretamente 
  • Ameaças internas podem encontrar e exfiltrar dados rapidamente usando linguagem natural 
  • Os invasores podem descobrir segredos para escalar privilégios e movimentos laterais 
  • O dimensionamento correto do acesso é impossível de fazer manualmente 
  • A IA generativa pode criar novos dados confidenciais rapidamente

Esses desafios de segurança de dados não são novos, mas são altamente exploráveis, dada a velocidade e a facilidade com que a IA generativa pode revelar informações.

Como impedir que um primeiro vazamento de IA aconteça 

O primeiro passo para remover os riscos associados à IA generativa é garantir que sua casa esteja em ordem.

Não é uma boa ideia deixar copilotos à solta em sua organização se não tiver certeza de onde estão os dados confidenciais, quais são esses dados confidenciais, se não puder analisar a exposure e os riscos e não puder fechar as lacunas de segurança e corrigir as configurações incorretas com eficiência.

Quando tiver controle sobre a segurança dos dados em seu ambiente, e os processos corretos estiverem em vigor, estará pronto para implantar um copiloto. Nesse ponto, você deve se concentrar em três áreas: permissões, rótulos e atividade humana.

  • Permissões: certifique-se de que as permissões de seus usuários estejam dimensionadas corretamente e que o acesso do copiloto reflita essas permissões.
  • Rótulos: depois de entender que dados confidenciais possui e quais são eles, é possível aplicar rótulos a eles para aplicar o DLP.
  • Atividade humana: é essencial monitorar como o copiloto é usado e analisar qualquer comportamento suspeito detectado. O monitoramento dos prompts e dos arquivos acessados é fundamental para evitar a exploração de copilotos.

A incorporação dessas três áreas de segurança de dados não é fácil e, em geral, não pode ser realizada apenas com esforço manual. Poucas organizações podem adotar com segurança os copilotos de IA generativa sem uma abordagem holística à segurança de dados e controles específicos para os próprios copilotos.

Evite vazamentos por IA com a Varonis. 

A Varonis tem se concentrado na segurança de dados há quase 20 anos, ajudando mais de 8 mil clientes em todo o mundo a proteger o que é mais importante. 

Aplicamos nossa profunda experiência para proteger as organizações que planejam implementar a IA generativa.
 
Se você está apenas começando sua jornada com a IA generativa, a melhor maneira de começar é com o nosso relatório de risco de dados gratuito.

Em menos de 24 horas, você terá uma visão em tempo real do risco de dados confidenciais para determinar se pode adotar com segurança um copiloto de IA generativa. A Varonis também é a primeira solução de segurança de dados do setor para o Microsoft 365 Copilot, com uma ampla gama de recursos de segurança de IA para outros copilotos, LLMs e ferramentas de IA generativa.

Para saber mais, conheça nossos recursos de segurança de IA

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

conheça-os-riscos-das-olimpíadas-à-segurança-da-informação
Conheça os riscos das Olimpíadas à segurança da informação
Descubra quais são os riscos que a sua empresa está correndo com as Olimpíadas no Brasil. Acesse o blog da Varonis e confira.
7-configurações-de-segurança-para-uma-nova-aws
7 configurações de segurança para uma nova AWS
Se você acabou de criar sua conta Amazon Web Services (AWS) e está preocupado com a segurança de dados, essa é uma preocupação válida – configurações desconhecidas em toda a organização ou simples erros de configuração podem colocar seus dados em riscos de exposição.
falha-no-salesforce-pode-expor-dados-sensíveis
Falha no Salesforce pode expor dados sensíveis
Sumário executivo Uma comunidade do Salesforce configurada incorretamente pode fazer com que dados confidenciais na plataforma sejam expostos a qualquer pessoa na Internet. Os usuários anônimos podem consultar objetos que contêm informações confidenciais, como listas de clientes, casos de suporte e endereços de e-mail de funcionários.Nossa equipe de pesquisa descobriu várias comunidades do Salesforce acessíveis…
o-retorno-do-darkside:-análise-de-uma-campanha-de-roubo-de-dados-em-larga-escala
O retorno do Darkside: análise de uma campanha de roubo de dados em larga escala
A equipe da Varonis realizou um extenso estudo sobre o Darkside, cujos ataques realizados envolveram centenas de empresas em vários países – inclusive no Brasil. O objetivo dos ataques foram o roubo e a criptografia de dados confidenciais, incluindo backups. Conheça as principais táticas, técnicas e procedimentos empregados pelos grupo nos últimos episódios de sua trajetória.  Quem é…