RECO’nun riskli istemleri tespit ederek, verileri koruyarak, kullanıcı erişimini yöneterek ve tehditleri tanımlayarak Microsoft 365 Copilot’u nasıl güvenli tuttuğunu öğrenin – hepsi üretkenliği yüksek tutarken.
Microsoft 365 Copilot, doğal dil istemlerini eyleme dönüştürerek verimliliği artırmayı vaat ediyor. Çalışanlar rapor oluşturabilir, verilerle tarak yapabilir veya sadece Copilot sorarak anında cevaplar alabilir.
Ancak, bu rahatlığın yanı sıra ciddi güvenlik endişeleri geliyor. Copilot, bir şirketin SaaS uygulamalarında (SharePoint’ten ekiplere ve ötesine) çalışır, bu da dikkatsiz bir istem veya tehlikeye atılmış bir kullanıcı hesabı hassas bilgilerin ortaya çıkabileceği anlamına gelir.
Güvenlik uzmanları, kuruluşların varsayılan ayarların onları güvende tutacağını varsaymamaları gerektiği konusunda uyarıyor. Proaktif denetimler olmadan, kuruluşunuzdaki her dosyaya Copilot aracılığıyla erişilebilir. Kötü niyetli bir aktör, sistemleri manuel olarak aramak zorunda kalmadan gizli verileri keşfetmek ve doldurmak için Copilot kullanabilir.
Doğru istemlerle, bir saldırgan potansiyel olarak hassas dosyaları bulabilir veya hatta altyapı ve güvenlik açıklarını haritalayabilir. Copilot’un faydalarını güvenli bir şekilde kucaklamak için şirketlerin eşit derecede yenilikçi güvenlik önlemlerine ihtiyacı var.
Reco’nun Microsoft Copilot Güvenliğine Yaklaşımı
Bir SaaS güvenlik platformu olan Reco, bu copilot kaynaklı riskleri ele almak için adım atıyor. Uygulama içi AI aktivitesini göz ardı edebilecek geleneksel güvenlik araçlarının aksine, Reco kopilotu güvence altına almak için bütünsel bir yaklaşım benimser. Copilot’a, izleme ve yönetişim gerektiren SaaS ekosisteminin başka bir bileşeni olarak ele alınır – verilerinize dokunan ek bir kullanıcı veya uygulama gibi.
RECO’nun platformu, Copilot’un kuruluşunuzun SaaS verileri ve kullanıcılarıyla nasıl etkileşime girdiğini sürekli olarak analiz ederek Copilot’un yerel ayarlarından elde edilmesi imkansız olan gerçek zamanlı tespit ve bilgiler sağlar.
RECO’nun Copilot Güvenliği Stratejisi altı temel alanı kapsamaktadır. İşte bu alanların her birinin bir dökümü.
Hızlı analiz
Reco yaklaşımının en yeni bölümlerinden biri, kullanıcıların copilot’a girdiği istemleri (sorgular) analiz etmektir. Sonuçta, Copilot bir kullanıcının sorduğu her şeyi yapacaktır – bu yüzden birisi sorgulanabilir bir şey yapmasını isterse, Reco bunu erken işaretlemeyi amaçlar.
RECO, her kopilot sorgusunu çeşitli kriterlere göre değerlendiren çok aşamalı bir hızlı analiz yaklaşımı kullanır. Bu analizin bazı temel unsurları şunları içerir:
1. Kullanıcı bağlamı
RECO, her bir kopilot istemini belirli kullanıcının kimliğine ve rolüne bağlar. Bir BT yöneticisi için normal olabilecek aynı sorgu, bir satış veya finans çalışanından gelen çok şüpheli görünebilir. Örneğin, bir İK stajyeri ağ yapılandırmalarını copilot aracılığıyla sorgulamaya başlarsa, bu kırmızı bir bayrakken, aynı soruyu soran bir BT mühendisi iş kapsamları dahilinde olabilir.
2. Anahtar kelime algılama
RECO, sıklıkla riskli davranışı gösteren hassas anahtar kelimeleri veya ifadeleri copilot istemlerini izler. Bir kullanıcı sorgusu, gizli veri türleri (“SSN”, “Kredi Kartı” veya diğer PII gibi) veya hackleme/kötüye kullanma anahtar kelimeleri (“Baypas Kimlik Doğrulaması” veya “Dışa Aktarma Kullanıcı Listesi” gibi) ile ilgili terimler içeriyorsa, Reco onu işaretleyecektir. Bu ilk savunma hattı olarak hareket eder; Copilot aracılığıyla doğrudan hassas bilgi talep etme girişimi bir uyarıyı tetikler.
3. Bağlam Analizi
Kötü niyetli veya dikkatsiz kopilot istemleri her zaman açık değildir (“Tüm müşteri kredi kartı numaralarını dışa aktar” açık bir kırmızı bayraktır, ancak bir saldırgan daha ince olabilir). Akıllı bir istem, herhangi bir açık anahtar kelime kullanmadan hassas verileri ortaya çıkarmaya yönlendirebilir.
Bu nedenle RECO, istemin arkasındaki amacı anlamak için doğal dil işleme (NLP) uygular. Bu, bariz anahtar kelimelerden kaçınan ancak aynı tehlikeli niyete sahip akıllıca ifade edilen sorguları yakalar. Örneğin, “şifre” kullanmak yerine, birisi “Giriş sistemi dahili olarak nasıl çalışır?” Diye sorabilir.
4. Saldırı paterni eşleşmesi
Platform, MITER ATT & CK gibi çerçevelerden bilinen saldırı tekniklerine yönelik istemleri karşılaştırır. Vektör benzerlik eşleşmesini kullanarak RECO, bir sorgunun bilinen bir kötü niyetli desene benzediğinde, Copilot’un keşif aracı olarak kullanıldığı ileri girişimleri yakalamaya yardımcı olur.
Veri maruziyet yönetimi
Hızlı analiz kullanıcıların ne sorduğunu izlerken, Reco ayrıca Copilot’un yanıtlarını ve eylemlerini – özellikle de verileri uygunsuz bir şekilde ortaya çıkarabilecek olanları izler.
RECO, Copilot’u içeren dosya paylaşımı ve bağlantı paylaşım olaylarını izler. Copilot paylaşılan içerik oluşturursa, Reco paylaşım izinlerini güvenlik politikalarıyla uyumludur. Örneğin, Copilot tarafından üretilen bir belge kamuya açık hale getirilirse, Reco bunu potansiyel bir risk olarak işaretler.
Platform ayrıca hangi veri copilotunun eriştiğini anlamak için veri sınıflandırma sistemleriyle (Microsoft Purview duyarlılık etiketleri gibi) entegre olur. Copilot, hassas veya gizli olarak kategorize edilen içerikle etkileşime girdiğinde, Reco bu olayları günlüğe kaydeder ve uygun uyarılar oluşturur.
Kimlik ve Erişim Yönetişimi
Copilot’un güvence altına alınması, yalnızca uygun kullanıcıların erişiminin olmasını ve en az ayrıcalık prensibi altında çalışmasını gerektirir. RECO, Copilot’un yükselebileceği kimlik risklerini belirlemek için SaaS kullanıcı tabanınızı sürekli olarak analiz eder:
- Büyük miktarda veriye erişmek için Copilot’u kullanabilecek aşırı izinlere sahip hesaplar
- Daha yüksek uzlaşma riskleri sunan çok faktörlü kimlik doğrulamasından yoksun kullanıcılar
- Copilot’a uygunsuz bir şekilde erişebilecek harici hesaplar veya bayat hesaplar
- Geri ihlal edilmiş kimlik bilgilerini gösterebilecek şüpheli erişim modelleri
Bu sorunları belirleyerek RECO, kuruluşların copilot kullanımı etrafında uygun erişim kontrollerini sürdürmelerine yardımcı olarak, yetkisiz veri erişimi için bir araç haline gelmesini önler.
 |
| Reco’nun Microsoft 365 için Kimlik Risk Gösterge Paneli |
Tehdit tespiti
RECO, bir kullanıcı hakkındaki diğer veri noktalarıyla ilişkili olduğunda, şüpheli davranışı ortaya çıkarabilen bir güvenlik telemetri akışı olarak ele geçirir. Platform, potansiyel saldırıların göstergelerini işaretliyor:
- Copilot oturumları için olağandışı erişim konumları veya şüpheli IP adresleri
- Aşırı veri alımı veya saat dışı etkinlik gibi anormal kullanım kalıpları
- Potansiyel içeriden gelen tehditler, olağandışı hacimleri gizli belgeleri indirmek için Copilot kullanan bir çalışan gibi
- Hesap uzlaşmasını gösterebilecek oturum açma anomalileri
Her uyarı, Güvenlik ekiplerinin potansiyel tehditleri hızlı bir şekilde anlamasına ve yanıtlamasına yardımcı olan MIERT & CK gibi çerçevelere eşlenmiş bağlamsal bilgiler içerir.
 |
| RECO, Copilot’a özgü uyarılar üretir |
Doğrudan görünürlük
RECO, birçok kuruluşun SaaS ortamınızda kullanımı görselleştiren bilgi grafiği aracılığıyla Copilot gibi yeni AI araçlarıyla karşılaştığı görünürlük boşluğunu ele alır. Bu grafik:
- Kimin Copilot kullandığını ve hangi verilere eriştiklerini gösterir
- Kullanım kalıplarındaki anomalileri tanımlar
- Bağlamsal anlayış için SaaS yığınınızdaki etkinlikleri birleştirir
- Copilot benimseme ve kullanımda eğilimleri izler
Bu kuşun gözü, güvenlik ekiplerinin gizli bilgileri hedefleyen olağandışı bir copilot sorgu konsantrasyonu veya copilot’u uygunsuz bir şekilde çağıran harici hesaplar gibi potansiyel riskleri ve verimsizlikleri belirlemelerine yardımcı olur.
 |
| Reco’nun bilgi grafiği |
SaaS-SAAS Risk Tespiti
Kuruluşlar Copilot’u diğer uygulamalarla entegre ettikçe, yeni riskler ortaya çıkabilir. RECO, Copilot’un diğer SaaS araçlarına bağlandığı çapraz uygulama etkileşimlerini izler.
Platform, yeni uygulamaların ne zaman göründüğünü tespit eder ve copilot, gölge AI veya onaylanmamış entegrasyonları işaretleyerek ortamınızla etkileşime girer. Örneğin, bir geliştirici güvenlik ekibi onayı olmadan Copilot’a bağlanan bir eklenti eklerse, Reco bunu hemen ışığa çıkarır.
Reco, Copilot Güvenliği için Yapmaz
Uygun beklentileri belirlemek için Reco’nun sınırlarını anlamak önemlidir:
- DLP veya içerik filtrelemesi değil: RECO, çıkışları gerçek zamanlı olarak engellemez veya sansürlemez-olaylarla ilgili uyarılar ve günlükler bunları önlemek yerine.
- Son nokta güvenliği değil: Reco, cihaz seviyesinde değil, SaaS katmanında çalışır. Tamamlar ancak uç nokta korumasını değiştirmez.
- Yapılandırma Değişiklikleri Değil: Reco bir yanlış yapılandırmayı işaretleyecektir, ancak Copilot ayarlarını değiştirmez. Uygulama sahibine Reco aracılığıyla bir bilet oluşturabilir ve iyileştirme talimatları sağlayabilirsiniz, ancak hizmeti yapılandırmak için Microsoft’un araçlarını kullanmanız gerekir.
Çözüm
Keşfettiğimiz gibi, Copilot potansiyel olarak her şeye – tüm belgeleriniz, mesajlarınız ve verileriniz – hem gücü hem de en büyük riskidir. Bu nedenle copilot’u güvence altına almak sadece Copilot ile ilgili değil, tüm SaaS ortamınızı yeni bir erişim ve otomasyon türüne karşı güvence altına almakla ilgilidir.
RECO’nun Copilot güvenliğine dinamik yaklaşımı, kuruluşların bu AI araçlarını güvenli bir şekilde kucaklamasına yardımcı olabilir.
Bu konunun derinliklerine inmek ve somut rehberlik almak için Beyaz Kağıt’ı indirmenizi öneririz. AI Copilots ve Ajanik Yapay zeka. AI Copilots’u yönetme konusunda en iyi uygulamaları ve AI çağında SaaS güvenlik duruşunuzu güçlendirme konusunda ayrıntılı bilgiler sunar.