Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo descreve como usar recursos específicos para proteger aplicativos de IA e os dados com os quais eles interagem.
- Proteja seus dados confidenciais em solicitações do usuário e dados gerados por IA
- Defenda-se contra ameaças emergentes, como injeções imediatas
Este é o terceiro artigo de uma série. Se você ainda não concluiu as tarefas em Preparar para segurança de IA e Descobrir aplicativos e dados de IA, comece com estes artigos para preparar seu ambiente com os recursos prescritos neste artigo.
Use este artigo juntamente com este recurso:
- Cloud Adoption Framework (CAF) para IA — Processo para proteger a IA
A Microsoft fornece um amplo conjunto de recursos para proteger aplicativos e dados de IA. Este artigo aborda essas questões em duas categorias: proteção de dados e proteção contra ameaças.
As duas tabelas a seguir descrevem a ilustração e também percorrem as etapas de implementação desses recursos.
Tabela 1 — Recursos de proteção de dados
| Passo | Tarefa | Âmbito de aplicação |
|---|---|---|
| 1 | Aplique controles de supercompartilhamento do SharePoint para isentar rapidamente sites e dados confidenciais do escopo de aplicativos de IA. | Sites e arquivos em seu ambiente Microsoft 365. |
| 2 | Use o Gerenciamento de Postura de Segurança de Dados (DSPM) relacionado à IA para identificar onde o compartilhamento excessivo está ocorrendo e para encontrar lacunas na cobertura das suas políticas para rótulos de sensibilidade e políticas de DLP. | Copilotos, agentes e outros aplicativos de IA que usam LLMs (módulos de linguagem grande) de terceiros, incluindo sites de IA suportados. Aplicativos de IA em outros provedores de nuvem por meio do SDK do Purview. |
| 3 | Continue a fazer progressos em rótulos de sensibilidade e políticas de prevenção contra perda de dados (DLP). | Sites, ficheiros e dispositivos no seu ambiente Microsoft 365. Aplicativos SaaS quando integrados ao Defender for Cloud Apps. Aplicativos de IA no Azure e em outros provedores de nuvem por meio do SDK do Purview. |
| 4 | Dentro do Insider Risk Management (IRM), aplique o modelo de IA arriscada para identificar comportamentos de risco em aplicativos de IA. | Sites de IA generativa. Microsoft 365 Copilot, Microsoft Copilot, Copilot Studio, serviços de IA do Azure. Aplicativos de IA em outros provedores de nuvem por meio do SDK do Purview. |
| 5 | Configure o Adaptive Protection for Insider Risk Management para aumentar a proteção dos dados com base no risco dos usuários | Sites, ficheiros e dispositivos no seu ambiente Microsoft 365. |
Tabela 2 — Recursos de proteção contra ameaças
| Passo | Tarefa | Âmbito de aplicação |
|---|---|---|
| 1 | Use o Defender for Cloud Apps para alertá-lo quando novos aplicativos de IA estiverem sendo usados, para calcular pontuações de risco para aplicativos de IA e para permitir ou bloquear esses aplicativos em seu ambiente. O Defender for Cloud Apps fornece proteções adicionais para o Microsoft 365 Copilot. | Aplicativos SaaS AI |
| 2 | Defender para a Cloud Descubra cargas de trabalho de IA implantadas em seu ambiente e obtenha informações de segurança com o Microsoft Defender for Cloud |
Aplicações personalizadas de IA construídas com a Azure AI |
Proteja os dados de IA
Esses recursos ajudam você a conhecer e mitigar com eficiência os principais riscos associados ao compartilhamento excessivo de dados, ao uso de dados confidenciais e aos comportamentos de risco dos usuários. Estes recursos destinam-se a proteções para aplicações e dados de IA no seu ambiente.
Etapa 1 — Aplicar controles de supercompartilhamento do SharePoint
Os controles de compartilhamento excessivo do SharePoint incluem controles incorporados ao SharePoint, como permissões com escopo e recursos complementares no Gerenciamento Avançado do SharePoint para reforçar a governança de conteúdo para a jornada de implantação do Microsoft Copilot. Os controlos de sobrepartilha do SharePoint ajudam-no a:
- Limite temporariamente a pesquisa Copilot a uma lista de sites especificados (Pesquisa Restrita do SharePoint).
- Identifique rapidamente sites que potencialmente contenham dados compartilhados em excesso ou conteúdo confidencial (relatórios de governança de acesso a dados).
- Sinalize sites para que os usuários não possam encontrá-los por meio do Copilot ou da pesquisa em toda a organização (Descoberta de Conteúdo Restrito no Gerenciamento Avançado do SharePoint).
- criar políticas de site inativo para gerenciar e reduzir automaticamente sites inativos (Gerenciamento Avançado do SharePoint).
- Restrinja o acesso a sites do SharePoint e do OneDrive a usuários de um grupo específico (políticas de controle de acesso restrito no Gerenciamento Avançado do SharePoint).
Para começar a usar controles de compartilhamento excessivo, use os seguintes recursos.
| Tarefa | Recursos recomendados |
|---|---|
| Revise a ilustração e a descrição dos controles de compartilhamento excessivo que você pode usar com o Microsoft 365 Copilot | Arquitetura de auditoria e proteção de dados do Microsoft 365 Copilot |
| Modelo transferível para evitar a partilha excessiva | Modelo do Microsoft 365 Copilot para compartilhamento excessivo |
| Saiba mais sobre o Gerenciamento Avançado do SharePoint | Microsoft SharePoint Premium – Descrição geral da Gestão Avançada do SharePoint |
Etapa 2 - Proteja os dados através do DSPM para IA
Use o DSPM para IA para saber onde o compartilhamento excessivo está ocorrendo e para encontrar lacunas na cobertura da sua apólice para rótulos de sensibilidade e políticas DLP.
Um ótimo lugar para começar é com o relatório de avaliação da semana.
Você pode detalhar relatórios individuais para saber mais sobre onde há lacunas em controles de compartilhamento excessivo, rótulos e políticas de DLP para que possa corrigir rapidamente esses problemas.
Para cada relatório, o DSPM para IA fornece recomendações para melhorar a segurança dos seus dados. Use o link Exibir todas as recomendações ou Recomendações do painel de navegação para ver todas as recomendações disponíveis para seu locatário e seu status.
Use os seguintes recursos para proteger aplicativos e dados de IA com o DSPM para IA.
| Tarefa | Recursos recomendados |
|---|---|
| Saiba mais sobre o DSPM para IA | Como usar o DSPM para IA |
| Saiba mais sobre os pré-requisitos e como funcionam as políticas de um clique e as políticas padrão. | Considerações sobre o DSPM para IA |
| Para aplicativos de IA em outros provedores de nuvem, saiba como testar a integração com o DSPM para IA usando o SDK do Purview | Como testar um aplicativo de IA integrado com o Purview SDK |
Etapa 3 — Continue a identificar lacunas nos rótulos de sensibilidade e nas políticas de DLP
Em Prepare-se para a segurança de IA, você usou as ferramentas de gerenciamento de postura de segurança de dados do Microsoft Purview, DSPM e DSPM para IA, para priorizar a proteção de seus dados confidenciais. Continue a revisitar essas ferramentas para identificar lacunas na cobertura da sua apólice e descobrir onde você precisa continuar a investir na aplicação de rótulos de sensibilidade e políticas de DLP. Além disso, estenda rótulos de sensibilidade e políticas DLP para aplicativos SaaS usando o Defender for Cloud Apps.
Use os recursos a seguir para progredir com o Microsoft Purview.
| Tarefa | Recursos recomendados |
|---|---|
| Saiba mais sobre as estratégias de implantação recomendadas para proteção de informações | Implante uma solução de proteção de informações com o Microsoft Purview |
| Estenda rótulos de sensibilidade e políticas de DLP para aplicativos SaaS usando o Defender for Cloud Apps | Proteção de informações deply para aplicativos SaaS |
| Defina seus rótulos de sensibilidade e políticas que protegerão os dados da sua organização |
Comece com etiquetas de sensibilidade Create and configure sensitivity labels and their policies (Criar e configurar etiquetas de sensibilidade e as políticas) Restringir o acesso ao conteúdo usando rótulos de sensibilidade para aplicar criptografia |
| Rotular e proteger dados para aplicativos e serviços do Microsoft 365 |
Gerir etiquetas de sensibilidade nas aplicações do Office Habilitar rótulos de sensibilidade para arquivos no SharePoint e no OneDrive |
| Ajuste suas políticas de DLP | Criar e implantar políticas de prevenção contra perda de dados |
| Para aplicações de IA desenvolvidas no Azure ou noutros fornecedores de cloud, aprenda a aplicar etiquetas de sensibilidade e políticas DLP utilizando o SDK Purview |
O que é o Purview SDK Utilizar APIs do Microsoft Graph Purview Como testar um aplicativo de IA integrado com o Purview SDK |
Etapa 4 — Aplicar o modelo de IA de risco no Insider Risk Management (IRM)
O Microsoft Purview Insider Risk Management (IRM) inclui modelos de política predefinidos que podem ser aplicados ao seu ambiente, incluindo o uso arriscado de IA. Os modelos de IRM são condições de política predefinidas que definem os tipos de indicadores de risco e o modelo de pontuação de risco usado pela política.
A política de uso de IA arriscada pode ajudar a detetar e habilitar a pontuação de risco para prompts e respostas em todas as ferramentas de IA em sua organização. O IRM ajuda você a investigar e tomar medidas sobre atividades de risco relacionadas à IA.
Use os recursos a seguir para começar a usar o Insider Risk Management e aplicar o modelo de política de uso de IA arriscada.
| Tarefa | Recursos recomendados |
|---|---|
| Comece a usar o Insider Risk Management e saiba mais sobre os principais cenários que beneficiam sua organização | Saiba mais sobre a gestão de risco interno |
| Aplicar o modelo de IA arriscada | Saiba mais sobre os modelos de política de gestão de riscos internos | Microsoft Learn |
| Saiba mais sobre os principais cenários para IA e veja relatórios de exemplo | Gestão de Risco Interno, capacitando a visibilidade e as investigações de segurança do uso arriscado de IA |
| Para aplicativos de IA desenvolvidos com o SDK do Purview, teste a integração do Insider Risk Management | Como testar um aplicativo de IA integrado com o Purview SDK |
Etapa 5 — Configurar a Proteção Adaptável para o Gerenciamento de Riscos Internos
A Proteção Adaptativa no Microsoft Purview Insider Risk Management atribui dinamicamente um nível de risco aos usuários e, em seguida, aplica políticas criadas aos usuários com risco moderado ou elevado. As políticas podem implementar ações de prevenção de perda de dados aumentadas, preservar conteúdo excluído ou impor requisitos de acesso condicional mais altos.
Use os recursos a seguir para começar a usar o Adaptive Protection.
| Tarefa | Recursos recomendados |
|---|---|
| Comece a usar o Insider Risk Management e saiba mais sobre os principais cenários que beneficiam sua organização | Saiba mais sobre a gestão de risco interno |
| Saiba mais sobre os principais cenários para IA e veja relatórios de exemplo | Gestão de Risco Interno, capacitando a visibilidade e as investigações de segurança do uso arriscado de IA |
| Aplicar o modelo de IA arriscada | Saiba mais sobre os modelos de política de gestão de riscos internos |
| Investigar e agir sobre atividades de risco de iniciados |
Investigar atividades de gestão de riscos internos Tomar medidas em casos de gestão de riscos internos |
Aproveite ao máximo a proteção contra ameaças para IA
O Defender for Cloud Apps e o Defender for Cloud incluem recursos para mantê-lo informado sobre o uso de novos aplicativos de IA e para aplicar os controles apropriados.
Etapa 1 — Use o Defender for Cloud Apps para fazer a triagem e proteger o uso de aplicativos de IA
O artigo anterior desta série, Discover AI Apps and Data, focou no uso do Defender for Cloud Apps para descobrir aplicativos de IA em seu ambiente. Este artigo incentiva as organizações a usarem o Defender for Cloud Apps para se manterem a par do novo uso de aplicativos de IA, avaliando o risco que eles representam para o seu ambiente, sancionando ou bloqueando esses aplicativos e aplicando controles de sessão aos aplicativos.
Primeiro, crie uma política para disparar automaticamente um alerta quando um novo aplicativo de IA generativa estiver sendo usado em sua organização.
Em seguida, avalie a pontuação de risco para aplicativos recém-descobertos. Você também pode personalizar a pontuação de risco. Por exemplo, organizações altamente regulamentadas podem querer alterar o peso de atributos específicos da pontuação de risco. Você também pode anular uma pontuação de risco.
Decida se sanciona ou bloqueia cada aplicativo. As organizações podem optar por bloquear o uso de aplicativos por vários motivos. Alguns temem que dados confidenciais sejam compartilhados sem saber com aplicativos e expostos posteriormente a um público fora da organização. Isso pode fazer com que a organização bloqueie o uso de todos os aplicativos de IA não gerenciados. Enquanto outras organizações precisam garantir que todos os aplicativos em uso estejam em conformidade com diferentes padrões, como SOC2 ou HIPAA.
Finalmente, para aplicativos que você sanciona, decida se deseja aplicar políticas de sessão para maior controle e visibilidade. As políticas de sessão permitem-lhe aplicar parâmetros à forma como as aplicações na cloud são utilizadas pela sua organização. Por exemplo, você pode configurar uma política de sessão que permita que apenas dispositivos gerenciados acessem um aplicativo de IA. Um exemplo mais simples pode ser configurar uma política para monitorizar o tráfego de dispositivos não geridos para que possa analisar o risco deste tráfego antes de aplicar políticas mais rigorosas.
Nesta ilustração:
- O acesso a aplicações na cloud aprovadas a partir de utilizadores e dispositivos na sua organização é encaminhado através de Defender for Cloud Apps onde as políticas de sessão podem ser aplicadas a aplicações específicas.
- As aplicações na nuvem que não tenha sancionado ou explicitamente não sancionado não são afetadas.
O Defender for Cloud Apps também fornece deteções dedicadas para o Microsoft 365 Copilot. As equipes de segurança podem detetar as interações suspeitas de um usuário com o Copilot e responder e mitigar a ameaça. Por exemplo, quando um usuário acessa dados confidenciais via Copilot a partir de um endereço IP arriscado, o Defender for Cloud Apps dispara um alerta para sinalizar essa atividade suspeita com detalhes importantes, incluindo a técnica de ataque MITRE, endereço IP e outros campos que as equipes de segurança podem usar para investigar esse alerta ainda mais.
Use os recursos a seguir como próximas etapas.
| Tarefa | Recursos recomendados |
|---|---|
| Analise as etapas 5 a 8 neste fluxo de implantação do Defender for Cloud Apps | Descobrir e gerir aplicações na cloud |
| Reveja este vídeo tutorial sobre a gestão de aplicações | Descubra quais aplicativos de IA generativa são usados em seu ambiente usando aplicativos do Defender for Cloud - YouTube |
| Criar uma política de descoberta de aplicativo | Criar políticas de deteção de cloud |
| Avaliar a pontuação de risco para aplicativos recém-descobertos | Catálogo de aplicativos na nuvem e pontuações de risco |
| Sancionar ou bloquear novas aplicações | Governar aplicações detetadas |
| Aplique políticas de sessão a aplicativos de IA para maior controle e visibilidade | Criar políticas de sessão |
| Saiba como usar a proteção contra ameaças para o Microsoft 365 Copilot | Novas deteções de ameaças para o Microsoft Copilot para Microsoft 365 |
Etapa 2 — Aplicar proteções de IA no Defender for Cloud
O artigo anterior desta série, Discover AI Apps and data, focou-se em descobrir cargas de trabalho e modelos de IA generativos em execução no seu ambiente. Este artigo se concentra na proteção de aplicativos GenAI durante todo o ciclo de vida do aplicativo, à medida que você cria e usa seus aplicativos de IA personalizados.
As organizações estão optando por desenvolver novos aplicativos GenAI e incorporar IA em aplicativos existentes para aumentar a eficiência e a produtividade dos negócios. Os atacantes estão cada vez mais procurando explorar aplicativos para alterar o propósito projetado do modelo de IA com novos ataques, como injeções rápidas, ataques de carteira, roubo de modelos e envenenamento de dados, enquanto aumentam a suscetibilidade a riscos conhecidos, como violações de dados e negação de serviço. As equipes de segurança precisam estar preparadas e garantir que tenham os controles de segurança adequados para seus aplicativos de IA e deteções que lidam com o novo cenário de ameaças.
O Microsoft Defender for Cloud ajuda as organizações a proteger os seus ambientes híbridos e multicloud desde o código até a nuvem. O Defender for cloud inclui postura de segurança e recursos de proteção contra ameaças para permitir que as organizações protejam seus aplicativos GenAI criados pela empresa durante todo o ciclo de vida do aplicativo:
- Descubra continuamente componentes de aplicativos GenAI e artefatos de IA do código para a nuvem.
- Explore e remedie os riscos dos aplicativos GenAI com recomendações incorporadas para reforçar a postura de segurança.
- Identifique e corrija combinações tóxicas em aplicativos GenAI usando a análise de caminho de ataque.
- Detete em aplicativos GenAI alimentados por escudos de prompt de Segurança de Conteúdo do Azure AI, sinais de inteligência de ameaças da Microsoft e monitoramento de atividades contextuais.
- Procure e investigue ataques em aplicativos GenAI com integração integrada com o Microsoft Defender.
Comece com os recursos de gerenciamento de postura de segurança de IA no Defender Cloud Security Posture Management (CSPM). O Defender CSPM descobre automática e continuamente cargas de trabalho de IA implantadas com visibilidade granular e sem agente na presença e configurações de modelos, SDKs e tecnologias de IA usados em serviços de IA, como o Azure OpenAI Service, o Azure Machine Learning e o Amazon Bedrock.
O CSPM aborda continuamente problemas de segurança contextualizados e sugere recomendações de segurança baseadas em risco adaptadas para priorizar lacunas críticas em suas cargas de trabalho de IA. As recomendações de segurança relevantes também aparecem no próprio recurso OpenAI do Azure no portal do Azure, fornecendo aos desenvolvedores ou proprietários de carga de trabalho acesso direto às recomendações e ajudando a corrigir mais rapidamente.
A capacidade de análise de vetor de ataque pode identificar riscos sofisticados para cargas de trabalho de IA, incluindo cenários de segurança de dados nos quais dados de referência ou otimização sejam expostos à internet através de movimento lateral e são suscetíveis a envenenamento de dados.
Em seguida, mantenha-se seguro durante a execução com proteção contra ameaças para cargas de trabalho de Inteligência Artificial. O Defender for Cloud inclui proteção contra ameaças para cargas de trabalho de IA. A proteção contra ameaças para IA usa a integração nativa do Serviço Azure OpenAI, escudos de prompt de Segurança de Conteúdo do Azure AI e inteligência de ameaças da Microsoft para fornecer alertas de segurança contextuais e acionáveis. A proteção contra ameaças para trabalhos de IA permite que as equipas de segurança monitorem os seus aplicativos com tecnologia Azure OpenAI durante a execução para identificar atividades maliciosas associadas a ataques de injeção de comandos diretos e indiretos, vazamentos de dados confidenciais e envenenamento de dados, bem como abuso de contas ou ataques de negação de serviço.
Use os recursos a seguir para as próximas etapas.
| Tarefa | Recursos recomendados |
|---|---|
| Analise os principais cenários descritos neste blog | Proteja aplicativos de IA generativa com o Microsoft Defender for Cloud |
| Use o CSPM para obter visibilidade dos riscos de IA em seu ambiente |
Proteja seus recursos com o Defender CSPM Revise o painel de segurança de dados e IA (Visualização) |
| Habilitar a proteção contra ameaças para cargas de trabalho de IA (visualização) | Habilitar a proteção contra ameaças para cargas de trabalho de IA (visualização) Alertas para cargas de trabalho de IA (visualização) |
Próximo passo para proteger a IA
Depois de proteger aplicativos e dados de IA em sua organização, a próxima etapa é controlar os aplicativos de IA para atender aos requisitos de conformidade regulamentar:
- Avalie e fortaleça sua postura de conformidade com as regulamentações.
- Implemente controles para controlar o uso de aplicativos e dados de IA.
Veja o próximo artigo desta série: Como faço para governar a IA para conformidade?