Kurumsal Bilgi Kayıplarıyla Mücadele ve DLP
Modern dünyada kilit ekonomik kaynaklardan biri bilgidir. Başarılı bir veri hırsızlığı ve veri kaçağı neredeyse her zaman müşteri kaybına, hatta şirketin çökmesi anlamına bile gelebilir. Bu nedenle bugün gizli bilgilerin aktarılmasını tanımlayan ve engelleyen DLP (Data Loss/Leak Prevention – Veri Kaybı/Sızıntısı Önleme) çözümlerine büyük ilgi duyulmaktadır. Fakat sektörde çok fazla seçenek vardır. Pazarın liderleri hala net olarak tanımlanmamıştır ve teklifler genellikle işlev bakımından bir birine benzerdir, ancak iş mantığında ve ortaya konan ilkelerde farklılık gösterir, bu yüzden karar vermek o kadar kolay değildir.
DLP nasıl seçilir?
Bilgi güvenliği, herhangi bir şirketin faaliyetinin bileşenlerinden biri haline gelmiştir ve ilgili riskler yatırımcıların derecelendirmesini ve çekiciliğini etkilemektedir. İstatistiklere göre, bir şirket çalışanının (içeriden) eylemleri nedeniyle gizli bilgilerin sızma olasılığı, bilgisayar korsanlığı sonucu sızıntı olma olasılığını aşar. Bu mutlaka kasıtlı bir eylemden de kaynaklanmaya bilir. Kullanıcı dosyayı sehven silebilir ya da yanlış bir hedefe gönderebilir. Sızma testleri işte tamda bu gibi durumlar için yapılır. Ağ sistemlerinin ortaya çıkmasından önce, çalışanların faaliyetlerini kontrol etmek neredeyse imkânsızdı. Önceleri süreci otomatikleştirmek için teknik bir alt yapı yoktu. Günümüzde her şey değişti. İş yazışmaları e-posta ile gerçekleştirilebilir, kullanıcılar IM ve VoIP aracılığıyla iletişim kurar, dosya alışverişi yapılır, bloglar tutulur, sosyal ağlarda mesajlar yayınlanır. Artık modern sunucuların gücü ve medyanın kapasitesi sayesinde bu gibi tüm kanallar otomatik olarak kolayca kontrol edilir, verileri gerçek zamanlı olarak toplanır ve işlenebilir hale gelir.
Gizli verilerin farklı aşamalarda (kullanım ve saklama sırasında) aktarılmasını tespit etmek ve önlemek için, DLP (Veri Kaybı Önleme – (KVKK, GDPR Uyumlu DLP)gibi bir dizi koruma sistemi kullanılır. Bugün, bu tür sistemler için düzinelerce eşanlamlı terim vardır: ILDP (Bilgi Kaçak Tespiti ve Önleme), IPC (Bilgi Koruma ve Kontrol), ILP (Bilgi Kaçak Önleme), vb. Görevleri genel olarak izleme, tanımlama ve koruma gibi basit çözümlerdir. DLP’nin ne olması gerektiğini tanımlayan resmi bir standart yoktur, bu nedenle geliştiriciler DLP (KVKK, GDPR Uyumlu DLP) işlevlerine farklı açılardan bakarlar.
DLP alanında çok çeşitli uygulamalar vardır, birçoğu da gereksiz işlevler ile doludur. Bununla birlikte, zaman içinde, tam özellikli bir DLP (KVKK, GDPR Uyumlu DLP)çözümünün sahip olması gereken bazı gereksinimler belirlenmiştir. Her şeyden önce, olası sızıntı kanalları şunlarla ilgilidir:
- E-posta (SMTP, POP3, IMAP servisleri);
- IM / VoIP mesajlaşma programları ve P2P istemcileri;
- Web kaynakları (sosyal ağlar, forumlar, bloglar) ve HTTP, HTTPS ve FTP üzerinden dosya aktarımları;
- Ağ üzerinden yazdırma (SMB Yazdırma, NCP Yazdırma, LPD vb.) hizmeti;
- Harici cihazlar (USB, CD / DVD, yazıcılar, Bluetooth, modemler vb.), ağ klasörleri.
İletilen verilerin yapısı, spesifik işaretler (etiketler, hash fonksiyonları) tespit edilerek ve içerik analiz edilerek (istatistiksel analiz, düzenli ifadeler, vb.) belirlenir. İyi sistemler, kural olarak, mevcut tüm teknolojileri kullanır ve yönetici, hazırlanan şablonlara dayanarak kendi başlarına kolayca kurallar oluşturabilir. Buna ek olarak, DLP (KVKK, GDPR Uyumlu DLP) sistemi güvenlik servisine tüm olayları analiz etmek için bir araç ve iletilen bilgilerin bir arşivini sağlamalıdır.
DLP seçimini belirleyen bir diğer kriter, veri sızıntısını gerçek zamanlı olarak engelleme yeteneğidir. Bununla birlikte, uzmanların bu işleve farklı bir yaklaşımı vardır, çünkü DLP işleminde bir hata (ve özellikle devreye alma aşamasında yanlış alarmlar meydana gelir) tamamen yasal trafiğin engellenmesine yol açabilir, bu da çalışanların işlerine müdahale anlamına gelir.
İşte dünyaca meşhur DLP Çözümlerinden bazıları;
CoSoSys Endpoint Protector
Romanya merkezli şirket 2004 yılından bu yana DLP konusunda, odak noktasını başka ürünlere kaydırmadan çalışmalarına devam eden ender kuruluşlardan biridir. Büyük ve Orta ölçekli kurumların ihtiyaçlarını karşılayan DLP çözümünde öne çıkan bazı özelliklikleri şu şekilde:
- Dosya transfer kontrolü, gerektiğinde bloklama.
- İçerik taraması ile detaylı kontrol.
- Cihaz kontrolü ve yönetimi, gerektiğinde kilitleyebilme.
- Üretici / ürün kimliği, seri numarası ve daha fazlasını kullanarak ayrıcalıklı kontrol elde etme.
- USB üzerinden taşınan verileri şifreleyebilme, yönetme ve koruma altına alma.
- Hassas verileri tarama ile bulur, şifreler yada siler. Manuel ya da otomatik taramalar yoluyla detaylı içerik ve bağlam taraması yapar.
Websense Data Security Suite
California merkezli şirket Websense, web trafiği filtreleme sistemlerinin üreticisi, siber ataklardan ve veri hırsızlığından koruyan bir şirkettir. TRITON, ACE , ThreatSeeker gibi web, mobil, data güvenlik mimarileri vardır. Çözümler öncelikle 500’den fazla çalışanı ve devlet kurumlarıyla orta ve büyük şirketlere yöneliktir.
Tüm Websense çözümlerini yönetmek için tek bir Websense TRITON Konsolu (Java ve Apache Tomcat) kullanılır. Websense DSS’nin kurulumu çok kolaydır. Arşiv zaten MS SQL Server Express 2008 R2 içeriyor, ancak daha büyük ortamlar için tam sürümü kullanmak daha iyidir. İlk politika ayarları, ülkeyi ve Türkiye için bölgesel ayarlar da dahil olmak üzere kuruluşun faaliyetlerinin niteliğini dikkate alan şablonlar oluşturan basit bir sihirbaz kullanılarak gerçekleştirilir.
OpenDLP
OpenDLP , ücretsiz ve açık kaynaklı, aracı tabanlı, merkezi olarak yönetilen, büyük ölçüde dağıtılabilir bir veri kaybı önleme aracıdır. OpenDLP Projesi Windows çalıştıran istemci makinelerinden olası bilgi sızıntılarını önlemek için bir dizi araçlar sunar. Bunu yapmak için, istemci bilgisayarlara küçük bir ajan yüklenir. Uygun Windows etki alanı kimlik bilgileri verildiğinde, OpenDLP aynı anda yüzlerce veya binlerce Microsoft Windows sisteminde hassas verileri merkezi bir web uygulamasından eşzamanlı olarak tanımlayabilir. Dağıtımın kendisi Netbios / SMB aracılığıyla otomatik olarak yapılır.
DeviceLock Endpoint DLP Suite
Kullanıcıların çeşitli çevresel aygıtlara erişimini kontrol etmek için kullanılan, tanınmış DeviceLock çözümüne dayanan DLP sistemidir. DeviceLock, dosya biçimi, tarih – saat gibi parametrelere dayalı olarak engeller yada erişime izin verir.
Şimdi isteğe bağlı NetworkLock modülleri (ağ üzerinden iletilen verilerin analizi) ve ContentLock ile desteklenen DLP sisteminin temel bir öğesidir. Veri analizi ve filtreleme yeni özellikler sayesinde DeviceLock, yalnızca kullanıcının giriş bilgilerini ve diğer standart parametreleri değil, kopyalanan verilerin içeriğini izlemek de dahil olmak üzere cihazları engellemeyi öğrendi. Aynı zamanda, bilgisayarın ağda veya çevrimiçi ve çevrimdışı çalışmasına bağlı olarak farklı ilkeler belirlenir. Sistem, tüm kullanıcı işlemlerini ayrıntılı olarak kaydeder ve analiz için verilerin seçici gölge kopyasını oluşturur.
- BitLocker To Go, PGP, TrueCrypt ve diğer bazı şifreleme mekanizmaları ile entegre olabilir.
- İstemci bölümü ayrıca panoya, PrintScreen’i kontrol eder, belgeleri yazdırır ve çalışan keylogger’ları algılar.
- NetworkLock modülü DPI yöntemleri kullanır ve bağlantı noktasından bağımsız olarak protokolleri belirleyebilir, böylece sistem her türlü trafik için (sosyal ağ trafiği, web trafiği, dosya, posta ve IM trafiği) akış oluşturmayı kolaylaştırır.
- Mobil cihazlarla tanınan senkronizasyon protokolleri: MS ActiveSync, Palm HotSync ve iTunes.
- Şu anda P2P ve Skype sistemleri desteklenmemektedir.
Falcongaze SecureTower
Rus Falcongeiz LLC tarafından nispeten genç bir çözüm geliştirilmektedir. Gizli bilgileri aramak için içerik, özel ve istatistiksel analiz teknolojilerini (anahtar kelimeler, düzenli ifadeler, parmak izi vb.) kullanan bir yazılım ürünüdür. Şifrelenmiş trafiği (HTTP / S, FTP / S, POP3 / S, SMTP / S, IMAP, OSCAR, MMP, MSN, XMPP) dahil olmak üzere tüm popüler veri sızıntı kanallarının kontrol edilmesini sağlar.
MyDLP Community Edition
Ücretsiz olan bu DLP sistemi ile network ve pc son kullanıcılarının kritik ve gizli veri sızıntısını önlemek için kullanılan Türk girişimcilerin geliştirdiği bir verilerin dışarı sızdırılmamasında kullanılan çözümdür.
Neler yapılabilir?
- Protokol analizi – HTTP / HTTPS, FTP / FTPS, SMTP, ICAP (yakın gelecekte – POP / IMAP, MSNMS / Jabber ve MS Exchange);
- Belge analizi – txt, MS Word / Excel / Powerpoint 97–2k3, RTF, LibreOffice ODF, PDF, PostScript, XML, HTML ve arşivler – ZIP, 7z, TAR, GZIP, RAR, vb.
- Kayıt yapabilme;
- Python-Magic’e göre MIME türünün tanımı, MD5 hash’a göre dosya türü;
- İkil dosya formatlarından metin ayıklama;
- Kaynak kodu algılama (C / C ++ / C # / Java / ADA, vb.);
- Banka hesaplarının / kredi kartlarının tanımlanması, bazı ulusal kimlik numaraları;
- Kullanıcı kuralları ve düzenli ifadelerin uygulanması, istatistiksel analiz ve Bayes sınıflandırıcılar (örüntü tanımlarında kullanılan olasılıkçı bir yaklaşım);
- Gelen ve giden web trafiğini filtrelemek için bir web proxy’si (Squid) ile entegrasyon, Postfix, MS Exchange, Zimbra ile entegrasyon için bir içerik filtresi olarak kullanma;
- IP adreslerini ve modellerini temel alan ACL’leri (hangi sisteme, hangi işleme izin verileceği listesi) listeleme.
Ayrıca, MyDLP şifrelenmiş dosyaları veya parola ile kilitlenmiş dosyaları (bir anahtar varsa) algılayıp açabilir. İşlevsel olarak, MyDLP üzerine kurulmuş bir sistem dört bileşenden oluşur:
- MyDLP Ağı, TCP bağlantılarını yakalamak için kullanılan bir ağ sunucusudur ve MyDLP için ana sunucudur. Erlang ve Python’da yazılmıştır, yorumlayıcı (interpreter) destekleyen herhangi bir sisteme kurulabilir.
- MyDLP Endpoint, uç sistemlerde yüklü bir ajandır (32/64-bit WinXP-Se7en desteklenir), dosya kopyalama, yazdırma, ekran yakalama, yönetici haklarını alma vb. gibi tüm kritik işlemleri kontrol etmenizi sağlar.
- MyDLP Güvenlik izleyicisi kimin hangi verileri kullandığını izleyen bir monitördür.
- MyDLP Web Kullanıcı Arayüzü, periyodik olarak Web kullanıcı ara yüzüne bağlanan, en son ayarları alan ve günlüğü sıfırlayan bir Ağ ve Uç Nokta yapılandırma yönetim aracıdır. PHP ve Adobe Flex’te yazılmıştır, MySQL ayarları ve olay günlüğünü saklamak için kullanılır.
Sonuç
Unutulmamalıdır ki DLP (KVKK, GDPR Uyumlu DLP), öncelikle kendi içinde çalışanları disipline eden riskleri önemli ölçüde azaltabilen bir araçtır. Böyle bir sistemin piyasaya sürülmesinin, kasıtlı eylemlerden kaynaklanan sızıntılara karşı korunacağının garanti edilmesi de buna değmez. İçeriden biri değerli bilgileri iletmek veya almak isterse, kesinlikle bunu yapmanın bir yolunu bulacaktır, bu nedenle tüm geleneksel koruma yöntemleri ile birlikte kullanılmalıdır. Bilgi güvenliği, yetkisiz yapılan erişimlere engel olmaktır.
Kuruluşunuzun güvenlik duvarları ve parolalarla korumaya çalıştığı değerli kurumsal veriler, içeridekilerin parmaklarıyla dışarı çıkmasın. DLP sistemi bilgi sızıntılarını hem de beklenmedik yerlerden gelen sızıntıları önler.
Neden Secromix?
Ekibimiz, en prestijli CTF hack yarışmalarına (“Capture the Flag”) katılan penetrasyon testi deneyimine ve gerekli sertifikalara sahip (CEH, LPT,…), standartlara uygun (KVKK, GDPR, BDDK, TSE, PCI DSS, ISO 27001) araştırmacı ve hata ödül programlarında başarılı katılımcıları içerir.
Firma olarak riskleri azaltmak, tüm güvenlik açıklarını düzeltmeye yardımcı olmak ve bilgi güvenliği sürecinize destek sağlamak için ayrıntılı öneriler ve özel planlar sunuyoruz.
Unutmayın sistem sızma testleri / penetrasyon testleri, herhangi bir kuruluş için bilgi güvenliğinin gerekli bir unsuru olmazsa olmazlarındandır.
Pandemi Dönemine Özel,
Sızma Testi / Pentest / Penetrasyon testi, SIEM, DLP (KVKK, GDPR Uyumlu DLP), bilgi güvenliği danışmanlığı, siber güvenlik kapsamında fiyat teklifi ve Ücretsiz Siber Güvenlik Farkındalık Analizi için iletişime geçebilirsiniz.