Veri Sızıntısı Önleme

DLP Data Loss Prevention ya da Data Leakage Prevention yani Veri Sızıntısı Engelleme anlamına gelmektedir.  Peki, Saldırı Engelleme Sistemleri, Antivirus’ler ya da Firewall mekanizmaları veri sızıntısı engelleme yapamıyorlar mı da DLP sistemine gerek duyulmaktadır. Bu konunun biraz açılması gerekmektedir.  Net bir şekilde iletmek gerekir ki bütün güvenlik katmanları Antivirus Saldırı Engelleme Sistemlerin (IPS), Antibot Engelleme Yazılımları, Web Güvenliği ya da URL Filtering Çözümleri, SIEM, MDM ve Anomaly Tespiti yapan yazılımlara kadar ve değinmediğimiz diğer ağ güvenliği yazılımı ve donanımları, kurumsal veri sızıntısının engellenmesi noktasında destek olurlar. DLP’nin ayrıldığı nokta şudur: Kurum içindeki kullanıcıyı kontrol etmek.  Ağ güvenliğinde şirketler çoğu zaman kendilerini dışardan gelebilecek saldırılara karşı korurlar.

Saldırıların ve sızıntıların içerden gerçekleşebileceği gerçeğini de biliriz fakat bunu raporlamak ya da engellemek adına aksiyon noktasında sorunlar olduğu da gün gibi ortadadır.   DLP’nin ortaya çıkması ve hatta ticari bir ürün haline gelmesinde rol oynayan motivasyonların başında kurumların özel/gizli bilgilerinin kaçağından ötürü yaşadıkları zararlar gelir. Bunun yanında sektörel düzenleyici örgütlerin yaptırımları da şirketleri veri güvenliğini sağlama konusunda mecbur bırakmıştır. Sağlık sektöründe HIPAA, finansta GLBA, BASEL II ve PCI (Payment Card Industry) Standartları ile ülkemizde BDDK, KVKK gibi regülasyon yaptırımları bilgi güvenliği ve dolayısıyla DLP konusunda ciddi adımların atılmasında önemli rol oynar. Hatta bunların tümünü geride bırakabilecek kadar kritik olan, Wall Street borsasında kâğıdı işlem gören her kurumun çok sıkı denetimlere maruz kaldığı Sarbanes-Oxley yasaları DLP konusunda en önemli yaptırımdır diyebiliriz.   DLP sistemi teknik olarak hem network’ü hem de istemcileri kontrol altında tutar. Projeye başlamadan önce dosya sistemi ve veritabanlarında, sharepoint vb. yerlerde tutulan verilerin kritiklik seviyesi üzerine bir sınıflandırma yapılması gerekmektedir.  Şirket içi her departman kendi tutuğu veri için kritiklik sırası belirlemeli ve sonrasında bu kritik veriler DLP sistemine tanıtılmalıdır.   DLP bir verinin kritik olup olmadığını anlamaz, ta ki siz ona bu kritiktir diyene kadar. Peki DLP’ye kritik verileri nasıl tanıtırsınız? Bunun için birkaç metot vardır. Key word dediğimiz anahtar kelimeler DLP’ye tanıtılabilir. Maaş, bodro, çok gizli, strateji dokümanı vb. kontrol etmek isteyeceğiniz kelimeler eklenebilir. Kimin bu kelimeleri içeren dokümanları post ettiği ya da bu yazışmaları yaptığı anında DLP yönetim ekranına gelmeye başlar.   Bir diğer metot ta Regex’dir. Özellikle ürün numaraları, kredi kartı numaraları, T.C. kimlik numarası vb. kendi içinde bir mantığı olan rakamlardır.  Birçok DLP sisteminde önceden yazılmış regex’ler bulunmakla beraber kullanıcının kendi Regex’ini yazabilmesi içinde bir alan tahsis edilmiştir. Özellikle üretim yapan fabrikalardaki ürün kodlarının kendi içindeki mantığı regex’e dökerek dışarı sızan bu ürün numaralarının tespiti yapılabilir.  Dosya tipi bazlı kontrol ile dışarı sızan çizim dokümanları, database dosyaları, zipli, şifreli dokümanlar True File Type yani dosya’nın başlığına bakıp analiz yapabilen bir diğer tanımlayıcıdır.  DLP sistemini DLP yapan teknoloji yukarıda bahsettiğim tanımlayıcılar bir tarafa, parmak izi teknolojisidir.   Dosya Sunucusunda sadece yöneticilerin eriştiği bir dizindeki kritik verilerin de DLP’ye tanıtılması gerekmektedir. Ya da kuruma ait veritabanında müşteri bilgisi.  Soru şu: Bu bilgileri Kritik olarak nasıl işaretleyeceğiz. İşte parmak izi burada devreye girmektedir. Admin hakkı ile dizin yapısına erişen DLP her dokümanı tek tek açıp içinde text veriyi analiz edip dil bilgisinde gereksiz gördüğü bir takım bağlaç vb. gibi kelimeleri yok sayıp, kelimeler arası boşlukları da attıktan sonra ciddi bir matematiksel algoritmaya göre dokümanın hash’ini almaya başlar. Şunu unutmamak gerekir. Parmak izi alınan bir verideki fonksiyon tek yönlüdür. Yani parmak izi alınmış bir dokümanın hash’inden dokümanın orijinaline geri dönülemez.  Peki bu teknoloji bize neyi sağlar? Aslında basit anlamda kritik olarak işaretlediğimiz dokümanın içinden 1 satır bir bilgi alır ve sızdırmaya çalışırsak DLP Parmak izi şunu diyecektir. Sızdırmaya çalıştığın veri daha önceden şu Dosya Sunucundaki \\172.16.2.6\Yönetim\strateji.pdf dosyasına %70 benzemektedir gibi bir ağırlık oluşturarak verinin kritik olduğunu algılayabilir. Bu hassasiyet şirketlerin aradığı bir hassasiyettir.  Parmak izi teknolojisinin üzerine Machine Learning (ML) Algoritması geliştirilmiş bulunmaktadır. Bu algoritma parmak izinden farklı olarak öğrenmeye dayalı bir algoritmadır. Temel olarak pozitif ve negatife örnekler sisteme tanıtılır. Tanıtılan örnek veriler ML algoritmasının öğrenmesi içindir. Tanıtılan verilere göre bir sonraki gönderilen verinin kritik olup olmadığı ile ilgili bir sonuç çıkartabilmesi genel motivasyondur.   DLP’den istenilen Bilgi Şudur; Kim, Neyi, Nereye, Nasıl Göndermektedir Sorusuna yanıt bulunmasını sağlamaktadır. Kullanıcıların gönderdiği verilerin içinde kritik unsur teşkil edecek verileri gönderilecek uyarılarla kullanıcının eğitilmesini sağlar. Kullanıcı bir sistem tarafından kontrol edildiğini düşündüğünden daha dikkatli davranmaya başlar.   Veri Sızmasının engellenmesi teknik olarak imkânsız değildir ancak unutmamak gerekir ki bu bir süreçtir. DLP sistemlerinin en büyük katkısı bu süreçlerde şirket çalışanlarının bilincinin artması ve kurumsal süreçlerin uyumluluk düzenlemelerine uygun şekilde işletilmesini ve kurumsal farkındalığın sağlamasıdır.  DLP’deki VERİ TÜRLERİ Bilgi güvenliğinde “veri güvenliği” kategorisinde değerlendirilen veri sızıntısı önleme teknolojisinin işi ya da amacı veriyi ömrü boyunca bulunduğu ağ içinde,  depolama alanlarında ve son kullanıcı (uç) noktalarında korumaktır. Bu doğrultuda DLP’de veri üç farklı şekilde ele alınır 

  • Hareket Halindeki Veri (Data in Motion) Ağ içinde hareket eden, yani eposta, anlık mesajlaşma, web ve P2P gibi iletim kanalları üzerinde sürekli hareket halinde olan veri türüdür. 
  • Durağan Haldeki Veri (Data at Rest) Veri tabanları, dosya sistemleri ile diğer özel depolama birimlerindeki gerektiğinde sorgulanıp kullanılan hassas niteliğe sahip ve genelde ilk etapta korunması gerekli görülen veri türüdür 
  • Kullanım Halindeki Veri (Data in Use) Son kullanıcının sürekli olarak kullandığı ve işlediği türden olmakla birlikte hassas ve gizli verilerle bağlantısı olan aktif veri türüdür. 

 Örneğin bir şirketin genel müdürü bizlere özellikle şirkete ait strateji dokümanlarının bulunduğu bir dizindeki dokümanları kritik olarak işaretlememizi ister. Yani DLP’deki ismiyle dokümanların parmak izi alınır. Sistem kayıt (log) üretmeye başlar. Ertesi gün şirket IT müdürü bizi arar. Finans uzmanı bir çalışanın bilgisayarından ilgili strateji dokümanlarının Gmail aracılığı başka bir kullanıcıya gönderildiği gözlemlenir. İlk soru bu log’un yanlış bir alarm olup olmadığını tespit edilmesidir. Log’u incelediğimizde kullanıcının gerçekten bu işlemi yaptığı gözlemlenir sonrasında gönderdiği verinin gerçekten yüksek derecede kritik dosyalardan olan strateji dokümanı olup olmadığını anlamak için bir diğer log olan adli veri analizine bakılır. DLP sistemleri sızdırılmaya çalışılan veriyi de şifreli bir şekilde kendi bünyesinde tutar. Bu log’un kontrol edilmesi sonrası konu durum tespiti yapılarak kanıtı ile ilgili mercilere raporlanarak sunulur. Bir sonraki soru şudur, Neden? Veri Sızıntısını gerçekleştiren kullanıcının trafiği incelendiğinde ve gmail adresindeki isim kontrol edildiğinde verinin rakip firmaya gönderildiği tespit edilir.   Bir başka örnek;  Bu sefer halı firması ve tasarım dosyalarının rakip firmaya iletildiğini düşünür. DLP sistemi kurulur 2 haftalık analiz sonucu parmak izi alınmış dokümanların yine Hotmail aracılığı ile rakip firmaya iletildiği tespit edilir ve gerekli merciler gerekli kararları verirler.  Son bir örnek; Başka bir kurumda IT müdürü ile beraber çalışmaya başlanır. Şirket için yazılım geliştiren ekibin kaynak kodları USB aracılığı ile paylaştığı, Dropbox’a gönderdiği ve yine aynı kaynak kodların print alındığı tespit edilir. Bu kurum prosedürü ve iş akışında olmaması gereken bir durumdur. Gizlilik gereği bu kodların bu kadar serbest dolaşması tahammül edilebilir bir durum değildir. Bu vaka ’da DLP’nin yakaladığı kullanıcıların yaptığı yanlış iş akışını düzeltmek olur.   Aynı şirketteki başka bir kullanıcının dizüstü bilgisayarını eve götürdükten sonra kurumsal verileri başka bir kullanıcıya iletme çabası ve bunun raporlanması sonrasında yapılan tetkik sonucu, kullanıcının şirket dışında DLP kontrolünün olmadığını düşünmesi ve DLP tarafından tespit edilmesi ile kurumsal farkındalığın oluşturulması da bir başka önemli özelliktir.  Sentra DLP alanında Dünya lideri Forcepoint ile çalışmaktadır.

Forcepoint DLP ve diğer çözümleri hakkında bilgi almak için Sentra satış ekibini arayabilir ya da info@sentra.com.tr adresine eposta gönderebilirsiniz.