Saldırı şekilleri gün geçtikçe form değiştiriyor. 1980’lerde güvenlik denince akla fiziksel güvenlik kavramı gelirken, 2000’lerde güvenlik kavramı network güvenliği kavramı ile özdeşleşmeye başlamıştır. Şimdilerde ise artık güvenlik kavramı Siber Güvenlik yani Bilgi Güvenliği ön plana çıkmaktadır.
Klasik network güvenlik önlemleri; Antivirüs, Antispam, URL Filtreleme, IPS, DDoS, Firewall gibi güvenlik ürünleri, dışarıdan gelecek olan saldırılara karşı sistemlerimizi ve veri tabanlarımızı korur. Ancak 2000’li yılların sonuna kadar içeriden gelebilecek olan tehditler şirketler tarafından dikkate alınmamıştır.
2000 li yıllardan sonra emek yoğunluklu iş modellerinden bilgi yoğunluklu iş modellerine geçiş ile birlikte bilgi daha değerli hale gelmiştir. Böylece şirketlerin kritik gizli bilgileri hedef alınmıştır. Bu noktadan sonra Şirketler artık dışarıdan gelebilecek ataklardan daha çok içeriden gelecek ataklara odaklanmışlar ve bunun için çözümler geliştirmişlerdir. DLP bu motivasyon sonucu ortaya çıkmış bir kavramdır.
DLP’yi diğer güvenlik ürünlerinden ayıran ve daha değerli hale getire motivasyon; sahip olduğumuz ve hayati önem taşıyan bilgi ve belgelerin şirket içinde kontrolsüz bir şekilde hareket etmesi ve kaybının engellenmesidir.
Yapılan araştırmalarda bir şirketin değerli bilgilerinin %95 oranında çalışanların bilinçsizce davranışları yüzünden kaybolduğu sadece geriye kalan %5’lik kısmın aslında bilinçli saldırılar yüzünden kaybolduğu veya çalındığı tespit edilmiştir. DLP ile yapılmak istenen aslında; Çalışanların hangi bilgilere ve belgelere sahip olması gerektiği, hangi bilgileri ve belgeleri şirket içerisinden ne şeklide, hangi kurallar çerçevesinde yönetecekleri bilincini vererek bilgi ve belgelerin korunduğu, loglandığı, takip edildiği düşüncesini yerleştirmek ve bilgi kaybını önlemektir.
DLP kurulumu ve yönetilmesi zor bir süreçtir. Süreçtir diyorum çünkü DLP kurulduktan sonra kendi kaderine terkedilemez. DLP süreci canlı ve sürekli olarak güncellenmesi ve takip edilmesi gereken bir süreçtir. DLP’yi kurup kendi haline bıraktığınızda ilk gün için %95 koruma yaparken hiç dokunulmadığı ve güncellenmediği zaman 6 ay sonunda %80 1 yıl sonunda %60 2 yıl sonunda %40’lerin altında bir koruma sağlayacak ve işlevsiz hale gelecektir.
DLP’yi zorunlu hale getiren, şirketin bilgi ve kaynaklarının korunmasının ile birlikte Avrupa’da zorunlu hale getirilen ve 25 Mayıs 2018 de yürürlüğe giren GDPR (General Data Protection Regulation) yönetmeliğidir. Bu yönetmelik ile kişisel verilerin korunması güvence altına alınmaktadır. GDPR’ın işaret ettiği çözüm setinin %50’sinden fazlası DLP tarafından sağlanabilir.
DLP sistemi teknik olarak hem networkü hem de istemcileri kontrol altında tutar. DLP kurulumuna sınıflandırma ile aynı anda başlanmalıdır. Dosya sistemi ve Veri tabanlarında, SharePoint vb yerlerde tutulan verilerin kritiklik seviyesi üzerine bir sınıflandırma yapılması gerekmektedir.
Şirket içindeki her departman kendi tuttuğu veri için kritiklik seviyesini belirlemeli ve sonrasında bu kritik veriler DLP sistemine tanıtılmalıdır.
Siz bir verinin kritik olup olmadığını DLP ye anlatmadığınız sürece DLP bir verinin kritik olup olmadığını anlayamaz.
DLP’ye kritik veriler birkaç şeklide tanıtılır.
1. Keyword dediğimiz anahtar kelimeler DLP’ye tanıtılabilir.
2. Maaş, bordro, çok gizli, strateji dokümanı vb. kontrol etmek isteyeceğiniz kelimeler eklenebilir. Kimin bu kelimeleri içeren dokümanları post ettiği ya da bu yazışmaları yaptığı anında DLP yönetim ekranına gelmeye başlar.
3. Regex: Özellikle ürün numaraları, kredi kartı numaraları, TC kimlik No vb. kendi içinde bir mantığı olan rakamlardır. Birçok DLP sisteminde önceden yazılmış regex’ler bulunmakla beraber kullanıcının kendi regex’ini yazabilmesi içinde bir alan tahsis edilmiştir. Özellikle üretim yapan fabrikalardaki ürün kodlarının kendi içindeki mantığı regex’e dökerek dışarı sızan bu ürün numaralarının tespiti yapılabilir.
4. Dosya Tipi bazlı kontrol ile dışarı sızan çizim dokümanları, Database dosyaları, zipli, şifreli dokümanlar True “File Type” yani dosyanın Başlığına bakıp analiz yapabilen bir diğer tanımlayıcıdır.
DLP sisteminin temel mantığı parmak izi — fingerprint teknolojisidir. Admin hakkı ile dizin yapısına erişen DLP her dokümanı tek tek açıp içinde text veriyi analiz edip dil bilgisinde gereksiz gördüğü bir takım bağlaç vb. gibi kelimeleri yok sayıp, kelimeler arası boşlukları da attıktan sonra ciddi bir matematiksel algoritmaya göre dokümanın hash’ini almaya başlar. Şunu unutmamak gerekir. Parmak izi alınan bir verideki fonksiyon tek yönlüdür. Yani parmak izi alınmış bir dokümandanım hash’inden dokümanın orijinaline geri dönülemez.
Hash’i alınmış ve kritik olarak işaretlenmiş dokumanı sızdırmaya çalışırsak DLP Parmak izi şunu diyecektir. “Sızdırmaya çalıştığın veri daha önceden şu Dosya Sunucundaki \\172.18.2.4\Yönetim\strateji.pdf dosyasına % 70 benzemektedir.” Böylece DLP ye yazdığımız politikaya göre bu işlemin iptal edilmesi veya yöneticiden izin istenerek yapılması ve işlemin loglanması ile son bulacaktır.
Parmak izi teknolojisi mükemmel gibi görünse de veri miktarı büyüdükçe sistemde yavaşlamalar yaşanmaya başlayacaktır. Dolayısı ile DLP sistemlerinde temel hedef gerçekten kritik olan verilerin korunmasıdır. Her veriyi korumaya çalışırsanız sistemlerinizin yavaşlaması nedeniyle çalışamaz hale gelebilirsiniz.
DLP kurulumunda şirketin en tepesindeki kişilerin yani yönetim kurulunun sponsor olması gerekir. Aksi taktirde çalışanlar tarafında kısa süre içinde belgelere erişimde sorunlar yaşanacağı için şikayetler başlayacak ve DLP bir süre sonra işlemez hale gelecektir.
DLP sürecinin doğru yönetilmesi için yapılması gerekenler;
1. DLP kurulumundan önce şirketin; ne iş yaptığı, iş yapış şekilleri, yönetim sistematiği, belgeleri tutulduğu, veri tabanları, SharePoint ve clientlerın detaylı analizi yapılması gerekir.
2. Mutlak suretler zafiyet analizi ve güvenlik açıklarının tespit edilmesi gerekir.
3. Şirketin WAN ve güvenlik mimarisinin detaylı analizi yapılmalı ve eksik olan güvenlik açıkları DLP kurulmadan önce giderilmelidir.
4. DLP’den önce mevcut belgelerin öncelikle keşfi sonrasında sınıflandırılması ve monitöre edilmesi gerekir. Ayrıca güvenlik seviyeleri belirlenmelidir.
5. Şirketin iş yapış şekilleri düzenlemeli, kuralları-politikaları oluşturmalı ancak şirketi yavaşlatmamalıdır.
6. DLP kurulumu için verinin sisteme giriş ve çıkış noktalarının tam olarak tespit edilmesi ve buna göre DLP’nin her çıkış ve giriş noktasını kontrol altında tutması sağlanmalıdır.
7. DLP politikalarının belirlenmesine ve karar verilmesine mutlak suretle; Hukuk birimleri, şirketin kontrol birimleri, Bilgi Teknoloji birimleri ve Yönetim birimleri dahil edilmelidir.
8. DLP ve raporlamadan sorumlu olacak bir kişi belirlenmeli ve bu kişinin yılın belirli sürelerinde detaylı analiz yapması sağlanmalıdır. Bu kişi yıllık olarak kontrol birimleri tarafından denetlenmelidir.
9. DLP kurulumundan sonra bütün kullanıcılar eğitilmeli ve her kişinin hangi bilgilere erişip erişemeyeceği baştan söylenmelidir. Aksi taktirde şirket içerisinde ciddi bir karmaşa oluşacaktır.
10. Hardcopy olan bilgilere erişim belirli kurallara bağlanmalı gerekirse bu belgeler sanallaştırılarak birer keyword veya Numara ile sınıflandırılmalıdır. DLP’nin en büyük açığı olan hardcopy belgelerinin sistem içine alınması gerekir.
İyi bir DLP’de olması gereken temel unsurlar şunlardır.
1. DLP; Network (E-mail, WEB, FTP, IM, IPv6), Endpoint (Virtual Desktops, WEB Apps, Desktop E-mail, Removeable Storage), Cloud (Cloud Apps, O365 Exchange, G-mail, Box) ve Storage (File servers, databases, Exchange, sharepoint, Nas filers) kontrol altına alabilmelidir.
2. Ağa dâhil olan başka cihazlar varsa Cep telefonu, Tablet vs. bu cihazlara da Mobil DLP veya BYOD kurularak çıkış noktaları kontrol altında tutulmalıdır.
3. DLP nine en önemli özelliği parmak izi teknolojisi olduğu için DLP seçiminde dikkat edilecek en önemli unsur parmak izi teknolojisinin ve Machine Learning yazılımlarının yetenekleridir.
4. Mutlak suretle OCR kurulmalıdır. İyi bir OCR ile resim boyutundaki bütün veriler kontrol altına alınabilir.
5. DLP ve Sınıflandırmanın aynı ajan ile yapılması cihazların performansını yükseltir. Bu nedenle mümkünse tek ajan tercih edilmelidir. DLP ve sınıflandırma aynı satıcıdan alınmalıdır. Ayrıca Application Management unutulmamalıdır.
6. Uluslararası şirketler için çeşitli dil seçeneklerinin olması önemli bir konudur. Mutlak suretle Latin alfabesi dışındaki alfabelere de destek vermesi gerekir. Aksi taktirde diğer alfabelerdeki belgelerin korunması mümkün olmayacaktır.
7. İyi bir raporlama ara yüzü olması gerekir. Detaylı analiz yapabilmelidir.
8. GDPR’ın işaret ettiği çözüm setine mutlak hitap edecek politikaların DLP kurulumunda olması gerekir.
9. DLP’nin Watermark özelliğinin olması gerekir.
10. Basit bir kullanım ara yüzü ve hızlı bir Teknik desteğin olması gerekir.
Sorularınız için e-mail ile iletişime geçebilirsiniz.
Mail: tas.alich@gmail.com
Ali Tas
Biel / BERN / SWITZERLAND
