(DLP) Veri Sızıntısını Önleme Teknolojileri

16 Aralık 2022
Güncel Siber Güvenlik
Bilgi Güvenliği, Data Koruması, Data leakage, Data Protection, DLP, Information Security, Siber Güvenlik, Veri sızıntısı
2.801

Gündelik hayatta kullandığımız hemen her yerde yer alan teknoloji, beraberinde yeni sorunlar da yaratmaktadır. Sahip olduğumuz kimlik bilgileri, kredi kartı bilgileri, evraklar hatta paramızı bile teknoloji ile kayıt altına alıyoruz. Verilerin hızla el değiştirmesi, çoğaltılabilmesi, özellikle doğrudan bilgi üreten ve ellerinde riskli bilgi bulunan kurumların önlem almalarını kaçınılmaz hale getirmektedir. Bu nedenle verilerin güvenliği büyük önem teşkil etmiştir.

DLP açılımı Data Loss/Leak Prevention olarak geçmektedir. Türkçe çevirisinde ise DLP terimi genellikle veri kaybını önleme veya veri sızıntısını önleme olarak çevrilir.

DLP teknolojileri, şirketlerin gizli verileri tanımlamasına ve bu alanda gizli bilginin şirket ağından çıkmadığından emin olmak için kullanılır. Başka bir deyişle, dışarıdan Anti malware , güvenlik duvarları ihlal tespit ve önleme sistemleri gibi birçok farklı teknoloji mevcutken DLP sistemleri işi içeriden yapacak şekilde tasarlanmıştır [Tahboub, R., Saleh, Y., Data Leakage/Loss Prevention Systems (DLP), in 2014 World Congress on Computer Applications and Information Systems (WCCAIS), vol. 1, pp. 1–6, 2014]. Modern veri sızıntısı önleme (DLP) yazılımları ayrıca uygulama izleme, e-posta izleme, kötü amaçlı yazılım koruması ve kullanıcı erişim kontrolü sunar.

DLP yazılımları anti virüs ya da güvenlik duvarı yazılımlarına göre biraz daha farklı yazılımlardır.
DLP yaşayan bir sistemdir ve sistemde tanımlanan bilgilerin güncellenmesi durumunda, yeni bilgilerin eklenmesi ve sistem değişikliklerinde veri sınıflandırmaların ve filtrelerin de güncellenmesi gerekmektedir. DLP’nin aksine Anti virüs ya da Firewall yazılımlarında standart tanımlar yapılmakta, otomatik güncellemeler ile yazılım kontrolleri yapılarak probleme anında müdahale edilebilmektedir.

DLP teknolojileri bulunduğu ağ içinde,   depolama  alanlarında ve son kullanıcı noktalarında veriyi korumayı amaçlar. Bunu gerçek zamanlı izleme sayesinde olay gerçekleşmeden müdahale şansı oluşturmaktadır. Bu doğrultuda DLP sistemleri mimari açıdan üç farklı şekilde ele alınır;

1. Ağ Tabanlı DLP (Network-based DLP)

2. Depolama Tabanlı DLP (Storage-based DLP)

3. Uç Nokta DLP (Endpoint DLP)

1.1. AĞ TABANLI DLP (NETWORK-BASED DLP)

Ağ içinde hareket eden, yani e-posta, anlık mesajlaşma, web ve P2P gibi iletim kanalları üzerinde sürekli hareket halinde olan veri türlerini izleyen ve aksiyon alan DLP türüdür.

Ağ tabanlı DLP çözümü, bir şirket ağına gelen ve giden verileri izlemek için ağ uç noktalarına kurulur. İzleme kanalları ise e-posta trafiği, sohbet uygulamaları, HTTP/HTTPS trafiği ve daha fazlasını içerir. Bu çözümde diğer çözümlerde olduğu gibi gizli veriler sıradan verilerden ayırt etmek için öncelikle önceden tanımlanmış bir bilgi güvenliği politikasına göre yapılandırılmalıdır.

1.2. DEPOLAMA TABANLI DLP (STORAGE-BASED DLP)

Veri tabanları, dosya sistemleri ile diğer özel depolama birimlerindeki gerektiğinde sorgulanıp kullanılan hassas niteliğe sahip ve genelde ilk etapta korunması gerekli görülen veri türleri için kullanılan çözümdür.

Bu DLP çözümü ile koruma altındaki, beklemede olan ve saklanan veriler izlenir. Verilerin depolama sunucularında nasıl depolandığını ve şirketin güvenli depolama politikasına uyup uymadığını kontrol ederek çalışır. Politika ihlali oluştuğunda yöneticiye uyarı gönderir veya engellenir.

1.3. UÇ NOKTA DLP (ENDPOINT DLP)

Son kullanıcının sürekli olarak kullandığı ve işlediği türden olmakla birlikte hassas ve gizli verilerle bağlantısı olan aktif veri izleme ile sızıntı engelleme çözümüdür.

Bu çözüm ile dizüstü bilgisayarlar, masaüstü bilgisayarlar ve tabletler gibi bireysel kullanıcı cihazlarını, dosyaları USB veya CD/DVD ortamına yapılan kopyalamalar, gizli verilerin çıktı alınması, e-postalara gizli veri eklemek veya sosyal medya web sitelerine dosya yüklemek gibi veri sızıntısına yol açabilecek eylemlere karşı izler. Dosya yükleme siteleri, bulut depolama vb. dosya yedekleme çözümlerini, yasa dışı kullanıcı eylemlerini aktif olarak engelleyecek ve her politika ihlalinden önce engelleme veya sonrasında yöneticiyi uyaracak şekilde de yapılandırılabilir.

2. DLP ÜRÜN TİPLERİ

Piyasada bulunan DLP ürünleri üç tipe bölünebilir; ajan tabanlı, ajansız ve hibritler.

2.1. AJAN TABANLI DLP ÜRÜNLERİ

Bir ajan tabanlı DLP ürünü, DLP Merkezi Sunucu’nun ilkeleri ve yapılandırmaları her uç noktasında dağıtılan son nokta aracına (agent) iletişim kurabilecek yapıdaki bir üründür. Bununla birlikte, bu DLP çözümünde, ağın dışına çıkan trafiği izleyen ve analiz eden bir DLP ağ geçidi yoktur. DLP keşif aracı, bitiş noktasındaki hassas veriyi keşfeden uç nokta aracına dahil edilmiştir.

Bu tür bir çözümün avantajı, USB sürücüler, harici sürücüler, ağ, mobil cihazlar, CD/DVD’ler, yazıcılar, faks vb. cihazlar için bitiş noktasının dışına çıktığı zaman verileri izlemek için son noktaya daha fazla kontrol sağlanmalarıdır.

Bu tür çözümlerin dezavantajı, bize ağ seviyesinde sınırlı kontrol sağlaması ve kuruluş ağının dışına çıkan verileri izlememesidir. Buna ek olarak, son nokta kullanıcısı tarafından tehlikeye atılabilir, müdahale edilebilir veya manipüle edilebilir.

2.2. AJANSIZ DLP ÜRÜNLERİ

Ajansız DLP ürünleri, organizasyonun ağına giren tüm trafiği izlemek ve analiz etmek için bir veya daha fazla DLP ağ geçidi bulunan DLP ürününün bir başka türüdür ve bu nedenle tüm ağ trafiği bu DLP noktaları ile izlenmeye zorlanacaktır. Ayrıca onları denetlemek için tüm DLP noktalarına ilkeleri ve yapılandırmaları yayınlayacak bir DLP Merkezi Sunucusu da vardır. Bununla birlikte genellikle DLP keşif ajanı yoktur.

Bu çözümlerin avantajı, tüm ağ trafiğini izleyebilmeleri ve DLP Merkezi Sunucusu tarafından kolayca kontrol edilebilmeleridir. Dahası, DLP sızıntıları ağ trafiği üzerinden izlendiğinden, son nokta kullanıcısı tarafından ajan tabanına dayalı türde olduğu gibi ele geçirilemez, değiştirilemez veya manipüle edilemez.

Bu çözümlerin dezavantajı, farklı çıkış kanalları vasıtasıyla USB sürücüler, harici sürücüler, CD/DVD’ler, yazıcı gibi harici cihazlara aktarıldığında verilerin izlenmesinde etkisiz olmasıdır. Çünkü izlemek için bitiş noktasına yüklenmiş hiçbir şey yoktur.

2.3. HİBRİT DLP ÜRÜNLERİ

Hibrit DLP’ler, ajan bazlı ve ajan içermeyen DLP ürün türlerinin bir kombinasyonudur. Başka bir deyişle, DLP çözümünün dört temel bileşenini içeren, kullanımdaki verileri harekete geçirip dinlerken izleyecek ve analiz edecek eksiksiz bir DLP sistemidir. Bu tip DLP ürünleri en popüler ürünlerdir.

Bu tip avantajın hem ajan bazlı hem de ajan içermeyen türlerinin avantajlarının bir kombinasyonu olması hem ağ hem de son nokta seviyelerinde daha fazla kontrol ve izleme imkanı sağladığı anlamına gelmektedir. Başka bir deyişle, bu hem ağ trafiğini hem de USB, CD/DVD ve yazıcılar gibi ortamlara dosya aktarımlarını izlemeyi mümkün kılar.

Bu tipin dezavantajı, son nokta kullanıcılarının tıpkı aracı temelli türde olduğu gibi bitiş noktaları aracısı tarafından ele geçirilebileceği, değiştirilebileceği veya manipüle edilebileceğidir.

DLP teknolojileri genel olarak;

Veri envanterini oluşturmayı kolaylaştırır, yetkisiz veri depolama ve kullanımını engeller.

Hassas verilere kontrollü erişimi ve verilerin yetki dahilinde kullanımını kolaylaştırır.

USB sürücülerine veri sızdırılmasını, yetkisiz e-postaları, yetkisiz değişiklikleri ve web sitelerine yetkisiz yüklemeleri önleyebilir.

Sisteminizdeki şifrelenmemiş verilerin keşfine yardımcı olabilir.

Organizasyonun hassas verileri otomatik olarak şifrelemek, verileri silmek veya diğer düzeltmeleri sağlamak için kullanıcılara rehberlik sağlar.

Tanımlı kişisel veriler için tüm ağı otomatik veya manuel olarak tarar, istenmeyen veya yetkisiz kullanıcıların ortamlarında bulunmaları halinde bunları, uyarı vererek şifreler veya siler.

İlgili mevzuatlarla uyumlu kuralların işlenmesinin ardından, teknik alanda mevzuat uyum gerekliliklerinin hızlı bir şekilde karşılanması ve sürdürülmesine yardımcı olur.

Ağ, bulut ve uç nokta keşfi sayesinde farklı ortamlarda depolanan verilerin keşfi ve politikalar çerçevesinde aksiyon alınması, BT ortamında merkezi kontrol ve tutarlı politika işletimini destekler.

Verileri organizasyon dışına taşırken, otomatik şifrelemeyi kabiliyeti sayesinde farkında olunmayan veri sızıntısına karşı güvence sağlar.

Veri sınıflandırma çözümleriyle (ör. Microsoft Azure Information Protection, Titus, Boldon James) entegre edilerek veri etiketleme ve sınıflandırmayı otomatikleştirir.

Bu yazı Marmara Üniversitesi, Fen Bilimleri Enstitüsü, Siber Güvenlik Anabilim Dalı Başkanlığı, Siber Güvenlik Yüksek Lisans bitirme projesi kapsamında hazırlanmıştır. Danışman Hocam Doç. Dr. Bahattin YALÇINKAYA’ya teşekkür ederim.