Data Loss Prevention (DLP) Nedir?
  1. Anasayfa
  2. Üretici Teknolojileri
  3. Alakalı Konular

Data Loss Prevention (DLP) Nedir?

05/05/2020 Okuma süresi: 12dk, 29sn
0

Data Loss Prevention (DLP) Nedir? Günümüzün dijital ekonomisinde giderek artan miktarda bilgi toplanmakta ve veriler sadece daha değerli değil, aynı zamanda daha savunmasız bir kaynağa dönüşmektedir. Verilerin artan önemiyle birlikte bilgi güvenliği veri ihlallerinin hızla arttığı süreçte, kuruluşlar için kritik bir konu haline gelmektedir. Hassas veriler (müşterilerin ve çalışanların adları, kredi kartı numaraları, e-posta adresleri veya telefon numaraları gibi kişisel olarak tanımlanabilir bilgiler, ayrıca fikri mülkiyet ve ticari sırlar, sektöre özgü veriler, işlemler ve envanterlerle ilgili bilgiler) kurumdan kuruma değişiklik gösterse de bu verilerin korunması kurumlar için öncelikli görevlerden birisidir. Hassas verilerin korunması, yalnızca yasal veya etik nedenlerle değil, kişisel gizlilikle ilgili sorunların yanı sıra kurumların itibarını korumak için de gereklidir.

DLP yani “veri sızıntısı önleme” teknolojisi bilgi güvenliğinde değerli verilerin başkalarının eline geçmesini engellemek üzere tasarlanmış bir teknolojidir. DLP, kritik ve gizli verilerin nerede olduğunu tespit eden, verilerin nasıl kullanıldığını izleyen ve sonrasında belirlenen aksiyonları alan bir yazılımdır.

DLP’deki Veri Çeşitleri

DLP sistemlerinde hassas verilerin üç farklı durumu vardır. Bunlar durağan haldeki, kullanımdaki ve hareket halindeki verilerdir.

Durağan Haldeki Veri (Data at Rest):

Veri tabanları, depolama birimleri, dosya sistemlerindeki gerektiğinde kullanılan veri türüdür. DLP ile durağan verilerde tarama yapabilirsiniz. Böylece özel içeriğe, dosya adına veya bir uyumluluk profiline göre hassas verileri bulabilirsiniz.

Kullanım Halindeki Veri (Data in Use):

Bir ağdaki birden çok kullanıcı tarafından sık sık güncellenen veri olmakla birlikte hassas ve gizli verilerle bağlantısı olan aktif veri türüdür. DLP ürünleri kullanımdaki verilerde, kullanıcı tarafından güncelleme yapıldıkça oluşturulan politikalar ile aktarma işleminin yanı sıra kopyala-yapıştır işlemlerine dair aksiyon alabilir.

Hareket Halindeki Veri (Data in Motion):

Ağ içinde hareket eden, örneğin eposta, anlık mesajlaşma, bulut ve taşınabilir aygıtlara veya diğer çıkış noktalarında sürekli hareket halinde olan veri türüdür. Hareket halindeki veriler, insan hatası, ağ hataları, güvensiz dosya paylaşımı, kötü amaçlı eylemler ve daha fazlası dahil olmak üzere çeşitli tehditlere açık haldedir. DLP ürünleri genellikle hareket halindeki verilerde ihlalleri ve insan hatalarını ele alarak ağ trafiğini hassas bilgiler için tarar ve kritik bilgilerin kurum ortamından ayrılmasına izin vermez.

DLP Çeşitleri

Network DLP:

Network üzerinde kullanılan SMTP/TLS, HTTP/HTTPS, IM ve FTP protokolleri kullanılarak oluşturulan trafiği izleyerek, aktarılan verileri korumak için tasarlanmıştır. E-posta, Web vb. üzerinden veri kaybını durdurmak içinde kullanabilirsiniz.

Endpoint DLP :

Kullanılan Laptop, Desktoplar üzerinde depolanan verileri izleyerek korunmasını sağlar. Clientlar üzerinde bulunan Lokal Diskler, Taşınabilir Sürücüler, E-posta, Web ve IM gibi bilgilerin kullanıldığı ve depolandığı ortamları tarayarak gizli/güvenli bilgileri keşfeder, izler ve korur. USB sürücülere verilerin kopyalanması, CD/DVD yazımı, lokal disklere bilgilerin indirilmesi, yazdırılması, fakslanması, network üzerinden transferi ve şifrelenmiş yüksek güvenlik içeriğine sahip bilgilerin denetimini sağlar.

Storage DLP :

Dosya sunucular, veri tabanları, ve veri depoları üzerinde keşif taramaları yaparak korumasız, sahipliği olmayan ve açıkta kalmış verileri tespit eder. DLP veri depolarını tarayarak hassas, gizli verileri bulur, sunucular üzerinde dosya kullanımının izlenmesi, dosya sahipliğinin tespiti ile sıra dışı ve kötü niyetli aktivitelerin oluşmasına karşı uyarılar düzenlenmesi ile tespitini sağlar.

Cloud DLP :

Hassas verilerin önce şifrelenmeden buluta girmemesini ve yalnızca yetkili bulut uygulamalarına gönderilmesini sağlayarak bulut depolamasını benimsemiş kuruluşları özellikle korur.

DLP

Yazımızın bu aşamasında kadar DLP nedir DLP veri türleri neler yapılabilir konularına değindik. Yazının devamında ise Symantec DLP ürünü ile politika oluşturma adımlarını inceleyeceğiz.

SYMANTEC DLP POLİTİKA OLUŞTURMA ADIMLARI

Symantec DLP ürünün yönetimi politika oluşturma ve sonrasında oluşturulan politikalar neticesinde oluşacak vakaların izlenmesi, analizi ve sonrasında politikaların false positive sayısına göre optimize edilmesi ile devam edecek olan sürekli takip gerektiren bir süreci kapsamaktadır.

DLP politika yönetimi konsol ara yüzünde; Manage>Policies>Policy List menüsünden yapılmaktadır. Aşağıdaki resimde DLP kurulumunda, üreticinin hazırladığı şablon politikalar görülmektedir. Bu ekrandaki araç çubuğunda, yeni politika ekleme, dışarıdan politika import etme, işaretlenen şablon politika/politikaları export etme, aktif-pasif duruma getirme, silme, klonlma ve bir kullanıcı grubuna atama seçenekleri bulunmaktadır.

Resim-1

Yeni Politika Oluşturma

Yeni politika oluşturmak için, Resim-1 de yer alan araç çubuğunun başındaki NEW ikonunu seçin. Gelecek olan Resim-2 de ki ekranda Add a Blank Policy seçeneğini işaretleyin.


Resim-2

Bir sonraki aşama Resim-3 ‘te yer alan ekran şeklinde olacaktır.


Resim-3

Bu ekranda DLP politikalarının 3 aşamalı yapısı görülmektedir:

  • Detection: Politikanın hangi kriterlere göre analiz yapacağını bu aşamada belirleyebilirsiniz. Bu sekmede eklenen tarama tipi politikalar altında yer alan kuralları oluşturur. Burada dosya uzantısı, boyutu, oluşturulacak bir sözlükteki belirli sayıda kelimenin taranması, doküman adı ve içeriğine göre tarama yapılması gibi çok sayıda tanımlama yapabilmekteyiz. Seçilecek tarama kriterine göre her seferinde farklı kural sihirbazı çalışmaktadır.
  • Groups: Detection sekmesinde belirlenen analiz kriterleri hangi kişilere/gruplara uygulanacağı; hangi kişi ve gruplara EXCEPTION (istisna) tanımlanacağını belirttiğimiz sekmedir.
  • Response: Bu analizlere göre uygulanan politikanın neticesinde bir INCIDENT (vaka) oluştuğunda hangi aksiyonların alınacağının belirlendiği sekmedir.

General sayfasında dikkat edilmesi gereken diğer kısım ise Policy Group kısmıdır. Oluşturduğumuz politikanın uygulanacağı DLP Detection sunucusunu seçmektir. Politikamızın çalışacağı katman veya yapılacak taramanın kapsamına göre gruplandırılmış grupta çalışması sağlanır.

 

 

 

 

 

 

Resim-4

Yeni Politika İçin Detection Tarama Kriterlerinin Ayarlanması

Detection sekmesinde Resim-5′ te göründüğü gibi kural ve istisna tanımlayacağımız kriterler sayfası açılmaktadır. Hiçbir Detection unsuru seçilmezse DLP politikası kaydedilemez.

Resim-5

Add Rule sekmesinde kural oluştururken kural tipi olarak;

  • Gönderilecek olan içeriğe,
  • Dosya özelliklerine,
  • Dosya transferinde kullanılacak protokollere göre,

politikamızı yapılandırabiliriz.

Resim-6

Kural sekmesinde Technology bölümünde kuralın kullanılacağı DLP teknolojileri görünmektedir.

  • DCM (Described Content Match): Kuruma özel sözlük oluşturmak, regex yazmak veya dosyanın excel olup olmaması tanımlayabildiğimiz DLP teknolojisidir.
  • IDM (Indexed Data Matching): Kuruma özel oluşturulacak doküman profiline göre belli bir oranda benzer dosyaları yakalayabilen DLP teknolojisidir.
  • EDM (Exact Data Matching): Korumak istediğimiz yapılandırılmış veya tablo biçiminde depolanan içeriği algılar. Örneğin, bir veri tabanındaki gizli müşteri bilgilerini tespit etmek için kullanabilirsiniz. Ya da bir e-tablodan hassas finansal bilgileri tespit etmek yine mümkündür.
  • VML (Vector Machine Learning): Yapılandırılmamış verileri korumak için istatistiksel analiz gerçekleştirir. Analiz içeriğini, örnek olarak verilen içeriğe dayanarak dosyaların benzer olup olmadığını belirler.

Product sütununda ise kuralımızın çalışabileceği DLP çeşitleri belirtilmiştir. Kuruma özel oluşturulan bir sözlük ile, Endpoint veya Network seviyesinde tarama yapabilirsiniz. Ve, Discover sunucusuyla file serverlarda da tarama yapabilirsiniz.

İçerisinde kimlik numarası hem de ad-soyad kelimelerini tespit edecek bir kural oluşturalım. Content Matches Keyword ve Content Matches Regular Expression kural tiplerini seçeceğiz. İlk adımımız Content Matches Keyword seçeneği ile ilerleyelim.

Resim-7

Resim-8 ekranında ad, soyad, TCKN kelimelerin girişini yapın. Kelimelerin kaçının aranacağı yada bir kelimenin birden fazla kez geçmesiyle eşik değerinin geçip geçilemeyeceği gibi seçeneklere bakılarak kuralı oluşturun.

Resim-8

Kuralımıza ek olarak TCKN regex kuralını da ekleyebiliriz. Bunun için Resim-9′ da görünen Also Match bölümünden TCKN Regex kuralımızı da ekleyebiliriz.

DLP

Resim-9

Açılan menüde Content Matches Data Identifier : Turkish Identification Number kural tipini seçin.

DLP

Resim-10

DLP

Resim-11

MATCH COUNTING

Bu kısımda ilgili arama kriterlerinin detayları bulunmaktadır. Sırasıyla ilerlemek gerekirse:

  • Check for existence: İlgili arama kriterinin var olup olmadığını kontrol eder.
  • Count all matches: Kurala çarpan her şeyi sayar.
  • Count all unique matches: Birden fazla kez bulunan kural kriterlerinin bir tane olarak sayılmasını sağlar.

MATCH ON kısmında ise arama kriterlerinin maildeki hangi bölümlerde aranacağını belirleyebilirsiniz. Bu kurallar kaydedildikten sonra aşağıdaki şekilde ilk kural arada AND olacak şekilde eklenmiş olur.

DLP

Resim-12

DLP

Resim-13

Resim-14 ekranında ADD RULE seçeneği ile ilerleyin. Resim-6 daki ADD DETECTION RULE ekranına ulaşacaksınız. Buradan MESSAGE ATTACHMENT OR FILE TYPE MATCH seçeneği ile ilerleyin. Gelen ekranda Excel dosyaları seçilerek kaydedin.

DLP

Resim-14

DLP

Resim-15

Excel dosyalarının da seçilmesi ve kaydedilmesiyle kural aşağıdaki şekilde oluşur. Burada, TCKN ve sözlük taramaları arasında AND vardır. Ve bu iki tarama kriteri tek bir kural halinde çalışmaktadır.

Yukarıdaki Test Politikasında kural ile excel dosyalarının taranması kuralı arasında ise OR bulunmaktadır.

Oluşturduğumuz politika neticesinde transfer edilen veriler sonucu elde edilen incidentlarda;

  • Bir veya daha fazla TCKN’nin olması, ek olarak ad,soyad veya TCKN kelimelerinden birinin olması durumunda incident oluşacaktır.
  • Attachemt’ı excel olan bir mail gönderilmesi, bir excel dosyasının USB’ye, FTP’ye, Google Drive vb bir portale upload edilmesi durumunda incident oluşacaktır.
  • Bir TCKN, ad,soyad veya TCKN kelimelerinden biri ve bir de Excel dosyası içeren mailde ise 2 incident oluşacaktır. Bu incident’lardan biri Keyword Match ve Data Identifiers kuralına diğeri EXCEL kuralına çarptığı için oluşacaktır.

DLP ADD EXCEPTION

Kuralımızda istisna tanımlamak için Resim-5’te ki ekrandan ADD EXCEPTION seçeneğine gidin. Örneğin USB dışındaki tüm protokollerin izlenmesi için Add Exception seçeneğinden ENDPOINT DEVICE CLASS seçeneğini seçebilirsiniz.

DLP

Resim-16

Yeni Politika İçin Groups Kriterlerinin Ayarlanması

Groups sekmesi Detection sekmesinde belirtilmiş kuralların kime uygulanacağı ve/veya kimlerin kuraldan muaf tutulacağını Detection sekmesindeki gibi Add Rule-Add Exception ekleyerek belirleyebilirsiniz.

DLP

Resim-17

Kuralın uygulanması istenen kişi veya grupların seçilmesi için Add Rule seçeneği ile ilerleyin. Resim-18 de açılan sayfada Add Detection Rule ekranındaki gibi eklenecek olan kuralın teknolojisi de DCM ve EDM olarak belirtilmiştir.

Groups sekmesi içine 3 farklı kural veya istisna oluşturulabilirsiniz :

  • Gönderici veya alıcının bir Pattern’e uyması durumu
  • Gönderici ya da alıcının Active Directory’deki veya DLP üzerinde oluşturulmuş bir grupta olması durumunda bu grup ile tanımlama yapılabilir.

DLP

Resim-18

DLP

Resim-19

Resim-18 ve Resim-19 oluşturduğumuz politikada kuralların uygulanacağı grubu ekledik. Eğer kullanıcı gruplarınız yok ise Manage > Policies > User Groups bölümünden yeni bir kullanıcı grubu oluşturabilir mevcut gruplarda düzenleme yapabilirisiniz.

Politikamızda belirli grup ya da kişi için istisna tanımlamak istersek Resim-17 ekranında Add Exception seçeneğine ulaşın. Önünüze gelen ekran Resim-18 ekranı olacaktır. Buradan da SENDER/USER MATCHES PATTERN seçeneğiyle ilerlenerek kuralın uygulanacağı göndericileri seçebilirsiniz.

DLP

Resim-20

DLP

Resim-21

Yeni Politika İçin Response Kriterlerinin Ayarlanması

Response sekmesi oluşturulan politikaya çarpan bir trafik olması ve incident oluşması durumunda ne aksiyon alınacağının belirlendiği sekmedir.

DLP

Resim-22

Manage>Policies>Response Rules menüsünde oluşturulan Response kuralları DLP politikalarının Response sekmesinde Choose Response Rule menüsünde seçilerek Add Response Rule butonuyla politikaya ekleyin.

Response sekmesi Resim-22‘ de ki gibi boş bırakılsa dahi DLP Enforce konsolda incidentlar oluşur. Ancak hiçbir aksiyon alınmaz.

Menüden Manage>Policies>Response Rules seçeneğine ilerleyin. DLP şablonlarından gelen ve oluşturulan Response kurallarını görebilirsiniz. Add Response Rule butonuyla Configure Response Rule ekranına gelin.

DLP

Resim-23

Bir önceki ekrandan Configure Response Rule ekranına geldiğinizde artık aşağıdaki aksiyonlar için Response kurallarını oluşturabilirsiniz. Bir Resronse kuralı ile sadece SMTP trafiğini bloklayabilirsiniz. Yada tek bir Response kuralı içinde SMTP trafiği bloklayabilirsiniz. Kullanıcıya Notify penceresi çıkarabilirsiniz. Ve yöneticisine mail gönderilmesini sağlayabilirsiniz.

DLP

Resim-24

New Response Rule ekranında;

  • Otomatik Yanıt: Sunucu olayları değerlendirirken sistem yanıt eylemini otomatik olarak yürütür (varsayılan seçenek).
  • Akıllı Yanıt: Yetkili bir kullanıcı yanıt eylemini , Enforce Server yönetim konsolundaki Incident Snapshot ekranından yürütür .

DLP

Resim-25

Resim-25‘de ki ekranda Endpoint bölümünde Notify sekmesini seçin. Seçilen sekmede Resim-26‘ da ki gibi bir ekran gelecektir. Gelen ekranda kullanıcıya, yöneticiye bilgilendirme formatını görmekteyiz. Format dilini ve içeriği kuruma özel hale getirebilmekteyiz.

DLP

Resim-26

Aynı şekilde Resim-25‘de ki ekranda Network bölümünde Block SMTP Message sekmesini seçin. Seçilen sekmede Resim-27′ de ki gibi bir ekran gelecektir. Gelen ekranda kullanıcı için bilgilendirme formatıdır. Format dilini ve içeriği kuruma özel hale getirip kuralımızı kaydederiz.

DLP

Resim-27

Tanımladığımız Response kuralını oluşturduğumuz politikaya eklemek için Manage>Policies>Policy List bölümünde politikamızı seçeriz. Resim-15 de ki ekranda Response sekmesine tıkladıktan sonra Resim-28 de ki gibi tanımladığımız kuralları politikamıza ekleriz.

DLP

Resim-28

Politikamızın Response tanımlarını Resim-29 görmekteyiz.

DLP

Resim-29

Test politikamızı adım adım tamamlamış bulunuyoruz. Bu yazıda Symantec DLP ile yeni bir politikayı nasıl oluşturabileceğinizi ve kural tanımlarını değindik. İyi okumalar…

Bu konuyla ilgili sorularınızı  alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.

Referanslar        

www.mshowto.org

https://help.symantec.com/home/DLP15.1?locale=EN_US

TAGs: DLP nedir ?,Data Loss Prevention (DLP) Nedir?,Symantec DLP

Bu İçeriğe Tepkin Ne Oldu?
  • 45
    harika_
    Harika!!
  • 0
    be_enmedim
    Beğenmedim
  • 2
    _ok_iyi
    Çok iyi
  • 2
    sevdim_
    Sevdim!
  • 0
    bilemedim_
    Bilemedim!
  • 1
    olmad_
    Olmadı!
  • 1
    k_zd_m_
    Kızdım!
Etiketler
Dilay Merve Özdemir

Namık Kemal Üniversitesi Elektronik ve Haberleşme Mühendisliği ana dalından mezunum. Mezun olmadan önce proje bazlı PCI Elektronik, NKÜ teknokentte, öğrenciliğim son yılında ise İstanbul Büyükşehir Belediyesi Elektronik Sistemler Müdürlüğünde proje öğrenciliği yaparak haberleşme ve bilgi teknolojileri sektöründe altyapımı daha iyi hazırlama fırsatım oldu. Mezun olduktan sonra Belbim A.Ş.de information Security Engineer olarak görev almaktayım.Hobi olarak embedded systems ve satellite intelligence alanlarında kendimi geliştirmeye devam ediyorum.

Yazarın Profili
İlginizi Çekebilir
103018_1132_Cyberoamdan1.png
25/11/2018
Cyberoam’dan Sophos’a Yükseltme İşlemi

Benzer Yazılar

Bültenimize Katılın

Tıklayın, üyemiz olun ve yeni güncellemelerden haberdar olan ilk kişi siz olun.

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir