Güvenlik Ürünleriyle DLP’nin Entegrasyonu

Güvenlik ürünleriyle DLP’nin entegrasyonu sayesinde ancak bütüncül bir veri güvenliğinden bahsedilebileceği gibi, birbirini tamamlayan ürünlerin bulunduğu bir güvenlik sisteminde ürünlerin karşılıklı olarak birbirlerini beslemesi sağlanarak bir ideal savunma düzenine ulaşmak hedeflenmelidir.

 

UYARI: Bu yazı ve yazı dizisinin tamamı bir teknik proje halinde bir yüksek lisans programında zaten sunulmuştur. Bu yazıların ve içindeki herhangi bir bilginin izinsiz alınması, kopyalanması, çoğaltılması ve başka bir yerde farklı bir kişi tarafından yazılmış gibi yayınlanması/kullanılması kesinlikle yasaktır.

 

DLP’nin diğer güvenlik ürünleriyle entegre bir biçimde kullanılması güvenliğin kapsama alanını genişleteceği gibi tüm güvenlik ürünleri üzerindeki genel yükü de önemli ölçüde azaltabilir. Herhangi bir güvenlik ürünü DLP’nin bazı görevlerini yapabiliyor olsa da, DLP’deki politikaların tümünü kapsamayabilir ya da tersine DLP’nin koruma fonksiyonunun engelleme için yeterli olmadığı durumlarda birbirini tamamlayarak koruma daha etkili gerçekleştirilebilir. Bu doğrultuda DLP’nin diğer güvenlik ürünleriyle entegrasyonu yine DLP’teki 3 farklı veri tipi ve organizasyonlardaki 3 farkı koruma alanında gerçekleştirilir.

 

HAREKETLİ VERİ İÇİN NETWORK İÇİ ENTEGRASYON

E-posta güvenlik ağ geçitlerine (gateway) entegrasyonda çok kullanılan DLP’nin, Web güvenliği geçitleri, UTM ve IPS/IDS cihazlarıyla birlikte kullanımı da mümkün olabiliyor.

  • E-Posta Security Gateway cihazları: DLP cihazlarından çok önce ona benzeyen özellikleri olan e-posta güvenliği ağ geçitleri spam engelleme başta olmak üzere bir takım içerik filtreleme işlemlerini yapabiliyordu. DLP’nin çıkışıyla birlikte politika ve iş akışı işlemleri DLP’ye yüklenirken, politikaları uygulama ve aksiyon alma işlemleri görece daha güçlü olan e-posta güvenliği ağ geçitlerine yaptırılarak ağ üzerinde fazladan bir “hop noktası” oluşmaması sağlanabiliyor. Böylece e-posta yoluyla DLP politikalarını ihlal eden mesajlar dış dünyaya son çıkış noktasında engellenebiliyor.
  • Web Security Gateway: DLP sistemlerinin en çok entegre edilebildiği ağ konumlarından ikincisi olan Web güvenliği ağ geçitleri, e-posta trafiğinden hariç olarak (genelde e-posta güvenliği ağ geçitleri üzerinden) internet ile ilgili olan neredeyse tüm trafiğin arasına girip inceleme özelliğine sahip cihazlardır. Ayrıca bazı web güvenliği ürünlerinde SSL inceleme özelliğinin de olması DLP’nin işini, şifreli web trafiğinin kontrolünde kolaylaştırır. Web sitelerini sınıflandırması ile protokol desteğinin yanında birçok web servisini de algılayabilmesinin sayesinde Web security gateway cihazları webmail (web e-posta servisleri), sosyal ağlar ve online forum alanları üzerinden veri sızdırılmasını DLP politikalarına bağlı olarak kolayca engelleyebilmektedir.
  • Unified Threat Management: Güvenlik duvarı, saldırı tespit ve engelleme sistemleri ile web ve e-posta ağ geçitlerini konsolide bir biçimde içeren ve bütünleşik tehdit yönetimi olarak bilinen UTM’ler, DLP için birebir platformlar olarak gözükse de, birden çok güvenlik görevini üstüne yüklenmesi neticesinde hem performans sorunlarına neden olmakta hem de diğer güvenlik mekanizmaları başta olmak üzere DLP’de de yetersiz korumaya neden olabilmektedir. Bu yüzden UTM ile DLP’lerin birlikte kullanılması bütüncül veri güvenliğini sağlamada başarısızlığa neden oluyor.
  • IPS (Intrusion Detection and Prevention System): IP paketlerini derinlemesine parçalayıp analiz edebiliyor olmalarından ötürü DLP ürünleri için çok etkin bir platform olarak görünen saldırı tespit ve engelleme sistemleri aslında bu kapasitelerine rağmen DLP ile birlikte pek telaffuz edilmezler. Aktif oturumları bitirmede çok daha etkin bir cihaz olan IPS’in şimdi olmasa bile yakın bir gelecekte DLP konseptiyle birlikte sunulması ya da DLP politikalarının da uygulama platformu olarak öne çıkması muhtemel görünüyor.

 

KULLANIMDAKİ VERİ İÇİN ENDPOINT ENTEGRASYONU

DLP’nin son kullanıcıya bakan taraftaki bazı özellikleri aslında NAC ya da kurumsal antivirüs gibi sistemlerde yıllardır kullanılan türde olan son nokta/kullanıcı koruma özellikleriydi. DLP ile birlikte gelişmiş bir takım özelliklerin de gelmesi ajan yazılımlar üzerinden son kullanıcı hareketlerini ciddi oranlarda kontrol altına alabilmeyi başardı. Örneğin DLP ile;

  • USB ile harici disk kontrolleri,
  • “Print Screen” ile ekran görüntüsü alınmasının engellenmesi,
  • CD yazıcı ile hassas bilgilerin CD ortamına aktarılması,
  • “Kes/kopyala/yapıştır” işlemleri,
  • Spesifik dosya erişim kısıtları,
  • Ağdaki ya da sadece bir lokal bilgisayara bağlı yazıcılara çıktı gönderilmesi,
  • Şifreli ve/veya şifresiz dosya gönderiminin kontrol altında tutulması,

gibi koruma vektörünü oldukça genişleten özellikler geldi. DLP ajan yazılımların antivirüs ya da NAC (network access/admission control) ürünlerine nazaran daha hızlı ve efektif olması, son kullanıcı tarafındaki koruma işlevinin DLP’ye aktarılması sonucunu doğurdu. Ama DLP ile NAC ve antivirüs sistemlerinin entegrasyonunda statik koruma (USB, CD engeli gibi) işlevlerinin mevcut sistemlere aktarılıp, daha interaktif ve belli bir mantık gerektiren diğer eylemlerin kontrol altında tutulması işlevlerini ise DLP’ye yüklemek çok daha etkin bir güvenlik sağlayacaktır.

 

dlp-veri

 

DURAĞAN HALDEKİ VERİ İÇİN DEPOLAMA SİSTEMİ İLE ENTEGRASYON

Veri tabanı hareketlerini gözetleme özelliği olan DAM (database activity monitoring) yani veri tabanı aktivite kontrolü sistemleri depolama alanlarındaki durağan haldeki veriler üzerindeki her türlü hareketi kontrol etmede özellikle büyük veri tabanlarında DLP’den daha güçlü olduklarından, entegrasyonda veri tabanı üzerinden yapılan sorgulamalarda DLP’nin sadece politikaları empoze etmesi ve aksiyon alma işlevini de DAM’a bırakması daha etkili olabiliyor. Yalnız verilerin depolama alanlarından çıkıp son kullanıcı istasyonunda kullanımı veya network içindeki hareketi esnasında daha önceden DLP içerik keşfi yöntemleri ile sağlanmış işaretli içeriklerin ya da özetlerinin kullanılmasının kontrolü DAM’ın görevi olmaktan çıkıp DLP’nin alanına girmektedir. Bu yüzden özellikle veri tabanları üzerindeki depolama güvenliğinin DAM’lar üzerinden, ağdaki veya son kullanıcı alanlarındaki veri tabanı verilerine ait güvenliğin ise DLP üzerinden sağlanması çok daha bütüncül bir güvenlik sağlayacaktır.

 

SIEM VE LOG YÖNETİM SİSTEMİ İLE KURUMSAL DRM ENTEGRASYONU

Yukarıda anlattığımız 3 farklı entegrasyon şekli DLP’deki veri tiplerine göre uyumludur. Bunların yanında diğer bazı bilgi, olay, log ve veri yönetimi araçlarının da DLP ile entegrasyonu söz konusudur. Bunlar daha çok gözlem ve korelasyon amaçlıdır ve DLP’nin olay kesinliğini arttırmaya dönük faydalar sağlar.

  • SIEM Entegresyonu: Kurumsal güvenlik olaylarını bir SIEM (güvenlik bilgi ve olay yönetimi) ürünü ile takip eden organizasyonlarda elde edilen loglar ile DLP loglarının korelasyona tabi tutularak yanlış alarm oranlarının düşürülmesi yoluyla DLP’nin daha etkili sonuçlar vermesi sağlanabilir.
  • Log Yönetimi Araçları Entegrasyonu: DLP’nin çok yoğun log üretmesi ve tutması nedeniyle log yönetimi araçlarının etkin bir biçimde kullanıldığı organizasyonlarda DLP’nin log tutma işlevi tümüyle log yönetimi araçlarına atanarak daha etkili bir DLP yönetimi sağlanabilir. Ayrıca log yönetimi araçlarının keskin alarm mekanizmaları da DLP’ye entegre edilebilir.
  • Kurumsal DRM Entegrasyonu: “Dijital haklar yönetimi” olarak bilinen DRM’da organizasyonlarda kurumsal fikri mülkiyeti olan içerik ve dijital varlıkların lisanslanarak bir erişim kontrol sistemine tabi tutulması verinin bulunduğu yerden harekete geçmeye başlamadan ilk önce baştan DLP’nin kontrolüne girmesini sağlayabilir. Böylece DLP üzerinde erişim kontrol yükü DRM üzerinden sağlanmış olur.

 

Buraya kadar anlattıklarımız, bir veri güvenliği teknolojisi olarak DLP’yi, çalışma mekanizmasını ve koruma yöntemlerinin yanında bir de diğer güvenlik ürünleriyle olan entegrasyonunu kapsamlı bir şekilde ele alıyor. Sonraki bölümde de son yıllarda yaşanmış popüler ve etki derecesi geniş olan veri sızıntısı olaylarını özetleyip yazı dizimizi bitireceğiz.

M. MEKİN PESEN

YAZAR:

Özel bir kurumda kıdemli bilgi güvenliği uzmanı olarak çalışan M. Mekin Pesen, Elektrik-Elektronik Mühendisliği lisans ve Bilgi Güvenliği Mühendisliği yüksek lisans diplomaları ile CISSP, ECSA, CEH ve CCSA sertifikalarına sahiptir. Kendisi siber güvenlik ve bilgi güvenliği genel başlıkları altında çeşitli konularda uzmanlaşmaktadır.
    

E-Bültene Kaydolun, Makaleler Posta Kutunuza Gelsin

Bu yazıyı başka hiçbir yerde ve şekilde yayınlayamazsınız ve/veya kullanamazsınız. Bu yazıyı kullanmanız, başka herhangi bir uyarıya gerek kalmadan her türlü hukuki sonucu daha en baştan kabul ettiğiniz manasına gelir.