Personel özlük bilgileri, Ar-Ge raporları, finansal raporlar ve analizler, müşteri bilgileri, bütçe ve fiyatlandırma bilgileri gibi kurumlar için kritik öneme sahip verilerin sınıflandırılması, erişim sağlayacak kullanıcıların kısıtlanması, depolanması ve dışarıya sızdırılmaması bir o kadar önemli bir konudur.
Bu alanda kullanılan Veri Kaybı/Sızıntısı Önleme – Data Loss Prevention (DLP) çözümleri, kurumların hassas verilerinin şirket içinde nasıl yer değiştirdiğini gözleyen, hassas verilerin kaybedilmemesini, dışarıya sızdırılmamasını, kötüye kullanılmamasını ya da yetkisiz kullanıcılar tarafından erişilmemesini sağlayan çözümlerdir. Önceden tanımlanmış politikalar ile kullanıcılara kritik veriler üzerinde neler yapabileceği (yazdırma, kopyalama, paylaşma, görüntüleme vb) gibi yetkiler tanımlanarak hassas ve kritik verilerin yönetimi kontrol altına alınır. Ayrıca etkili bir denetim imkanı sağlanır. Yetkisiz kişiler tarafından erişilmek istenen veriler için uyarı ve raporlama imkanı sağlanır.
DLP ayrıca HIPAA, PCI-DSS veya KVKK gibi yasal uyumluluklar için organizasyonlara raporlama imkanı da verir. Bu haliyle DLP, kurumlar için zorunluluk haline gelmiştir.
Veri kaybı/sızıntısı önleme (Data Loss Prevention (DLP)) 3 ana kullanım amacı vardır:
- Kişisel Bilgilerin Korunması: Firmalar kişisel kimlik bilgileri – Personally Identifiable Information (PII), sağlık bilgileri – Protected Health Information (PHI) ya da Kredi kartı bilgilerni – Payment Card Information (PCI) tutuyorsa bu bilgilerin korunması kritiktir. Özellikle KVKK, HIPAA gibi uyumluluk mevzuatları bu konuda önemli yaptırımlar getirir. DLP, bu hassas veriler için tanımlama, sınıflandırma ve etiketleme yaparak verinin izlenmesini ve belirtilen regulasyon mevzuatına göre raporlanmasını sağlar.
- Veri Koruması: Kurumların finansal raporları, fiyatlandırma, ar-ge vb ticari bilgilerinin de korunması gerekir. Bu bilgilerin çalınması ve/veya sızdırılması büyük zararlara sebep olabilir. DLP ile bu tip verilerin de sınıflandırılması ve politikalarla korunması sağlanarak veri güvenliği sağlanmış olur.
- Veri Görünürlüğü: Verinin korunması kadar hareketlerinin de izlenmesi önemlidir. DLP ile verinin nasıl hareket ettiğini görebilir ve izini takip edebilirsiniz. Veri, hangi son kullanıcı, ağ ve bulutta gezinmiş ve kimler veriyle etkileşimde bulunmuş görmek mümkün olur.
Veri güvenliği konusunda yetkili ve ayrıcalıklı kişilerin hesap bilgileri tartışmasız önemli bir konudur. Bu alanda “Privileged Access Management (PAM)”, “Privileged Identity Management (PIM)” , “Identity And Access Management (IAM)” gibi isimlerle karşımıza çıkan Ayrıcalıklı Erişim Yönetimi (PAM), bir BT ortamındaki kullanıcılar, hesaplar, süreçler ve sistemler için “ayrıcalıklı” erişim ve izinlere sahip kişilerin hesaplarını saklamak ve kontrol altında tutmak için yüksek güvenlikli bir ortam oluşturur.
Ayrıcalıklı erişim genellikle bir şirketin siber tehditlerle en çok hedeflenen yönüdür. Çünkü ayrıcalıklı erişimi olan hesaplar, müşteri kimlikleri, finansal bilgiler ve kişisel olarak tanımlanabilen en değerli ve gizli bilgilere erişimi olan hesaplardır. Ayrıcalıklı Erişim Yönetimi (PAM) ile şirketler, verilerini özellikle bu hesapları hedef almış tehditlere karşı koruyabilir. Bunun yanında kullanıcıların belli politikalara göre yetkilendirilmesi, erişim haklarının ve izinlerin sınırlandırılması, hesapların izlenmesi, aktivitelerin tespiti, hesapların tek merkezden yönetilmesi ve kontrol altında tutulmasını gibi birçok fayda sağlanmış olur.
PAM ayrıca güvenli bir parola kasasıdır. Böylece kurumlarda kişilere bağlı parola saklama teknikleri ve getirdiği riskler de ortadan kaldırılmış olur. Ayrıca PAM sayesinde kurumlarda Sarbanes-Oxley, GPDR, NIS, PCI-DSS, HIPAA ve ISO 27001 gibi uyumluluk ve uygunluk standartlarındaki maddelerin birçoğu sağlanmış olunur. İşte bu nedenle PAM kurumlar için çok daha önemli bir hale gelmektedir.
Internetin gelişimi ile beraber web uygulamaları kurumlar için dahili ve harici müşterilerine açılan bir kapı olmuştur. Böylece web’in standardı olan HTTP protokolü artan tehdit ve saldırıların hedefine oturmuştur. Bu sebeple kurumlar için HTTP trafiği ve web uygulamalarının güvenliği kritik bir öneme sahiptir.
Web Application Firewall (WAF) bir web uygulamasına gelen ve giden tüm HTTP trafiğine filtreleme, izleme ve bloklama yaparak web uygulamasını saldırı ve tehditlere karşı korumaktadır. WAF ürünlerinin diğer klasik firewall çözümlerinden farkı, tamamen HTTP/S trafiği üzerinde web uygulamasına ait içeriği filtreleyebilmesi, bu trafik üzerinde politika belirleyebilmesi ve tamamen uygulama katmanı (layer 7) seviyesinde çalışmasıdır. Özellikle cross-site-scripting (XSS), SQL injection, cookie poisoning gibi uygulama katmanı seviyesindeki ataklara karşı web uygulamasını koruma altına alır.
WAF genellikle politika adı verilen bir dizi kural ile çalışır. Bu politikalar kötü amaçlı trafiği filtreleyerek uygulamadaki güvenlik açıklarına karşı korumayı amaçlar. Kısacası HTTP/HTTPS/SOAP/XML/Web Servisleri üzerinde detaylı paket incelemesi yaparak zararlı istekleri bloklamak için kullanılan bir araçtır diyebiliriz.
Uluslararası bazı standartlar WAF kullanımını önemle tavsiye etmektedir. Bunların başında WAF kullanımını zorunlu tutan PCI Veri Güvenliği standartı geliyor. Kurumların karşılaştığı web saldırılarından korunmak için bazı kurumlar kaynak kod analizi yaptırma yolunu seçerler. Fakat kaynak kod analizinde sadece incelenen kodun güvenliği denetleneceği için tam koruma sağlamayacaktır. WAF ise önüne konulduğu sisteme gelen her türlü saldırıyı farkedip önleyebileceği için kısa vadede daha pratik çözümler sunmaktadır.
Günümüzde mobil iletişim teknolojilerinin gelişmesiyle beraber kurumların çalışanlarına mobil cihazlar kullandırması ya da kurum çalışanlarının kendi mobil cihazlarını işyerine getirmeleri büyük ölçüde artmıştır. Bu durum esasen kurumsal bilginin son kullanıcının mobil cihazlarında çeşitli tehlikelere maruz bırakılması, veri sızıntısı, kontrolsüz mobil cihazların tüm kurumsal ağı tehlikeye sokması ve bu cihazların gerektiğinde yönetilmek istenmesi konularını gündeme getirdi.
Çalışanların kendi mobil cihazlar kullanmaları (BYOD) ve bunun kendine özgü riskleri sebebiyle çalışanların dizüstü bilgisayarlarını, akıllı telefonlarını, tabletlerini ve diğer cihazlarını izlemek, yönetmek ve güvenlik altına almak mobil cihaz yönetimi (MDM) çözümlerini gerekli kılmıştır. Ek olarak MDM çözümleri ile kurumlar çalışanlarının kullandığı mobil cihazlardan gelebilecek tehdit ve riskleri minimize etme şansı bulmaktadır.
MDM çözümleri ile kurumlar aşağıdaki temel işlevlere sahip olabilmektedir:
- Donanım Envanteri
- Uygulama Envanteri
- İşletim Sistemi Yapılandırma Yönetimi
- Mobil Uygulama Dağıtımı, Güncellenmesi ve Kaldırılması
- Mobil Uygulama Yapılandırması ve Politika Yönetimi
- Sorun Giderme için Uzaktan Görüntüleme ve Kontrol
- Uzaktan Silme
E-posta güvenliği, bir e-posta hizmetinin veya hesabının erişimini ve içeriğini korumak için kullanılan toplu önlemleri ifade eder. E-posta güvenliği sayesinde hem kullanıcı hem de kurumlar kendilerini virüs, spam, kimlik ve veri hırsızlığı, dolandırıcılık, fidye yazılımları gibi birçok tehditten koruyabilmektedir. Özellikle fidye yazılımları (ransomware) ve şifre çalma (phishing) tarafında artan tehditler sebebiyle e-mail güvenliği ayrı bir öneme sahiptir.
Sadece e-maildeki bir linke tıklayarak sisteminize bir virüsün bulaşmasını sağlayabilir ve değerli dosyaların şifrelenmesi, hassas bilgilerin çalınması ve sisteme erişim kısıtlaması yaşanabilir. Bu nedenle e-postaları güvence altına almak herkes ve her kurum için hayati bir rol oynamaktadır.
İhlallerin %95’inin insan hatasından kaynaklandığı düşünüldüğünde e-mail güvenliği bir o kadar daha önemli hale gelmiştir. Çünkü e-mail hizmeti kişi odaklı bir hizmettir. Çünkü günümüzde bilgisayar korsanları yazılım ya da donanımlardaki teknik hatalardan ziyade insan hatalarından yararlanma eğilimindedir. Bu yüzdende günümüzde E-Posta Güvenliği kurumların olmazsa olmaz alması gereken güvenlik önemlerinin başında gelmektedir.
Web güvenliği kullanıcıların belirli URL’leri veya web sitelerini görüntülemesini engelleyen bir teknolojidir. Web filtreleri farklı şekillerde yapılır ve bireysel, aile veya kurumsal kullanım için çeşitli çözümler sunar.
Web güvenliği, interneti güvenle kullanmakla ilgilenen herkes için saldırıları veya veri kaybını önlemeye yardımcı olacak mükemmel bir araç olabilir. Çalışanların web aktivitelerini izlemek ve filtrelemek BT politikalarının etkin bir şekilde uygulanmasına yardımcı olur. Web filtreleri sayesinde kullanıcılar, bilgisayarlarında kötü amaçlı kod yürütecek sitelere girmekten korunmuş olur. Böylece kurumlar gelişmiş tehditleri durdurma, veri hırsızlığını engelleme, web erişiminde kontrol ve görünürlük elde ederler.
Web Filtrelemeyi kullanan en büyük üç grup şunlardır:
Ebeveynler – çocuklarının istenmeyen veya uygunsuz buldukları içeriğe erişmesini önlemek,
İşletmeler – Çalışanların işleriyle ilgili olmayan web sitelerine erişmesini engellemek,
Okullar – Saldırgan ve dikkat dağıtıcı içeriği engellemek ve kötü amaçlı yazılım bulaşmasına karşı korunmak
Okullar veya kütüphaneler gibi internet erişimi sunan kuruluşlar için CIPA (Child Internet Protection Act), açık alan internet hizmeti veren işletmeler için 5651 Sayılı Kanun ve kurumlar için mecbur olan KVKK (Kişisel Verileri Koruma Kanunu) gibi mevzuatlar bir filtreleme çözümü uygulanmasını zorunlu kılmıştır.
Security Incident and Event Management (SIEM) sağlam bir güvenlik yönetim sistemi tanımlamak için Security Information Management (SIM) ve Security Event Management (SEM) işlevlerini birleştiren bir güvenlik yönetimi yaklaşımıdır. SIM ağdaki güvenlik cihazlarından günlük log, olay ve akışların toplanmasını otomatikleştirmeye odaklanırken, SEM ise tamamen gerçek zamanlı izleme ve alarmlarla ilgilidir.
Özet olarak SIEM çözümleri, cihaz ve uygulamaların ürettiği olay verilerinin gerçek zamanlı olarak toplanmasını ve analiz edilmesini sağlayarak olaylar arasındaki ilişkiyi hesaplar ve kötü niyetli davranışların iç yüzünü ve yapısını ortaya çıkarmaya yardımcı olur.
Günümüzde tehditler ve saldırılar her geçen gün artmaktadır. Peki ağ üzerindeki cihaz (Firewall, Server, IPS, Router, Switch, Workstation vb) ve uygulamaların (DB, e-mail, web vb) ürettiği binlerce milyonlarca olay verisi (log) içinde hangileri saldırı ya da bir tehdit oluşturmaktadır? Kurumda ne olup bitmektedir? Bu olay verilerini gerçek zamanlı olarak analiz etmek mümkün müdür? İşte SIEM çözümleri bu noktada devreye girmektedir ve bugünkü Security Operation Center (SOC) yapısının temelinde SIEM vardır.
SIEM çözümünün kalbi kolerasyon (ilişkilendirme) yeteneğidir. Burada belirlenen kurallara göre alarm oluşturulması, görselleştirilmesi ve güvenlik standartlarının uygunluğunun kontrol edilmesi mümkün olacaktır. Ayrıca olay verilerin saklanması sayesinde adli soruşturmalar için analiz yapmak mümkün olacaktır. Mevzuatlar (GDPR,KVKK,ISO27001,v.b) ve kurumsal standartlara uyumluluk gereksinimleri de SIEM sistemini gerekli kılmaktadır.
SIEM başarıyla uygulandığında kuruluşlara aşağıdaki işlevleri konusunda yardımcı olur:
- Bilinen ve bilinmeyen potansiyel tehditleri ortaya çıkarır,
- Yetkili kullanıcıların faaliyetlerini ve çeşitli kaynaklara ayrıcalıklı erişimini izler,
- Düzenli raporlar oluşturur,
- Olay yanıtını yedekler (IR)
Uç nokta güvenliği (End Point Security) genellikle mobil aygıtlar, dizüstü bilgisayarlar ve masaüstü bilgisayarlar gibi son kullanıcı aygıtları olarak tanımlanan bir ağdaki çeşitli uç noktaları koruma işlemidir.Ancak bir veri merkezindeki sunucular gibi donanımlar da uç noktalar olarak kabul edilir. Kesin tanımlar güvenlik alanındaki düşünce liderleri arasında farklılık gösterir.Fakat temel olarak uç nokta güvenliği bir kurumsal ağa bağlanan aygıtların sunduğu riskleri ele alır.
Akıllı telefon, tablet veya dizüstü bilgisayar gibi herhangi bir cihaz, tehditler için bir giriş noktası sağlar. Uç nokta güvenliği bu giriş noktalarındaki erişim girişimlerini ve diğer riskli aktiviteleri engellemek için bir ağa bağlanan her uç noktayı güvenceye almayı amaçlar. Etkili uç nokta güvenlik önlemlerine duyulan ihtiyaç, özellikle mobil tehditlerin yükselmesiyle önemli ölçüde artmıştır. Çalışanların şirket ağlarına bağlanmak ve iş yapmak için mobil cihazlara, ev bilgisayarlarına ve dizüstü bilgisayarlara ihtiyaç duymasıyla, merkezi bir güvenlik çözümü sürekli değişen ve tanımlanamayan güvenlik tehditleri için artık yeterli olmamaktadır. Uç nokta güvenlik yazılımları, birçok saldırı için giriş noktası ve değerli verilerin dışarı çıkarılması için de çıkış noktası olamsı sebebiyle merkezi güvenlik çözümünün tamamlayıcısıdır. Uç nokta cihazlarda güvenlik standartlarının sağlanması, saldırı ve tehditlerin de erişimden önce engellenmesi sağlayabilir ve firmalara güçlü bir güvenlik kontrolü imkanı verir.
Uç nokta güvenliği yazılımlarını iyi bilinen antivirüs yazılımından ayıran şey, tek tek cihazların ve sunucuların korumasını sağlayan antivirus yazılımlarının aksine, uç nokta güvenliği yazılımları ağı bir bütün olarak korur. Kötü niyetli aktiviteleri uç noktada izleme ve analiz etme şansı vererek firmaların tehditlerden haberdar olmasını ve hızlı aksiyon almasını sağlar.
Uç nokta güvenliği çözümleri aşağıdaki özellikleri sağlayabilir:
- Data Loss Prevention (DLP)
- Insider Threat Protection
- Disk, Endpoint and E-mail Encryption
- Application Whitelisting or Control
- Network Access Control
- Data Classification
- Endpoint Detection and Response (EDR)
- Privileged User Control