TREND MICRO VE iDLP

TREND MICRO VE iDLP

DLP (veri sızıntısı Engelleme) modülünü devreye alabilmemiz için asagida maddelerin üzerinden geçmemiz gerekmektedir

Öncelikle Trend Micro iDLP Hangi Kontrolleri Yapmaktadır ?

Keyword, File Type ve RegEx Bazlı kontroller yapabilmekteyiz

DLP de politika yazarken bu 3 Kontrolü baz almaktayız.

Tabi bu noktada detayları bilmek ve Regex, Keyword ya da FileType özelliklerini nasıl kullanabilirim ile ilgili kısa bilgilendirme yapmak istiyorum.

Regex Nedir ?

Regular Expression olarak açabiriz, en basit örnek olarak TC Kimlik Numarası, vergi numarası yada kredi Kartı numaraları örnek gösterilebilir, burada amaç belli bir pattern’e uyan numaraların tespitini

Yapmaktır. Birçok kurumun ürün numaraları (Product Number) , müşteri numaraları ya da stok numaraları gibi Veritabanında tuttuğu bilgiler bulunmaktadır. bu bilgileri DLP sistemine tanıtıp sızan kritik verilerin kontrolünü yapabiliyoruz.

Aşagida TC kimlik numarasının nasıl bir pattern’i olduğunu iletiyorum ve bu mantığı Regex üzerinden DLP sistemine tanıtabilmemiz mümkündür. Tabi TC Kimlik No’yu Trend Micro’ya tanıtılmasına gerek yoktur çünkü hazır politika şablonlarında zaten gelmektedir.

T.C. Kimlik numaraları herkesin bildiği üzere 11 basamaktan oluşur . İlk 9 basamak arasında kurulan bir algoritma bize 10. basamağı verir .  İlk 10 basamak arasında kurulan algoritma ise bize 11. basamağı verir .

  • İlk hane 0 olamaz.
  • 1 , 3 , 5 , 7 ve 9’uncu hanelerin toplamının 7 katından ; 2 , 4 , 6 ve 8’inci hanelerin toplamı çıkarıldığında , elde edilen sonucun 10’a bölümünden kalan bize 10’uncu haneyi verir .
  • 1 , 2 , 3 ,4 , 5, 6 , 7 , 8 , 9 ve 10 ‘uncu hanelerin toplamından elde edilen sonucun 10’a bölümünden kalan ise bize 11’inci haneyi verir.

FILE TYPE Nedir ?

Trendmicro DLP bünyesinde döküman tipi bazlı kontrol yapılabilmektedir, özellikle şirketlerin AR-GE departmanları geliştirdikleri yazılım, çizim, patent dosyaları, veritabanı dosyaları, tasarımlar, strateji Dökümanları gibi kritik Varlıkların Kullanıcı bilgisayarlarından sızması durumunda tespit ve engelleme yapılabilmektedir,

Çizim yapan bir şirketi ele alırsak, Autocad ve Corell gibi uygulamalar vasıtasıyla geliştirilen tasarımların nereye gönderildiğini ya da hangi kanalla gönderildiğini kurumlar görmek istemektedirler, DLP ile kimin, nereye , hangi kanal üzerinden (http, https, Email, Print, Filesharing)

Hangi Dökümanı gönderdiğini Tespit Edebilir ve Forensic Data (Adli Data) Olarak sızan dökümanın kendisini Control Manager vasıtasıyla Admin’e Gösterebiliriz. Yani Admin X kullanıcısının Hangi Veriyi Sızdırmaya çalıştığını Görebilir.

Control Manager üzerinde Uzun vadede performans sorunu yaşanmaması için Post Edilen verilerde yakalanacak olan Adli dataya sınırlamalar konmasını öneriyoruz. Detaylı Bilgiyi OfficeScan Admin Guide’ında Bulabilirsiniz.

http://docs.trendmicro.com/all/ent/officescan/v11.0/en-us/osce_11.0_ag.pdf

KEYWORD

Belli anahtar kelimeleri DLP sistemine tanıttıktan sonra, Kullanıcıların Bilgisayarları dışına post ettikleri dökümanların ya da gönderdikleri emaillerin içinde ilgili anahtar kelimelerin  olup olmadığının tespiti yapılır. DLP ye tanıtacağınız anahtar kelimeler unique değerde olmalıdır. Bir örnek vermek gerekirse ;  Kurumların bir sonraki yıl yapacağı gizli proje isimleri ve bununla ilgili yazışmaları takip edilebilir.

Buradaki kontrol kelime bazlı olduğundan dlp sistemine aktarılan kelimenin Önemli , bütün yazışmalarda geçmeyecek, false alarm üretmeyecek bir kelime olması beklenir.

Bu sebeple keyword olarak isim yazılması yerine

Isim + Soyisim + TC Kimlik No Gibi bir kural

Daha Spefifik Logları Görüntülememizi Sağlayacaktır.

DLP Sistemi canlı bir sistem olduğundan sürekli olarak guncel veriler ile beslenmelidir. Bu sebeple belirtilen politikalar belli aralıklarla guncellenmeli, yeni datalar eklenmelidir, bunun tespiti için kurumlar kendi iç departmanları ile görüşerek her departmanın istekleri görüşüldukten sonra dışarıya sızması kritik teşkil edecek olan veriler DLP ye tanımlanabilir.

Demo öncesi Politikaların uygulanması için istediğimiz Argümanlar

  • Ar-Ge Ekibinin Takibi İçin izlenecek Keyword’ler ya da Belli Döküman Tipleri
  • Finans Bölümü için dışarıya sızan kredi kartları – WebMail- USB Gibi kanallardan

Not : Finans Bölümündeki kullanıcıların Corporate Email Hesabı Uzerinden gönderdikleri Kredi kartı bilgilerine Keyword ve Dosya uzantısı ya da RegEx Politikalarının And ya da Or Yapılması Öneriyoruz.

  • Bu Mantık Diğer Departmanlar için de geçerlidir. Finans Departmanının işi zaten finansal bilgiyi post etmek oldugundan Açacagımız Yanlış DLP politikası yüzlerce logun gelmesini sağlayacak ve bunların büyük Çoğunluğu standart iş akışını yakalamak olacaktır.
  • Hangi Departmanı Kim Audit Edecek, Notifikasyonlar Hangi Departman Müdürlerine Gidecek ?
  • Ekran Görüntüsünün Engellenmesi Talep Ediliyor mu ?
  • Removable Media Yani Harici Cihazların kontrolü Nasıl Yapılacak ?
  • Kurum İçinde Belli USB cihazlara izin Verip Sadece Kritik verilerin Bu cihazlara transferinin yapılmasını Talep Ediliyor mu ?
  • Client’lar PCMCIA, Blutooth, Mobil Cihazlar ve Diğer Harici Cihazlara Erişim Sağlayacak mı ?
  • Kurum İçerisinde Belli Ürün Numarası, Müşteri Numarası, ya da buna benzer belli bir Pattern’i olan Numaralar Var mı ?
  • Hangi Departmanda Hangi Kanallar Daha kritik, Yada Belli İstisnalar Yapılacak mı ?
  • Özellikle Mail Kanalı üzerinden iç yazışmalarda post edilen Verilerin Kontrol Edilmesi isteniyor mu ?

Trend Micro’nun Diğer Çözümleri ChannelDLP yapısı ile çalışmaktadır. Bu sebeple IMSVA, SMEX, IWSVA , IM Security çözümleri üzerinde Web, Email ve IM (Instant Messaging) kanallarında client’a gerek olmadan DLP kontrolü Yapılabilir. Eğer Kullanıcımızda ilgili Çözümler Yok ise Client üzerindeki Kontrol Yeterli Olacaktır.

Son Olarak Bütün Bunların Dışında DLP çözümü hazır şablonlar ile gelmektedir. 100 ün üzerinde önceden tanımlanmış Kural Listesi Vardır.

Kredi Kartı Numaraları, IBAN Numarası, Adres Bilgisi, TC Kimlik No,

Email Adresi Bilgisi, Vb gibi birçok Farklı Ülkenin Bankacılık Standartlarını da içeren kural listesini Bulabilirsiniz.

Ek olarak DLP’yi bir penetrasyon aracı gibi kullanmak DLP’nin Motivasyonuna Aykırı olacaktır. Geçenlerde bir kullanıcımız Hocam DLP’yi atlattım diye heyecanla arayınca verdiğim cevap Şu şekilde Oldu.

Bu zaten bilinen bir durum, bunun gibi DLP sistemini Bypass edebileceğiniz onlarca metod var, onlarcası daha üretilebilir. DLP’nin Kuruma katkısı Kullanıcılardaki Veri sızıntısı farkındalığının artması yönünde olacaktır. Kullanıcılara Gönderilen Notifikasyonlar ya da Admin’in Yapacagı uyarılar kurum içinde Bilgi Güvenliği Konseptinin oturmasına yardımcı olacaktır. Tabi Burada kafayı kırmış ve veri sızdırmayı hedefleyen kullanıcıya DLP kontrolü sadece Alanı daraltmak ile örneklendirilebilir.

Şu Gerçeği Unutmayalım ; Tilki Avcıdan Her zaman Daha Fazla Yol Bilir.

Share

Mersin’de doğdu. 2000 yılında Mersin Eskrim Kulübünde, ‘eskrim sporuna’ başladı. Türkiye 2.’si olarak Türkiye Milli Takımı’na seçildi. 4 yıl boyunca Türkiye’yi eskrim sporunda uluslararası arenada temsil etti. Bu süreçte Balkan 3.’sü oldu. Girne Amerikan Üniversitesi Bilgisayar Mühendisliği’nden mezun oldu. Kuzey Kıbrıs Türk Cumhuriyeti’nde çeşitli kurumlara üç yıl boyunca masaüstü yazılım geliştirdi. Nethouse firmasında “Network Uzmanı” olarak görev aldı. Bilişim dünyasındaki kariyerine Türkiye’nin ağ güvenliği distribütörlerinden İnfonet’te “Bilgi Güvenliği Uzmanı” olarak devam etti. “Web – Data – Email Güvenliği” konularında çeşitli kurum ve kuruluşlara eğitimler verdi. 2013 Mart ayı itibari ile “Sistem Mühendisi” olarak Trend Micro’da göreve başladı. Halen Trend Micro Kanal Geliştirme Müdürü olarak görev yapmaktadır. Ayrıca; Çözümpark ve Trend Micro blog sayfalarında teknoloji yazarlığı yapmaktadır. Genç Girişimciler Derneği’nin Yönetim Kurulu’nda 2 yıldır ‘Girişimcilik ve Sosyal Sorumluluk Projeleri’nde yeralmaktadır. Bilgi Güvenliği Uzmanı olan Dağdevirentürk, Milli Eskrim Sporcusu olarak da birebir eskrim dersi vermeye devam etmektedir. SUBSCRIBE NEWSLETTER Siteme Abone Olmak İsterseniz, E-mail Adresinizi Yazabilirsiniz SUBSCRIBE Mersin’de doğdu. 2000 yılında Mersin Eskrim Kulübünde, ‘eskrim sporuna’ başladı. Türkiye 2.’si olarak Türkiye Milli Takımı’na seçildi. 4 yıl boyunca Türkiye’yi eskrim sporunda uluslararası arenada temsil etti. Bu süreçte Balkan 3.’sü oldu. Girne Amerikan Üniversitesi Bilgisayar Mühendisliği’nden mezun oldu. Kuzey Kıbrıs Türk Cumhuriyeti’nde çeşitli kurumlara üç yıl boyunca masaüstü yazılım geliştirdi. Nethouse firmasında “Network Uzmanı” olarak görev aldı. Bilişim dünyasındaki kariyerine Türkiye’nin ağ güvenliği distribütörlerinden İnfonet’te “Bilgi Güvenliği Uzmanı” olarak devam etti. “Web – Data – Email Güvenliği” konularında çeşitli kurum ve kuruluşlara eğitimler verdi. 2013 Mart ayı itibari ile “Sistem Mühendisi” olarak Trend Micro’da göreve başladı. Halen Trend Micro Kanal Geliştirme Müdürü olarak görev yapmaktadır. Ayrıca; Çözümpark ve Trend Micro blog sayfalarında teknoloji yazarlığı yapmaktadır. Genç Girişimciler Derneği’nin Yönetim Kurulu’nda 3 yıldır ‘Girişimcilik ve Sosyal Sorumluluk Projeleri’nde yeralmaktadır. Bilgi Güvenliği Uzmanı olan Dağdevirentürk, Milli Eskrim Sporcusu olarak da birebir eskrim dersi vermeye devam etmektedir.

Comments

  1. Gerçekten çok faydalı bir bilgi olmuş çoğumuz bu bilgilerden habersiz kalıyoruz. Sizin gibi değerli insanların paylaştığı bilgiler ile bilgileniyoruz. Çok teşekkür ediyorum.

    • Merhabalar,

      Sitemdeki inbox sorunundan dolayı şimdi dönüş yapıyorum. Geç geridönüş için kusura bakmayın lütfen.
      bu tarz sektör bilgilendirmelerine devam edeceğim. Dünyadaki en kıymetli bilgi ve tecrübenin paylaşılmasıdır.
      Bu yolda paylaşımlara devam edeceğiz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir