Burak Oğuz <burak@medrateknoloji.com>H.Kerem Cevahir <kerem@medrateknoloji.com>

BT Yönetiminde Bilgi Sızıntısı ve Ağ Tabanlı Çoklu Protokol Bilgi Sızıntısı Engelleme

3. Ağ ve Bilgi Güvenliği Sempozyumu6 Şubat 2010

ABGS / 2010

Giriş

• Dışarıya veri akışının mümkün olduğu her ağda, veri sızıntısı riski bulunmaktadır. Kritik verilerin saklandığı ya da kullanıldığı ağlarda bu riskin önemi daha da artmaktadır.

• Geleneksel güvenlik duvarı yaklaşımları ve çok kullanılan iletişim protokollerinin yetersiz, dolayısıyla güvensiz olması da bu riskin boyutunu arttırmaktadır.

ABGS / 2010

Bilgi Sızıntısı Nedir?

• Bilgi sızıntısı riskinin öneminin anlaşılması için ilk önce kurum ve kuruluşların her gün üzerinde çalıştıkları verinin türünün ve öneminin belirlenmesi gerekmektedir.

Bilgi Tipi Örnek

Müşteri bilgisi Kişisel sağlık bilgilerinin gizliliğiKişisel finansal bilgilerin gizliliğiMüşteri bilgileriSipariş geçmişi

Fikri haklar Ürün tanımları ve tasarım detaylarıPazar araştırmaları

Gizli bilgiler Satış planlarıDağıtım planlarıFinansal planlar

ABGS / 2010

Bilgi Sızıntısı Sonuçları

• Datagate: Bir bilgi sızıntısı olayının ortalama maliyeti 1,82 milyon dolar olarak hesaplandı. – Sayısal veriler hazırlanırken yapılan çalışmada

sadece %23’lük katılım üzerinden hesaplamalar yapılırken, diğer katılımcılar bu tarz olayları takip edebilecek yada kayıpları tespit edebilecek durumda olmadıkları anlaşıldı.

• Surveilstar: Bilgi sızıntısının %77,25’i internet ve ağ uygulamaları üzerinden gerçekleşmektedir.

Referans: http://www.eweek.com/c/a/Security/New-Report-Chronicles-the-Cost-of-Data-Leaks/Referans 2: http://www.surveilstar.com/prevent-data-leakage.html

ABGS / 2010

Bilgi Sızıntısı ve BT Yönetimi

• Bilgi güvenliği kavramı artık bir sonuç olmaktansa bilgi teknolojilerinin yönetimi sırasında riskleri en aza indirmek için bir yöntem olarak ele alınmaya başlanmıştır. Bilgi sızıntısının BT yönetimi içerisinde de önemli bir yeri bulunmaktadır.

ABGS / 2010

Bilgi Sızıntısı ve BT Yönetimi

• Birincil ölçütler– Gizlilik – Bütünlük– Devamlılık

• İkincil Ölçütler– Yasal Uyumluluk– Güvenirlilik

ABGS / 2010

Cobit 4.1 ve Bilgi Sızıntısı

• PO.02 – Bilgi mimarisinin tanımlanması• PO.09 – BT risklerinin değerlendirilmesi ve

yönetilmesi• DS.05 – Sistem güvenliğinin sağlanması• İzleme ve değerlendirme

ABGS / 2010

ISO/IEC 27002 ve Bilgi Sızıntısı

• ISO/IEC 27002, gizlilik, bütünlük ve devamlılık boyutlarını da kapsayan, bilgi güvenliğinin sağlanması amacıyla iyi yapılandırılmış bir kontrol kümesi sunar.

• ISO/IEC 27002’yi, bilgi güvenliğinin sağlanması için amaç olmaktan öte, bilgi güvenliğinin sağlanması için gerekli bir el kitabı ya da menü olduğunu varsaymak daha doğru olacaktır.

ABGS / 2010

Yönetim ile İlgili Diğer Noktalar

Uçbirim bilgi sızıntısı uygulamaları

Ağ tabanlı bilgi sızıntısı uygulamaları

Kullanımda % 44 % 42

Önümüzdeki 12 ayda planlanan

% 16 % 14

İlgilenen % 11 % 13

İlgilenmeyen % 7 % 6

Bilgisi olmayan % 22 % 26

ABGS / 2010

Bilgi Sızıntısının Saptanması ve Engellenmesi

ABGS / 2010

Bilgi Sızıntısının Saptanması ve Engellenmesi

• Bilgi sızıntısının saptanması• Performans• Ölçeklenebilirlik

ABGS / 2010

Örnek Senaryo

• Kullanıcı, 443’üncü port (HTTPS) üzerinden web arayüzü ile bilgi sızıntısı oluşturabilecek bir dosyayı kurum dışına transfer etmeye çalışır.

ABGS / 2010

Örnek Senaryo

• Eğer güvenlik duvarı olsaydı;– HTTPS portunu kapatabilir ya da açabilirdi.

• Eğer web içerik filtreleme yazılımı olsaydı;– HTTPS trafiğini şifrelenmiş olduğu için

inceleyemezdi.

• Eğer IDS/IPS (saldırı tespit sistemi/saldırı önleme sistemi) olsaydı;– Şifrelenmiş veri öngörülemez olduğu için hiç bir

“pattern” veriye uymayacaktı.

ABGS / 2010

Teşekkürler

Sorularınız?