BT Yönetiminde Bilgi Sızıntısı ve Ağ Tabanlı Çoklu Protokol Bilgi Sızıntısı Engelleme
-
Upload
burak-oguz -
Category
Technology
-
view
802 -
download
3
description
Transcript of BT Yönetiminde Bilgi Sızıntısı ve Ağ Tabanlı Çoklu Protokol Bilgi Sızıntısı Engelleme
Burak Oğuz <[email protected]>H.Kerem Cevahir <[email protected]>
BT Yönetiminde Bilgi Sızıntısı ve Ağ Tabanlı Çoklu Protokol Bilgi Sızıntısı Engelleme
3. Ağ ve Bilgi Güvenliği Sempozyumu6 Şubat 2010
ABGS / 2010
Giriş
• Dışarıya veri akışının mümkün olduğu her ağda, veri sızıntısı riski bulunmaktadır. Kritik verilerin saklandığı ya da kullanıldığı ağlarda bu riskin önemi daha da artmaktadır.
• Geleneksel güvenlik duvarı yaklaşımları ve çok kullanılan iletişim protokollerinin yetersiz, dolayısıyla güvensiz olması da bu riskin boyutunu arttırmaktadır.
ABGS / 2010
Bilgi Sızıntısı Nedir?
• Bilgi sızıntısı riskinin öneminin anlaşılması için ilk önce kurum ve kuruluşların her gün üzerinde çalıştıkları verinin türünün ve öneminin belirlenmesi gerekmektedir.
Bilgi Tipi Örnek
Müşteri bilgisi Kişisel sağlık bilgilerinin gizliliğiKişisel finansal bilgilerin gizliliğiMüşteri bilgileriSipariş geçmişi
Fikri haklar Ürün tanımları ve tasarım detaylarıPazar araştırmaları
Gizli bilgiler Satış planlarıDağıtım planlarıFinansal planlar
ABGS / 2010
Bilgi Sızıntısı Sonuçları
• Datagate: Bir bilgi sızıntısı olayının ortalama maliyeti 1,82 milyon dolar olarak hesaplandı. – Sayısal veriler hazırlanırken yapılan çalışmada
sadece %23’lük katılım üzerinden hesaplamalar yapılırken, diğer katılımcılar bu tarz olayları takip edebilecek yada kayıpları tespit edebilecek durumda olmadıkları anlaşıldı.
• Surveilstar: Bilgi sızıntısının %77,25’i internet ve ağ uygulamaları üzerinden gerçekleşmektedir.
Referans: http://www.eweek.com/c/a/Security/New-Report-Chronicles-the-Cost-of-Data-Leaks/Referans 2: http://www.surveilstar.com/prevent-data-leakage.html
ABGS / 2010
Bilgi Sızıntısı ve BT Yönetimi
• Bilgi güvenliği kavramı artık bir sonuç olmaktansa bilgi teknolojilerinin yönetimi sırasında riskleri en aza indirmek için bir yöntem olarak ele alınmaya başlanmıştır. Bilgi sızıntısının BT yönetimi içerisinde de önemli bir yeri bulunmaktadır.
ABGS / 2010
Bilgi Sızıntısı ve BT Yönetimi
• Birincil ölçütler– Gizlilik – Bütünlük– Devamlılık
• İkincil Ölçütler– Yasal Uyumluluk– Güvenirlilik
ABGS / 2010
Cobit 4.1 ve Bilgi Sızıntısı
• PO.02 – Bilgi mimarisinin tanımlanması• PO.09 – BT risklerinin değerlendirilmesi ve
yönetilmesi• DS.05 – Sistem güvenliğinin sağlanması• İzleme ve değerlendirme
ABGS / 2010
ISO/IEC 27002 ve Bilgi Sızıntısı
• ISO/IEC 27002, gizlilik, bütünlük ve devamlılık boyutlarını da kapsayan, bilgi güvenliğinin sağlanması amacıyla iyi yapılandırılmış bir kontrol kümesi sunar.
• ISO/IEC 27002’yi, bilgi güvenliğinin sağlanması için amaç olmaktan öte, bilgi güvenliğinin sağlanması için gerekli bir el kitabı ya da menü olduğunu varsaymak daha doğru olacaktır.
ABGS / 2010
Yönetim ile İlgili Diğer Noktalar
Uçbirim bilgi sızıntısı uygulamaları
Ağ tabanlı bilgi sızıntısı uygulamaları
Kullanımda % 44 % 42
Önümüzdeki 12 ayda planlanan
% 16 % 14
İlgilenen % 11 % 13
İlgilenmeyen % 7 % 6
Bilgisi olmayan % 22 % 26
ABGS / 2010
Bilgi Sızıntısının Saptanması ve Engellenmesi
ABGS / 2010
Bilgi Sızıntısının Saptanması ve Engellenmesi
• Bilgi sızıntısının saptanması• Performans• Ölçeklenebilirlik
ABGS / 2010
Örnek Senaryo
• Kullanıcı, 443’üncü port (HTTPS) üzerinden web arayüzü ile bilgi sızıntısı oluşturabilecek bir dosyayı kurum dışına transfer etmeye çalışır.
ABGS / 2010
Örnek Senaryo
• Eğer güvenlik duvarı olsaydı;– HTTPS portunu kapatabilir ya da açabilirdi.
• Eğer web içerik filtreleme yazılımı olsaydı;– HTTPS trafiğini şifrelenmiş olduğu için
inceleyemezdi.
• Eğer IDS/IPS (saldırı tespit sistemi/saldırı önleme sistemi) olsaydı;– Şifrelenmiş veri öngörülemez olduğu için hiç bir
“pattern” veriye uymayacaktı.
ABGS / 2010
Teşekkürler
Sorularınız?