Veri Sızıntısını Önleme

Yetkisiz üçüncü tarafların hassas verilere erişmesini önlemek, bilgisayar ve ağ güvenliğinin temel bir işlevidir. Bu belgede, veri hırsızlığı risklerinin özelliklerini ve verilerin güvenliğini sağlamak için sektördeki en iyi uygulamalardan bahsedilmektedir. Riskleri azaltmak, veri hırsızlığını tespit etmek ve hırsızlıkları ele almak için Google Cloud Platform'daki araçların ve özelliklerin nasıl kullanılacağını açıklar. Mümkün olduğunda, güvenlik tehditleri ve savunma yaklaşımları buluttan bağımsız bir bağlamda tanımlanır. Gelişen yönetmelik ortamı, özellikle 2018'de zorunlu hâle gelen Avrupa Genel Veri Koruma Yönetmeliği (GDPR), veri hırsızlığını önleme mekanizmalarının dağıtılmasına yeniden değinilmesini gerektirmektedir.

Veri hırsızlığını tanımlama

Bu belgede veri hırsızlığı, yetkili bir kişinin verileri ait olduğu güvenli sistemlerden çıkarması ve izinsiz üçüncü taraflarla paylaşması veya güvenli olmayan sistemlere taşıması şeklinde tanımlanır. Yetkili kişiler arasında çalışanlar, sistem yöneticileri ve güvenilir kullanıcılar bulunur. Veri hırsızlığı, kötü amaçlı veya güvenliği ihlal edilmiş işlem gerçekleştirenlerin eylemleri nedeniyle veya kaza sonucu meydana gelebilir.

Veri hırsızlığı riskini azaltmak için kuruluşlar güvenlik bilincini ve en iyi uygulamaları kendi kültürlerine entegre etmelidir. Ayrıca bilgisayar ağları, cihazlar, uygulamalar, veriler ve diğer kullanıcılarla her etkileşimin taşıdığı riskleri tutarlı bir şekilde değerlendirmek zorundadır. Bunun yanında kuruluşlar, en iyi uygulamaların izlendiğini doğrulamak için düzenli aralıklarla denetim yapmaya karar verebilir.

Bulutta veri hırsızlığı riskleriyle karşılaşma

Birçok geleneksel veri güvenliği stratejisi, özel ağların fiziksel çevre savunmasını güçlendirmeye dayanır. Ancak bulut kullanıcıları, hizmetlerinin kullandığı fiziksel ağ altyapısını kontrol etmez. Herkese açık bulutlarda barındırma sağlayıcısının ağ yapısı paylaşılır ve geleneksel anlamdaki çevre yoktur. Bulutta veri güvenliği, yeni güvenlik yaklaşımları ve veri erişimini denetleme yöntemleri gerektirir.

Kıyaslamamız gerekirse herkese açık bulut altyapılarının, veri merkezindeki yaygın donanımlarının kullanılmasını benimsemede sektördeki ilkler arasında olduğunu düşünün. Bu durum donanım arızası oranlarının yükselmesine neden olsa da bu tür arızalardan kaynaklanan hatalar yedeklilik ve akıllı hizmet mimarisi sayesinde en aza indirilir. Böyle bir ortamda, hizmetlerin birkaç hatayı sorunsuz bir şekilde ortadan kaldırabilmesi gerekir. Hizmet mimarileri, donanım ve ağ arızalarına yönelik olarak tasarlanmıştır. Bu mimariler işleme, depolama alanı, kimlik doğrulama ve diğer görevleri birden fazla makine ve coğrafyaya bölerek herhangi bir arıza olayının etkilerini en aza indirir. Verilerinizi güvenceye alırken de benzer bir yaklaşım benimsemelisiniz: Kapalı kalma süresini en aza indirecek bir mimari tasarlayın ve güvenlik ihlali durumunda ihlalin sisteminizin geri kalanını etkilemesini önleyin.

Herkese açık bulut güvenlik modeli, güvenlik konusunda en bilinçli müşterileri memnun etmek için bu düşünceyi benimsemiştir. Google Cloud Platform, Compute Engine sanal makine (VM) örneklerinizin doğrulanabilir bütünlüğünü sağlamak için Korumalı Sanal Makine sunar, bu nedenle örneklerinizin güvenliğinin, başlatma veya çekirdek düzeyindeki kötü amaçlı yazılımlar tarafından ihlal edilmediğinden emin olabilirsiniz. Korumalı Sanal Makinenin doğrulanabilir bütünlüğü; Güvenli Başlatma, vTPM Özellikli Ölçülmüş Başlatma ve bütünlük izlemesi kullanımıyla sağlanır.

Ek olarak, sağlayıcılar bulut tabanlı sanal makinelerde (VM'ler) kullanıcı ve ana bilgisayar etkinliği hakkında telemetri üretmek için özel aracılar dağıtabilir. Bu, Security Operations Center'a (SOC) sıklıkla gelişen güvenlik sınırı içindeki ve çevresindeki faaliyetlere görünürlük sağlar.

Sağlayıcılar ayrıca sanal makine filoları, ağ proxy sunucuları, ağ çıkış sunucuları ve projeler arası ağlarla iletişim için savunma kalesi ana makine gibi açık geçitler sunar. Bu önlemler veri hırsızlığı riskini azaltabilir, ancak tamamen ortadan kaldıramaz.

Kuruluşunuz ayrıca veri hırsızlığı olayları için güçlü bir algılama ve yanıt altyapısı oluşturmalıdır. Doğru bulut altyapısı, riskli veya uygunsuz işlemlerin hızlı bir şekilde algılanmasını sağlar, işlemin "patlama yarıçapını" sınırlar ve veri hırsızlığını gerçekleştiren kişinin fırsat aralığını en aza indirir.

Veri hırsızlığı olay kategorileri

Veri hırsızlığı olayları, yaygın görülen teknolojik, yapısal ve fiziksel özelliklerle sınıflandırılabilir. Sonraki bölümlerde bu kategorilerin bir kısmını inceleyip her birine uygun önleme ve etkilerini azaltma stratejilerini tartışacağız.

Giden posta

Bu senaryoda işlemi gerçekleştirenler, güvenli bilgisayar sistemlerinden güvenilir olmayan üçüncü taraflara veya güvenli olmayan özel sistemlere hassas verileri aktarmak için iş e-postası veya mobil cihazlar gibi yetkili iletişim altyapısı kullanır. Hassas veriler, bir e-postada veya kısa mesajda düz metin olarak iletilebilir veya bir dosya olarak eklenebilir. Bu yöntem genellikle kuruluş e-postalarının içeriğini, takvimleri, veritabanlarını, görüntüleri, planlama belgelerini, iş tahminlerini ve kaynak kodunu çalmak için kullanılır.

Birçok e-posta ve mesajlaşma sistemi taslakları buluta kaydeder, bu nedenle mesaj gönderildiğinde hassas verileri kontrol etmek yeterli değildir. Bir kişi iş e-postasına veya kaydedilmiş taslakları destekleyen başka mesajlaşma hizmetlerine dışarıdan erişebiliyorsa bu özelliği veri hırsızlığı için kullanabilir. İşlemi gerçekleştiren kullanıcı, bir taslağı hassas verilere erişimi olan cihazlardan ve ağlardan kaydederek, ardından taslağa başka bir istemciden erişerek giriş yapma ve denetleme sistemlerinden kaçabilir.

Önleme ve Etkisini Azaltma

Bu senaryo, kuruluşunuz tarafından seçilen ve yetkilendirilen iletişim sistemlerini içerir. Bu da size, özel veya üçüncü taraf araçlarını içeren senaryolara göre veri hırsızlığına karşı güvenlik sağlamak için daha fazla seçenek sunar.

Aşağıdaki önleme ve etkisini azaltma stratejilerinden bazılarını uygulamayı düşünebilirsiniz:

  • Kullanıcıların e-posta ve diğer kurumsal mesajlaşma araçları üzerinden veri iletiminin hacmini ve sıklığını izleyin. Ortalama bir kullanıcı günde ortalama 5 megabayt veri gönderiyorsa 500 megabayt gönderen bir kullanıcının bir uyarı tetiklemesi gerekir.
  • E-posta göndermek için kullanılan adresleri, e-postaların gönderildiği cihazları ve alıcıların adreslerini saklayan bir günlük kaydı tutun. Bunlar, bir veri hırsızlığı olayının yapısını ve kapsamını belirlemenize yardımcı olabilir. Yönetici güvenlik listesi, Gmail Enterprise'daki güvenlik riskleri için bir e-posta hesabının nasıl denetleneceğini açıklar.
  • Yetkisiz içerik barındırmadıklarından emin olmak için hassas verilere erişimi olan sistemlerden gönderilen e-postaları tarayın. Bu işlem, hassas içeriğin anahtar kelimeler veya karmalar gibi işaretçilerle etiketlenmesiyle kolaylaştırılabilir.
  • Örneğin https yerine http'nin kullanıldığı güvenli olmayan kanallardan mesaj gönderilmesini önleyin ve BT güvenlik personelinizi girişimler konusunda uyarın.

Güvenli olmayan cihazlara indirme

Bu durumlar, bir kullanıcı hassas verilere yetkili kanallar aracılığıyla eriştiğinde ve verileri güvensiz bir yerel cihaza aktardığında ortaya çıkar. İşlemi gerçekleştirenler, çalacakları hassas verileri yakalamak için dizüstü bilgisayar, akıllı telefon, harici sürücü, kamera veya özel cihazlar kullanabilir. İşlemi gerçekleştiren, mevcut dosyaları buluttaki hizmetlerinizden indirebilir veya verileri yeni dosyalara kopyalayabilir. Dosyalar denetlenmeyen veya güvensiz cihazlara aktarılırsa hırsızlık riski yüksektir.

Önleme ve Etkisini Azaltma

Bulut tabanlı ağlar bu tür olayların önlenmesinde avantaja sahiptir. Verileri yerel bir cihaza aktarmak için kullanılan birçok yöntem, aktarılabilir ortama fiziksel bir bağlantı gerektirir. Veriler bunun yerine bulutta depolanıyorsa aktarılmadan önce indirilmesi gerekir. Bu indirmeler, barındırma hizmeti ve istemcilerinin güvenlik ve izleme özelliklerine tabidir.

Bu politika ve tekniklerden bazılarını uygulamayı göz önünde bulundurun:

  • Çok hassas verilerin indirilmesini yasaklayın. Verilerinizin bulutta nasıl kullanıldığı ve işlendiğine bağlı olarak kullanıcıların verileri hiçbir zaman yerel donanıma indirmesi gerekmeyebilir. Mümkünse tüm verileri bulutta tutun ve tüm hesaplamaları bulutta yapın. Verilerin indirilmesi teknik olarak mümkünse indirmeleri yasaklayan, hassas verileri sınıflandırıp etiketleyen, güvenli etkileşimler ve API çağrılarıyla istenen ve sunulan verilerin erişim günlüklerini tutan bir politika oluşturun. Ayrıntılar için bkz. Etkinlik Günlüklerini Görüntüleme.
  • Yetkili istemciler ile bulut hizmetleri arasındaki bağlantıları kuruluşunuzun güvenlik politikalarına göre düzenlemek için bir Bulut Erişimi Güvenlik Aracısı (CASB) kullanın.
  • Dosyaları Dijital Haklar Yönetimi (DRM) araçlarıyla sarmalayın. Bu, izinleri algılayan güvenliği ve şifrelemeyi her dosyaya yerleştirir.
  • Hassas bilgiler içeren bilgisayar ekranlarının ekran görüntülerinden veya fotoğraflarından sorumlu kullanıcıyı kaydetmek için yetkili istemcilerinize dinamik filigran uygulayın.

Harici hizmetlere yüklemeler

Önceki etkinlik kategorisi gibi bu kategori de genellikle hassas verilerin yerel altyapıya indirilmesini içerir. İşlemi gerçekleştiren daha sonra verileri bir web tarayıcı istemcisi veya başka bir izlenmeyen yazılım aracılığıyla üçüncü tarafa yükler. Üçüncü taraf hizmetler, işlemi gerçekleştirenin kazara yanlış görüntüleri yükleyebileceği veya yanlış metni yapıştırabileceği sosyal ağ gibi zararsız görünen web siteleri olabilir. Gelişmiş kötü amaçlı yazılımlar, özelleştirilmiş web uygulamalarına URL parametreleri olarak kullanıcı kimlik bilgileri veya şifreleme anahtarları gibi küçük miktarda hassas verileri aktarabilir.

Önleme ve Etkisini Azaltma

Bu tür bir etkinliğin taşıdığı risk, hassas verilerin yerel kopyalanmasına karşı koruma sağlayan, indirmelerdeki aynı politika kısıtlamaları sayesinde azaltılabilir. Ancak bir politika; sosyal medyaya, dosya paylaşımı web siteleri veya diğer bulut hizmetlerine ekran görüntüleri veya kopyalanan metinlerin yüklenmesi riskini ortadan kaldırmaz.

Bu tür risklerle mücadele için göz önünde bulundurulması gereken güvenlik uygulamaları şunlardır:

  • Herhangi bir verinin indirilmesini yasaklayın. Tüm verileri bulutta tutun ve tüm hesaplamaları bulutta yapın. Verilerin güvenli ve kayıtlı API etkileşimleri tarafından talep edilmesini ve sunulmasını gerektirin. Ayrıntılar için bkz. Etkinlik Günlüklerini Görüntüleme.
  • Hassas verilere erişimi olan cihazlara sosyal medya uygulamaları veya yetkisiz tarayıcı eklentileri gibi güvenli olmayan üçüncü taraf yazılımların yüklenmesini önleyin.
  • Bulut erişim noktalarından gelen trafiği düzenlemek ve istemcilere iletilen tüm veriler için şifreleme politikaları uygulamak için bir CASB kullanın.

Güvensiz bulut davranışı

Bulut hizmetlerini kullanmak, BT güvenlik uzmanlarının farkında olması gereken bazı yeni veri hırsızlığı riski kategorileri ortaya çıkarır. Bunlar; çalışanların, kullanıcıların veya yöneticilerin bulut sağlayıcı paketinin özelliklerini güvensiz yollarla kullandığı çeşitli olayları içerir. Sanal makineler isteme veya bunları değiştirme, kod dağıtma ya da bulut depolama veya hesaplama hizmetlerine istekte bulunma yeteneği olan herhangi bir tarafın veri hırsızlığı potansiyeli vardır.

Bulut ağları, herkese açık ön uçlara ve daha geniş internet ile iletişim kurma özelliğine sahiptir. Bulutta çalışan hizmetlerin davranışını güvence altına almak ve yetkilendirmek, veri güvenliği sağlamak için esastır. Yeterli izinlere sahip olan taraflar, hassas verilerin dışa aktarımını başlatabilir, hassas verileri güvenli container'lardan daha az güvenli olanlara taşıyabilir veya bir kuruluş adına yetkisiz bulut hizmetleri oluşturabilir.

Önleme ve Etkisini Azaltma

Bulut hizmetlerinizin güvenli davranışını sağlamak hassas, dar kapsamlı izinler ve kapsamlı günlük kaydı gerektirir. Tarafların hizmetlerinizin arka uçlarına erişmesini mümkün olduğunca yasaklayın. Bir çalışanın veya yöneticinin bir sanal makinede tamamlaması gereken çoğu görev için otomatikleştirilmiş aracılar ile güvenli ve izlenebilir olan ön uç istemcileri bulunur. Bunları, bulut makinelerinize doğrudan SSH erişimi olan kişilerin sayısını sınırlamanın mümkün olduğu yerlerde kullanın. Uygun olduğunda, hassas bilgileri tanımlamak için daha geniş internete gönderilen tüm verileri tarayın. Harici kullanıcılardan veya sistemlerden bilgi işleyen uygulamalarda, Kimlik Bilgileri (PII) gibi hassas verilerin yanlışlıkla toplanmasını, saklanmasını veya paylaşılmasını önlemek için bu bilgileri taramayı göz önünde bulundurun.

Buluttaki sanal makineler için şu güvenlik ilkelerini göz önünde bulundurun:

  • Sanal makineleriniz üzerinde bilinmeyen adreslere giden bağlantıları yasaklayan IP tabloları kurun. Bu, bir aktörün hassas verileri ağınızdan başarıyla aktarma riskini azaltabilir.
  • Sanal makinelerinize genel IP adresleri vermekten kaçının. Gelen ve giden bağlantıları işlemek için bir Ağ Adresi Çevrimi (NAT) hizmeti kullanın. Compute Engine için bu NAT ağ geçidi ayarlama kılavuzunu okuyarak daha fazla bilgi edinin.
  • Diğer ana bilgisayarlara yapılan bağlantılara aracılık etmek ve bunları izlemek için bulutta bir savunma kalesi ana makinesi kullanmayı düşünün.
  • Uzaktan Masaüstü Protokolü (RDP) veya Windows Uzaktan Yönetim (WinRM) aracıları gibi uzaktan yönetim yazılımlarını, bunlara ihtiyaç duymayan makinelerde devre dışı bırakın.
  • Bir alt ağda sanal makine (VM) örneklerini etkinleştirmek için Özel Google Erişimi'ni kullanın ve harici bir IP adresi yerine dahili bir IP adresi kullanarak Google API'lerine ve Hizmetlerine ulaşın.
  • Google Cloud Platform (GCP) sanal ağlarını Cloud Organization'ınızdaki projeler arasında paylaşmak için Projeler Arası Ağ İletişimi'ni (XPN) kullanmayı düşünün.
  • Kritik ve kaçınılmaz ihtiyacı olan kişilerin sanal makinelere doğrudan SSH erişimini sınırlayın. Google Compute Engine, sanal makinelere erişimi kontrol etmek için kapsamlı SSH anahtarı yönetim araçları sunar.

Cloud Storage veya Cloud Bigtable gibi bulut depolama hizmetleri için aşağıdaki uygulamalar hırsızlık risklerini azaltabilir:

  • Kullanıcıların ve uygulamaların verilere erişebilmesi için gereken en dar izin grubunu sağlamak amacıyla Kimlik ve Erişim Yönetimi'ni (Cloud IAM) kullanın. İzinlerin olabildiğince ayrıntılı olmasını sağlamak için verileri farklı container'larda, farklı hassaslık ve erişim gereksinimleriyle saklayın.
  • Depolama alanı kaynaklarınızdan verilerin okunma hızını izleyin ve sınırlandırın. Normal kullanım alanında beklenenden çok daha fazla veri taşıma girişimi olursa güvenlik ekibinizi uyarmak için izleme aracıları kullanın.
  • Çok hassas verilere geçici izinler verin ve sıklıkla gözden geçirme ve iptal işlemlerine tabi tutun. Örneğin, App Engine kotaları burada yararlı olabilir.
  • Gerçek kişilerden oluşan bir ekibin çok hassas container'lara erişimi olan kullanıcıları düzenli olarak denetlemesini sağlayın.
  • Depolama alanı hizmetlerinize tüm erişimlerin kapsamlı kayıtlarını tutun. Depolama alanı hizmetlerine erişmesine izin verilen kişilerin, günlüklere erişen kişilerden farklı olması istenir. Bu, kötü niyetli kişilerin kayıtlarla oynama riskini azaltır. Günlük verilerini ayrı bir depolama alanı grubuna yazmak için Cloud Storage erişim günlüğü yardımcı programlarını kullanmayı düşünün.
  • Cloud Storage için daha kapsamlı güvenlik en iyi uygulamaları kullanılabilir.

Güvenlik politikalarına uygunluk sağlama

Google Cloud Platform'un (GCP) sağladığı zengin altyapı, müşterilerin ihtiyaçlarına yönelik çözümler geliştirmeleri için birçok fırsat yaratır. Zengin altyapı, aynı zamanda bir kuruluştaki farklı projeler arasında istenen güvenlik politikalarını uygulamak gibi yeni zorluklar da getirmektedir. Güvenlik yönetimini basitleştirmek için GCP, tüm kaynakların içinde bulunduğu varlıklar hiyerarşisini sundu. Bu hiyerarşiye, Kuruluşlar konseptinde kök erişim izni verilmiştir. Kuruluşlar isteğe bağlı olarak klasörler veya projeler içerebilir. Klasörler isteğe bağlı olarak alt klasörler veya projeler içerebilir. Tüm GCP Hizmeti kaynakları bir projeye aittir.

Kuruluş -> Klasör -> Proje -> GCP Hizmeti -> Kaynak hiyerarşisini kullanarak güvenlik politikaları hiyerarşinin herhangi bir seviyesine ayarlanabilir ve hiyerarşinin alt seviyelerine devredilir. Güvenlik politikaları, kaynak hiyerarşisinde yukarıdan aşağıya doğru değerlendirilir ve bir "izin ver" yanıtı alındığı anda, kaynağa erişim sağlanır.

Uygunluk sağlama

Kaynak hiyerarşisini kullanma ve güvenlik politikalarını devralma, istenen güvenlik politikalarının aynı şekilde takip edilmesini sağlamak için denetimi kolaylaştırır. Devralma özelliği sayesinde yöneticiler, örneğin, tüm projelerin verilerini incelemesi için aynı denetçi grubuna izin vermesini sağlayabilir. Bunu, Kuruluş düzeyinde böyle bir güvenlik politikası izleyerek ve asla daha düşük bir düzeyde geçersiz kılmadan gerçekleştirir. Bu güvenlik politikaları, yazılım denetimi etkinliklerinde belirtilir ve doğrulamaları otomatikleştirilebilir.

Hassas verileri tanımlama ve çıkarma

Hassas verileri yönetmedeki ilk adımlardan biri verilerin nerede olduğunu bilmektir. Bir kez tanımlandıktan sonra, uygun erişim/işleme sağlamak için erişim denetimi ayarlama ile verinin düzenleme, maskeleme veya kimlik gizleme yoluyla hassaslığını azaltma amaçlı teknikler kullanma konusunda daha donanımlı olursunuz. Veriler yeniden düzenlendikten sonra, belirli bir vatandaşlık numarası, geçerli bir kredi kartı numarası veya Kimlik Bilgileri (PII) gibi hassas yapısını iletmeyi bırakır.

Büyük miktarlardaki çeşitli verilerin yeniden düzenlenmesi konusundaki geleneksel zorluk; tanınma, sınıflandırma ve uygun yeniden düzenleme işlemlerini otomatikleştirme gereksinimidir. Veri alanlarındaki içeriğin otomatik bir şekilde sonuca varması için sistem desteğine sahip olunmasıyla bir gelişme sağlanabilir. Rastgele veri akışlarında sunulan bu otomatik görünürlük seviyesi; uygulamaların hangi verilerin hangi uç noktalara aktarılacağına, hangi sistemlerin yönetilmekte olan farklı türdeki verileri saklamak için kullanılacağına ve belirli türdeki verilerin iletilmesi konusunda ne zaman uyarı verileceğine karar vermesine olanak tanır.

Önleme ve etkisini azaltma

Google Cloud'da Veri Kaybını Önleme (DLP), hassas verileri anlamanızı ve yönetmenizi sağlar. Kredi kartı numaraları, adlar, vatandaşlık numaraları, pasaport numaraları, ABD ile seçili uluslararası sürücü belgesi numaraları ve telefon numaraları gibi hassas veri öğeleri için hızlı, ölçeklenebilir sınıflandırma ve isteğe bağlı düzeltme sağlar. Cloud DLP; metin, yapılandırılmış veriler ve görüntüleri destekler. Verileri Cloud DLP'ye veri göndermeniz veya Google Cloud Storage, BigQuery ve Cloud Datastore örneklerinizde depolanan verileri belirtmeniz yeterlidir. Cloud DLP'den elde edilen bulgular, Kimlik ve Erişim Yönetimi (Cloud IAM) ayarlarının, veri yerleşikliği veya diğer politikaların yapılandırmasını otomatik olarak izlemek veya bilgilendirmek için kullanılabilir. Cloud DLP, hassaslığı azaltmak veya en az ayrıcalıklı ya da bilinmesi gereken bir politikanın parçası olarak minimum veri (toplama) konusunda yardımcı olmak için bu verilerin belirli bölümlerini yeniden düzenlemenize veya maskelemenize yardımcı olabilir. Kullanılabilir teknikler arasında maskeleme, biçimi koruyan şifreleme, jetona dönüştürme ve yapılandırılmış ya da serbest metin verilerini paketleme yer alır.

Yetkisiz yöneticiler

Tasarım gereği çoğu bilgisayar sistemi, belirlenen yöneticilere denetlenmeyen güç sağlar. Kötü amaçlı veya güvenliği ihlal edilen yöneticiler, bu belgede açıklanan senaryoları gerçekleştirmek için yeterli izne sahip olur. Ayrıca, günlükleri ve eylemlerinin kanıtlarını yok etme konusunda en büyük güce de onlar sahiptir. Bu riskleri azaltmak için ağınızın parçaları üzerinde güç ve yetki ayrımı uygulamanız ve yöneticilerin birbirlerini izlemesini sağlamanız gerekir.

Önleme ve Etkisini Azaltma

Herhangi bir tarafın yetkisinin sınırlandırılması, yetkisiz bir yöneticinin ortaya koyduğu risklerin azaltılmasında esastır.

Yöneticiler, atanan görevlerini yerine getirebilmek için verileri çalma fırsatına sahip olur; ancak bu tür olayların kapsamını ve büyüklüğünü azaltmak için aşağıdaki ilkeler uygulanabilir:

  • Yöneticilerin eylemlerini erişemedikleri bir yerde günlüğe kaydederek büyük bir ağı, yöneticilerin görevini kötüye kullanmasına karşı güvende tutun. İzleme ve günlüğe kaydetme hizmetlerini yönetmek için ayrı bir güvenlik ekibi kullanın.
  • Tüm yönetici erişimini kısa bir sona erme süresiyle geçici kılmayı göz önünde bulundurun. Birçok ağda, yöneticilerin sürekli erişime ihtiyacı yoktur.
  • İdari işlemleri onaylamak için birden fazla kullanıcının iznini gerektirin. Tüm idari işlemleri onay gerektiren kaynak kod gibi ele alarak tek bir kullanıcının ortaya koyduğu riskleri azaltabilirsiniz.

Çalışan fesihleri

Carnegie Mellon Üniversitesi Yazılım Mühendisliği Enstitüsü'ndeki Bilgisayar Acil Müdahale Ekibi (CERT) 2011 yılında, yakın zamanda işten çıkarılmayı bekleyen çalışanların veri hırsızlığı yapma olasılıklarının daha yüksek olduğunu gösteren bir çalışma hazırladı. Çalışanın işten çıkarılma işleminin bekletilmesi, BT güvenlik ekiplerinin ekstra dikkat etmesini gerektiren yüksek riskli bir dönemdir.

Önleme ve Etkisini Azaltma

Çok hassas veriye sahip ağlar için günlüğe kaydetme ve izleme sistemlerini, yakın zamanda gerçekleşecek olan bir işten çıkarma eylemini kaydeden ve güvenlik ekiplerinin bu kullanıcıların yaptığı anormal davranışları uyarması için daha koruyucu eşikler belirleyen İK yazılımlarına bağlamayı düşünebilirsiniz.

Sonuç

Esneklik, maliyet tasarrufu ve genel bulut altyapısını kullanmanın gücü, verileri hırsızlığa karşı korumak için yüksek hassasiyet ve yeni yaklaşımlar gerektirir. Kuruluşunuzun politikalarını ve uygulamalarını, bu makalede açıklanan teknikleri kullanarak çevreyi hesaba katacak şekilde oluşturabilirsiniz:

  • Verilerin bölmelere ayrılması yoluyla veri hırsızlığı olaylarının "patlama yarıçapını" en aza indirin.
  • Sorumluluğu artırmak için sistem yöneticisi iş akışlarında yedeklilik ve onaylamalar oluşturun.
  • Ayrıntılı izinler kullanın ve yalnızca yaptığı işin gereği ihtiyaç duyanlar için hassas verilere erişim verin.
  • Kuruluşunuzdaki verilere erişim ve veri hareketleriyle ilgili şeffaflığı artırmak için günlük kaydı kullanın.
  • Ağ kuralları, kimlik ve erişim yönetimi (Cloud IAM) ve savunma kalesi ana makineleri kullanarak kuruluşunuzdaki makinelere girişi ve çıkışı sınırlandırıp izleyin.
  • Erişilen veya aktarılan veri miktarları ve anormal davranışların karşılaştırılacağı coğrafi erişim konumları gibi normal veri akışları için bir referans oluşturun.

Sonraki adımlar

Bu sayfayı yararlı buldunuz mu? Lütfen görüşünüzü bildirin:

Şunun hakkında geri bildirim gönderin...