Uç nokta güvenliği

Uç nokta cihazları bir kurumsal ağa bağlanan, o ağ içinde etkileşimde bulunan bilgisayarlar, akıllı telefonlar ve yazıcılar dahil tüm cihazlardır. Kurumların sahip olduğu ve bu uç noktalarda işlenen veriler kurumun en önemli varlıkları arasındadır ve korunması gereklidir.

Uç nokta güvenliğinin en önemli bileşenleri arasında Veri Kaçağı Önleme Sistemi (DLP) ve Son Kullanıcı Tespit ve Yanıt (EDR) çözümleri yer almaktadır. DLP, bilgi sistem ağlarında bulunan gizlilik dereceli verinin korunması için kullanılan ve temel kullanıcı işlem kontrollerini barındıran çözümler içermektedir. İç tehditlere odaklı olan DLP uç nokta güvenliği için yeterli değildir. Gelişmiş teknik ve yöntemleri kullanan saldırılara karşı, yalnızca güvenlik için uyarılar oluşturmak yerine, kötü niyetli etkinlikleri tespit edebilecek ve engelleyecek yaklaşımlara da ihtiyaç duyulmaktadır. Bu noktada EDR çözümleri karşımıza çıkar. Bu çözümlerle uç noktalar sürekli izlenmekte, kayıt altına alınmakta, şüpheli etkinlikleri ve diğer sorunları araştırıp tespit etmeye odaklanılmaktadır.

BİLGEM SGE tarafından geliştirilen uç nokta güvenliği ürününe, ortak yönetim paneli ve uç noktada kurulan bir ajan yazılımı aracılığıyla DLP ve EDR yetenekleri kazandırılmış; böylece hem harici, hem de dâhili tehditlere karşı çözüm sunulmuştur. Çözümde, öncelikli olarak, kullanıcı hareketlerine göre veri elde edilir. Ardından, verinin içeriği incelenip analiz edilir ve her kurum için özel olarak belirlenen politikalarla karşılaştırılır. Analiz edilen veri politikaya göre hassas olarak sınıflandırılırsa işlem engellenir (Şekil 1).

Uç Nokta Güvenliğinde Kullanılan Veri Tipleri

Veri herhangi bir ölçüm, sayım, deney, gözlem vb. bir yöntem ile elde edilen bilgi parçacığına verilen isimdir. Veri, teknolojinin insan hayatına girmesi ile birlikte günden güne önemi artan bir kavramdır. Günümüzde verinin dijital olarak hızlı bir şekilde işlenebilmesi ve silikon tabanlı donanımların hesaplama kabiliyetinin gelişmesi ile verilerin anlamlandırılması ve kullanılabilmesi kolaylaşmıştır. Sosyal medyanın yaygınlaşması, elektronik ticaret hizmetlerinin çoğalması ve birçok sektörün dijital dönüşümüyle birlikte veri alışverişi ve güvenliği oldukça önemli bir kavram haline gelmiştir. Dijital veriler işlenmeyi ve güvenlik sağlamayı kolaylaşmak için sınıflandırılmaktadır. Veriler, örneğin, Kullanılan Veri (Data in Use), Hareket Halinde Veri (Data in Motion) ve Durağan Veri (Data at Rest) olarak sınıflandırılabilir.

Durağan Veri bellekte veya transfer halinde olmayan veridir. Bilgisayarlarda depolama kapsamında kaydedilen birçok veri bu kategoridedir. Bir veri tabanında bulunan bir tablo, ağ sunucusunda yer alan bir doküman, fiziksel depolama aygıtlarında yer alan herhangi bir dosya bu kapsamda örnek olarak gösterilebilir. Bu durumda veri işleme yapılmaz. Veri durağan haldedir ve CPU tarafından kullanılmamaktadır.

Durağan verinin güvenliğinin sağlanabilmesi için verilerin şifrelenmesi, son kullanıcı koruma ürünlerinin (EDR, DLP) kullanılması, hiyerarşik şifre kullanımlı koruma, güvenli depolama ve verilerin dış ağda saklanması gibi çözümler uygulanmaktadır.

Hareket Halinde Veri (Data in Motion veya Data in Transit) aktif bir şekilde iletilmekte olan veri çeşididir. Bu veri bilgisayarın RAM’inde bulunur ve işlenmek için hazırdır. Ağ veya bulut sistemlerinde paylaşılan dosyalar da bu kategoridedir. Araya girme teknikleri ile verilerin açık bir şekilde izlenebilmesinin önüne geçmek ve olası bir veri kaybını önlemek için veri iletişiminin şifreli olması gerekmektedir.[2]

Kullanılan Veri (Data in Use) aktif bir şekilde işlenen veridir. Bu işleme sırasında bellekteki veri kullanılmakta ve herhangi bir güvenlik önlemi alınmamışsa açık bir şekilde görüntülenebilmektedir. Bu nedenle şifreleme gibi teknikler ile hassas içerikli bellek bölgelerinin korunması oldukça önemlidir. Ayrıca veriyi kullanan yazılım servisleri de kendi aralarındaki veri iletişimini yürütürken güvenli haberleşme esaslarına göre hareket etmelidir. Ek olarak, kimlik doğrulama ve yönetimi tekniklerinin de uygulanmasıyla verinin güvenliği büyük ölçüde sağlanabilmektedir.

Bu verilerin güvenliği için son kullanıcıya yönelik güvenlik ürünlerinin kullanılması da önemli çözüm yaklaşımlarındandır. Çeşitli kanunlar (KVKK, GDPR vb.) bu uygulamaları desteklemektedir. Siber Güvenlik Enstitüsü olarak geliştirilen DLP çözümü, verilerin güvenliğinin son kullanıcıda sağlanabilmesi ve bu alanda ulusal bir ürün geliştirilmesi hedefi ile ortaya çıkmıştır. Kamu ve özel kurumlardan gelen ek gereksinimler doğrultusunda geliştirilmesine devam edilen bir altyapıdır.

BİLGEM SGE Uç Nokta Güvenliği

Sistemi Kurum için hassas olarak belirtilen verilerin takibi için BİLGEM SGE olarak geliştirilmekte olan ürünümüzün özellikleri kısaca şöyle özetlenebilir: Genel olarak, kullanıcı işlem yaptığında bu işlem modüllerde, yani veri kontrol kanallarında incelenip gelen veri anlamlandırılır (kullanıcı davranışı analizi), tespit motoru bu veri için politika kontrolü yapar ve dönen cevaba göre kayıtlar yönetim merkezinde tutulur (Şekil 2). Ayrıca kullanıcı hareketlerine bakmadan, işletim sisteminde gerçekleşen olaylar da yakalanır ve raporlanır.

Kullanıcı Davranışı Analizi

Ajanın yüklü olduğu istemci bilgisayarda kullanıcı hareketleri takip edilip, bu hareketler kurum tarafından belirlenen politikalar üzerinden kontrol edilerek, herhangi bir politikayı ihlal eden bir durum varsa yapılan işlem ilgili modülde engellenmektedir:

Dosya Erişimi Kontrol Modülü: Uç noktalarda, kullanıcının herhangi bir dokümana erişmesi sırasında, işletim sistemi tarafında geliştirilen sürücü yazılımı ile bu işlem duraklatılır. Doküman incelenerek kurum politikalarına uymayan hassas bir içeriğe erişim sağlanıp sağlanmadığı kontrol edilir. Hassas veri tespiti durumunda uyarı verilerek kullanıcının dosyayı görüntülemesi engellenir ve bu durum işlem yönetim merkezine raporlanır.

Ekran Görüntüsü Kontrol Modülü: Uç nokta cihazlarında, kullanıcının klavyeden veya herhangi bir program aracılığıyla ekran görüntüsü almasını kontrol eden modüldür.

Pano Kontrol Modülü: Kurum için hassas veri içeren ve kopyalanmaması gereken içeriklerin kontrolü pano kontrol modülünde yapılır. Eğer kullanıcı hassas bir kelimeyi kopyalamayı denerse işlem engellenir.

Yazıcı Kontrol Modülü: Kurum için hassas veri içeren belgelerin yazıcıdan çıktılarının alınması engellenmektedir. Kullanıcı hassas bir veriyi dosyaya kaydedip çıktısını almayı denediğinde de çıktı alma işlemi engellenir.

Harici Disk Kontrol Modülü (HDKM): Hassas veri içeren dosyaların çıkarılabilir depolama cihazlarına kaydedilmesi engellenmektedir. Son kullanıcı bilgisayardan çıkarılabilir bir depolama cihazına çeşitli uygulamalar kullanarak dosya gönderebilir. Dosya hassas veri niteliğindeyse, henüz çıkarılabilir depolama cihazına yazılmadan işlem HDKM tarafından durdurulur. Gerekli politikanın tanımlanması durumunda harici diske dosyalar şifreli olarak gönderilebilir. Bu durumda da yalnızca ajanın yüklü olduğu bilgisayarlar şifreli dosyayı çözebilir. HDKM NTFS, FAT ve exFAT dosya sistemlerini destekler. İstemciye bir USB depolama cihazı takıldığında, HDKM çekirdek yazılımı sayesinde bunu tespit edip, USB üretici numarası, ürün numarası ve seri numarası bilgilerini bulur. Eğer bu bilgiler herhangi bir politikayı ihlal ediyorsa, harici cihazın işletim sistemine dahil olması yazılımsal olarak engellenir.

Ağ Dosya Paylaşımı Kontrol Modülü: Bu modül, kurum ağında bulunan riskli konak bilgisayarların kurum için hassas veri niteliği taşıyan dosyalara erişimini engeller. Sistem yöneticileri tarafından yönetim merkezinde, kurumun etki alanı ile ilgili konfigürasyon yapılır. Ajan, ağ üzerindeki dosya trafiğini izlemek için politikada yer alan etki alanı konfigürasyonundan faydalanır ve dosya paylaşımını tespit etmek için geliştirilen çekirdek yazılımını kullanır. Bazı riskli konak bilgisayarlar şunlardır:

· Kurum etki alanında olmayan istemciler (misafir konak bilgisayarlar) ve kullanıcılar.

 · Kurum etki alanında bulunup kısıtlı kullanıcı grubuna üye olan istemciler veya kullanıcılar.

· Kurum etki alanında bulunup kısıtlı kullanıcı gruplarına üye olmayarak riskli kabul edilen istemciler veya kullanıcılar.

İşletim Sistemi Olay Takibi

Uç nokta cihazında, kullanıcı davranışlarının analiz edilmesine ek olarak, işletim sisteminde meydana gelen olaylar yakalanmakta ve raporları oluşturulmaktadır:

√ Yeni bir işlem başlatılması veya durdurulması,

√ Servis başlatılması, durdurulması veya kurulması,

 √ Program kurulması, kaldırılması veya güncellenmesi,

√ Kullanıcı ile ilgili olaylar (kullanıcının aktif/pasif edilmesi veya kilitlenmesi/açılması, kullanıcı bilgilerinin değişmesi, hesap adının güncellenmesi, ekran koruyucu açılması/kapanması, kullanıcı değiştirme işlemleri vb.),

√ Kullanıcıların silinmesi, şifre değişikliği ve yeni kullanıcı eklenmesi, √ Domain kullanıcısı eklenmesi ve silinmesi,

√ Dosya veya dizin oluşturulması, silinmesi, isim değişikliği yapılması, dosya içeriklerinin değiştirilmesi ve güvenlik ayarlarının yapılması,

√ Harici disk takılması/çıkarılması (telefon, hatta klavye gibi aygıtlar dâhil),

√ Harici disk içindeki dosyaların izlenmesi,

√ Kayıt değişikliği, √ Dizinin veya sürücünün paylaşıma açılması/kapatılması,

√ Şifreli sürücülerin açılması/kapanması ardından dosya/dizin olaylarını otomatik izleme işlemi,

√ Paylaşılan bir sürücü olduğunda dosya/dizin olaylarını otomatik izleme işlemi.

Kullanıcı Davranış Kayıtlarının Saklanması ve İncelenmesi

Olası bir veri kaçağı durumunda, geriye dönük incelemelerin yapılabilmesi için veri kaçaklarının sistemde kaydı tutulmaktadır. Bu kayıtlarda masaüstü istemcisinin kimliği, bilgisayarın IP adresi, hangi politikanın ihlal edildiği ve erişilmeye çalışılan dosya veya veri gibi bilgiler tutulur. Kayıtlardaki bu dosya veya veriler hassas içeriğe sahip olabileceğinden kimsenin direkt olarak açıp okuyamaması için istemcide şifrelenerek sisteme gönderilir ve sistemde şifreli olarak tutulur. Bu şifrelemenin anahtar altyapısı güvenliği artırmak için harici bir otorite tarafından sağlanır. Bu dosya veya verilerin incelenebilmesi için sistemdeki en yetkili kullanıcının izin vermesi gerekir. Yetkili kullanıcının izniyle şifreli tutulan bilgiler açılarak geriye dönük incelemeler yapılabilir.

Şekil 3 ve Şekil 4’de, BİLGEM SGE bünyesinde geliştirilen uç nokta güvenliği uygulamasına ait yönetim merkezi tarafının örnek ekran görüntüleri bulunmaktadır.

Referanslar:

[1]https://www.gartner.com/en/documents/3956073/building-an-effective-dlp-program

[2]https://www.endpointprotector.com/blog/how-to-protect-data-in-motion/