300.000 EURO'LUK İÇ TEHDİT

Yakın zamanda Malta’da görülen bir mahkeme davası, teknoloji ve kripto para şirketlerinde kritik kurumsal veriye erişimi olan çalışanların oluşturabileceği riskin ve maliyetin boyutlarını bir kez daha gösterdi.

Bir yazılım mühendisi, çalıştığı şirketin kaynak kodunu hackerlara satmak amacıyla çaldığını mahkemede kabul etti. Olayın ardından şirket, dış siber güvenlik uzmanları için 300.000 Euro’nun üzerinde bir harcama yapmak zorunda kalırken, sistemleri güvence altına almak ve erişim bilgilerini yenilemek için 40 çalışanını geçici olarak görevlendirdi.  Çalınan veri, işletmenin "planı" (blueprint) olarak tanımlanan kaynak kodunun devasa boyutlarda toplu olarak indirilmesini içeriyordu.

İhlal, şirkete ait bir MacBook Pro ekranında dahili bir yönetim panelini gösteren bir fotoğrafın dışarı sızdırılmasıyla fark edildi. İkinci bir sızdırılan fotoğraf ise soruşturmanın failin kullanıcı adına ulaşmasını sağladı. Yapılan incelemeler, çalışanın maaş düşüşü anlamına gelen bir görev değişikliği nedeniyle hoşnutsuz olduğunu ortaya koydu.

BU TÜR RİSKLER NASIL MİNİMİZE EDİLEBİLİR?

Olayın detayları; macOS cihazlardaki zafiyetler, kaynak kodlarının toplu indirilmesi ve motivasyonu düşük bir çalışanın ekran fotoğrafları çekerek verileri fiziksel olarak dışarı çıkarması gibi karmaşık iç tehdit senaryolarını özetliyor.

Sadece temel güvenlik önlemlerine güvenmek, yetkilerini kötüye kullanan kullanıcılarla başa çıkmak için genellikle yetersiz kalır. Modern Data Loss Prevention (DLP) kapsamlı çözümler, tam da bu tür senaryoları tespit etmek, denetlemek ve engellemek için tasarlanmıştır. 

macOS ORTAMININ GÜVENLİĞİNİ SAĞLAMA

Bu olaydaki ihlal, şirket tarafından sağlanan bir MacBook Pro üzerinde gerçekleşti. Etkili bir koruma için kapsamlı izleme Apple cihazlarını da kapsamalıdır. Gelişmiş DLP sistemleri macOS donanımları üzerinde çalışabilen ajanlara sahiptir. Bu ajanlar Sonoma, Sequoia ve Tahoe gibi işletim sistemleriyle tam uyumlu çalışır. Cihaz denetimi, HTTP/ IM iletişimleri ve yazdırma işlemleri gibi kritik veri akışlarını izleyen modüller macOS bilgisayarlarda tam işlevli olarak çalışabilir.

EKRAN FOTOĞRAFI YOLUYLA VERİ SIZINTISINI ENGELLEME

Bu vakadaki dönüm noktası, bir dizüstü bilgisayar ekranının çekilen fotoğrafıydı. Ekran görüntüsü almak, tespiti en zor ve en yaygın veri sızdırma yöntemlerinden biri olsa da, modern DLP çözümleri sundukları yapılandırabilir filigran (watermarking) özelliğiyle bu riske karşı güçlü bir caydırıcılık sağlar. Kullanıcı ekranlarına doğrudan eklenen bu filigranlar; opaklık, renk, konum ve dönüş açısı gibi detayların yanı sıra içereceği metne kadar tamamen özelleştirilebilir. Bu sayede, bir ekran fotoğrafı sızdırılsa bile, filigran üzerindeki bilgiler sızıntının kaynağını ve hangi iş istasyonundan yapıldığını anında ortaya çıkararak sorumluyu tespit etmeyi mümkün kılar.

TOPLU İNDİRMELERİ TESPIT ETME VE ENGELLEME

Söz konusu davada çalışan, ilk başarısız denemesinin ardından kaynak kodlarını devasa bir toplu indirme işlemiyle ele geçirmişti. Bu tür anomalileri önlemek için DCAP (Data Centric Audit and Protection) sistemleri; dosya sistemindeki oluşturma, değiştirme, açma ve silme gibi tüm olayları gerçek zamanlı olarak denetler. İş istasyonlarındaki hassas verilerin konumunu, kopyalanmasını ve taşınmasını sürekli izleyen bu sistemler, otomatik veri sınıflandırma etiketleri sayesinde şirketin kaynak kodu gibi kritik dosyalarını anında işaretleyebilir. Yapılan bu sınıflandırma temel alınarak, yetkisiz erişimler veya şüpheli işlemler sistem tarafından otomatik olarak algılanır ve veri sızıntısı henüz gerçekleşmeden tüm süreç tamamen engellenebilir.

OLAY BİLDİRİMLERİ VE ANINDA MÜDAHALE

Bir güvenlik ihlali yaşandığında zamanlama her şeydir; bu nedenle sistemlerin ihlalleri hem kullanıcılara hem de yöneticilere anında iletmesi kritik önem taşır. DLP ajanı yüklü bilgisayarlarda kullanıcılar, riskli bir işlem engellendiğinde doğrudan ekran üzerinden bilgilendirilerek farkındalıkları artırılır. Aynı zamanda, engellenen e-postalar veya şüpheli dosya hareketleri gibi olaylar, anlık mesajlaşma kanalları veya e-posta yoluyla sistem yöneticilerine uyarı olarak iletilir. Sürecin tam otomasyonu için modern DLP çözümleri, tespit edilen olayları CEF ve Syslog gibi standart formatlar üzerinden SIEM (Security Information and Event Management) sistemleriyle entegre eder. Bu entegrasyon, kurumun merkezi güvenlik izleme altyapısıyla tam uyumlu çalışarak, en karmaşık siber olaylarda bile bütünsel ve hızlı bir müdahale kabiliyeti sağlar.

SONUÇ: İÇERİDEN GELEN TEHDİTLERE KARŞI PROAKTİF KORUMA

Bu vaka, yalnızca dış saldırılara odaklanan geleneksel güvenlik yaklaşımlarının yetersiz kaldığını bir kez daha gösteriyor. En büyük riskler genellikle sistemlere zaten erişimi olan, ancak bu yetkilerini kötüye kullanan kullanıcılardan kaynaklanır. SearchInform Risk Monitor gibi yeni nesil DLP sistemleri, kurumların sadece olayları izlemesine değil, proaktif bir şekilde müdahale etmesine olanak tanır. Otomatik veri sınıflandırması, şüpheli eylemlerin (toplu indirmeler, telefonla ekran kaydı alma) anında tespiti ve verinin kurum dışına çıkmadan uç nokta, ağ veya e-posta sunucusu seviyesinde engellenmesi, günümüz iş dünyasında operasyonel bir zorunluluktur. Ayrıca SIEM ve FileAuditor (DCAP) ile entegrasyon sayesinde koruma kapsamı daha da genişletilerek güvenlik etkinliği artırılabilir. İşletmeler ancak bu şekilde fikri mülkiyetlerini güvence altına alabilir ve zararlı finansal sonuçlardan korunabilir.