İÇ TEHDİTLERE KARŞI YENİ DERS

Geçtiğimiz günlerde Hindistan'da ortaya çıkarılan bir siber güvenlik vakası, kamu kurumlarında ve stratejik sektörlerde içeriden gelen tehditlerin ulusal güvenlik ve ekonomik istikrar üzerindeki etkilerini bir kez daha gözler önüne serdi.
Hindistan Gümrük Dairesi'nde görevli bir memur, Çin merkezli firmalar da dahil olmak üzere özel şirketlere hassas gümrük verilerini sattığı iddiasıyla Delhi Polisi İstihbarat Füzyon ve Stratejik Operasyonlar (IFSO) birimi tarafından gözaltına alındı.

Sızdırılan veriler; fiyatlandırma detayları, tedarik kaynakları, tedarikçi ilişkileri, ticaret hacimleri ve lojistik zincirleri gibi hem kişisel olarak tanımlanabilir hem de ticari açıdan son derece kritik bilgileri içeriyordu. Yetkililere göre bu veriler; şifrelerin, içeriden erişim haklarının veya üçüncü taraf erişimlerinin kötüye kullanılmasıyla son derece güvenli hükümet sistemlerinden çıkarılmış olabilir. Çalınan verilerin uluslararası ticaretle bağlantılı yaklaşık 70 web sitesinde satışa sunulduğu iddia edildi; bazı örnek verilerin resmî kayıtlarla eşleştiği bildirildi.

BU TÜR RİSKLER NASIL MİNİMİZE EDİLEBİLİR?

Bu vaka, parolaların ele geçirilmesi veya yetkili personelin erişim haklarını kötüye kullanması durumunda, en güvenli veri tabanlarının bile nasıl savunmasız kalabileceğini göstermektedir. Sadece dosya transferine odaklanan geleneksel güvenlik önlemleri bu tür olaylarda yetersiz kalır. Bu tür karmaşık sızıntıları önlemek için verinin kaynağını, hareketini ve kullanıcı niyetini sürekli denetleyen yeni nesil Veri Sızıntısı Önleme (DLP) ve Veri Odaklı Denetim ve Koruma (DCAP) yeteneklerine ihtiyaç vardır.

VERİ TABANLARININ VE HASSAS BİLGİLERİN DENETİMİ 

Sızdırılan kritik gümrük verileri gibi bilgiler genellikle merkezi sunucularda saklanır. DCAP sistemi, ağ klasörleri ve bulut depolama alanlarındaki verileri sunucu üzerinden tarayarak otomatik veri sınıflandırması gerçekleştirir. Bu sınıflandırma işlemi; dosya adı, türü ve boyutu gibi nitelik aramalarının yanı sıra metin, kelime öbeği ve sözlük aramaları kullanılarak yapılır. Böylelikle kurumun kritik stratejik verileri (fiyatlandırma listeleri, ticaret sicilleri vb.) otomatik olarak hassas ibaresiyle etiketlenir ve bu verilere yönelik her türlü olağandışı hareket kayıt altına alınır. 

AĞ VE UÇ NOKTA SEVİYESİNDE VERİ SIZINTISINI ENGELLEME 

Verilerin yaklaşık 70 web sitesinde satışa sunulduğunun iddia edilmesi, ağ düzeyinde uygulanan denetimlerin eksikliğini göstermektedir. Yeni Nesil DLP sistemleri, iletilen metne, seçilen kullanıcılara, ana bilgisayarlara, URI, POST, GET isteklerine ve diğer birçok özniteliğe bağlı olarak HTTP ve HTTPS ağ trafiğini engelleyebilir. Bu engelleme özelliği, belirli bir metnin iletilmesini yasaklamanın yanı sıra; web postaları, sohbetler, forumlar ve bulut depolama alanları ile güvenli çalışma şemaları uygulamaya olanak tanır. Örneğin, kurum içindeki bir bilgisayardan bulut depolama alanlarına veya dış web sitelerine dosya gönderilmesi içerik veya bağlam kriterlerine göre tamamen engellenebilir. 

YAPAY ZEKA İLE ŞÜPHELİ İLETİŞİMİN TESPİTİ 

Böylesine büyük çaplı bir veri satış operasyonunda, sızıntıyı yapan personelin alıcılarla (veri komisyoncuları veya yabancı firmalar iletişim kurmuş olabileceği değerlendirilebilir. Ancak bu nokta kaynak haberde kesin bir bulgu olarak sunulmadığı için ihtiyatlı ifade edilmelidir. SearchInform Risk Monitor, e-posta ve mesajlaşma kanalları üzerinden toplanan verileri işlemek, şüpheli iletişimleri tespit etmek ve güvenlik olaylarını analiz etmek için tasarlanmış olan "AI Cybersecurity Assistant" çözümü ile yapay zeka kullanımına olanak tanır. Bu sistem; e-posta metinlerini, sohbetleri ve gönderilen dosyaları analiz ederek "güvenlik tehdidi" gibi önceden belirlenmiş kriterlere göre yapay zeka etiketleri atar. Bu sayede güvenlik ekipleri, veri hırsızlığını daha planlama veya pazarlık aşamasındayken fark edebilir. 

SIEM ENTEGRASYONU İLE ANINDA MÜDAHALE 

Devlet sistemlerini hedef alan bu tür ihlallerde, reaksiyon süresi kurumun göreceği zararın boyutunu belirler. Bu nedenle DLP, veri erişim denetimi ve kullanıcı davranışı analizi çözümlerinin SIEM – Güvenlik Bilgi ve Olay Yönetimi – sistemleriyle sorunsuz entegre çalışması kritik önem taşır. Güvenlik politikalarına göre tespit edilen olayların merkezi SIEM platformuna aktarılması, SOC ekiplerinin anomali ve ihlal girişimlerini tek bir ekrandan izlemesini sağlar. Böylece olası bir sızıntı girişimi erken aşamada yüksek öncelikli alarmlar üretilebilir; erişimin kesilmesi, olay müdahalesi ve adli inceleme süreçleri kurumun prosedürlerine bağlı olarak hızlandırılabilir.

SONUÇ: İÇ TEHDİTLERE KARŞI PROAKTİF KORUMA

Hindistan'da yaşanan bu kritik sızıntı, güvenliğin sadece dışarıdan gelen hackerlara karşı duvar örmekle sağlanamayacağını; asıl büyük tehlikenin "anahtarlara sahip olanlardan" yani erişime sahip olanlardan gelebileceğini hatırlatmaktadır. Kurumların fikri mülkiyetlerini, ulusal ekonomik sırlarını ve müşteri verilerini güvence altına alabilmeleri için veri sınıflandırması, ağ seviyesinde engelleme ve yapay zeka destekli davranış analizi sunan modern DLP sistemlerini iş süreçlerinin merkezine konumlandırmaları şarttır.