Saldırganlar, sistemlere ilk erişimi elde etmek ve kalıcılık sağlamak için çok çeşitli taktik ve teknikler kullanır. Bu makalede, dahili kullanıcı hesaplarının ele geçirilmesini içeren en yaygın senaryoları inceliyor ve bir DLP sisteminin bu tür olayları önlemeye veya etkilerini azaltmaya nasıl yardımcı olabileceğini açıklıyoruz.

1. Yerel ağ dışındaki üçüncü taraf hizmetlerin ele geçirilmesi ve veri hırsızlığı

En yaygın senaryo, saldırganın çalınmış bir hesap aracılığıyla kullanıcıların kurumsal hizmetlerine erişmesi ve gizli bilgileri dışarı sızdırmasıdır. Bu, iki faktörlü kimlik doğrulamanın etkin olmadığı ya da saldırganın bunu devre dışı bırakmayı başardığı durumlarda gerçekleşebilir. Söz konusu veriler; örneğin e-postalarda, kurumsal mesajlaşma uygulamalarında, depolama hizmetlerinde veya diğer dahili kurumsal sistemlerde saklanıyor olabilir.

Buna iyi bir örnek, saldırganın Office 365’e erişerek kullanıcı verilerine ve yazışmalarına ulaşması, ayrıca üçüncü taraf hizmetlerin parolalarını sıfırlama imkânı elde etmesidir. Bu senaryoda, aktarılan veriler kurumsal ağın dışından geçtiği ve dolayısıyla güvenlik politikalarına göre denetlenmediği için veri sızıntısı BT / siber güvenlik birimi tarafından fark edilmeyebilir.

DLP Bu Senaryoyu Nasıl Önler?

Bu tür bir senaryoyla krşılaşmamak için DLP (Data Loss Prevention) sistemi kurumsal hizmetlerle doğrudan entegre edilebilir; dosya işlemlerinin izlenmesi ile içerik bazlı engelleme gibi özellikleri etkinleştirebilir. Bu durumda veriyi dışarı sızdırmaya çalışanın saldırgan mı yoksa sıradan bir kullanıcı mı olduğu önem taşımaz. Sistem, tehlikeli eylemler hakkında uyarı üretir veya kurumsal sınırların dışına veri aktarımını önleyen bir güvenlik politikası doğrultusunda veri iletimini engeller.

SearchInform DLP sistemi, API entegrasyonu aracılığıyla Microsoft 365 bulut depolama alanındaki tüm işlemleri kaydeder.

2. Uzak Masaüstü Bağlantısı ve Manuel Olarak Veri Sızdırma

Bir saldırganın uzak masaüstü erişimi elde etmesi ciddi bir güvenlik riskidir. Bunu başaran bir hacker, RDP veya benzeri bir yöntemle sisteme erişim sağladıktan sonra, tespit edilmeden sistemde kalabileceği sürenin son derece sınırlı olduğunu bilir.

Bu nedenle saldırgan, öncelikle masaüstüne erişim için alternatif bir kanal oluşturmaya çalışır; örneğin Radmin, TeamViewer veya benzeri araçları kullanabilir. İkinci olarak ise gizli verileri mümkün olduğunca hızlı bir şekilde arayıp indirmeye çalışır. Bu aşamada saldırganın, özel veri aktarım kanalları içeren karmaşık yöntemler uygulamak için yeterli zamanı olmayacaktır.

Çoğu durumda saldırgan, verileri RDP panosu, TeamViewer, bulut depolama alanına yükleme veya tarayıcı üzerinden önceden hazırlanmış bir web kaynağı gibi kolayca erişilebilen araçlarla aktarır.

DLP Bu Senaryoyu Nasıl Önler?

SearchInform DLP sisteminde, tüm tipik veri aktarım kanalları için içerik bazlı engelleme etkinleştirilebilir. Bu tür senaryoları önlemek amacıyla, sistem üzerinde yaygın veri aktarım kanallarının tamamında içeriğe dayalı engelleme politikaları devreye alınmalıdır. Bu kanallar; web tarayıcılarını, bulut depolama hizmetlerini, panoyu, dış yönlü RDP bağlantılarını, TeamViewer ve benzeri araçları kapsar ancak bunlarla sınırlı değildir.

Bu yaklaşım son derece etkilidir; çünkü DLP sistemi engellemeyi kullanıcı yetkilerine göre değil, aktarılan içeriğe göre uygular. Sonuç olarak, gizli verilerin dışarı sızdırılmasına yönelik girişimler engellenir.

SearchInform DLP, pano üzerinden aktarılan dosyaları tespit eder.

3. Uzak Masaüstü Bağlantısı Üzerinden Script veya Zararlı Yazılım Kullanarak Veri Sızdırma

Olası senaryolardan biri, kullanıcı müdahalesi olmadan tek bir bilgisayardan veya birden fazla bilgisayardan gizli verileri arka planda sızdıran özel bir yazılımın kurulmasıdır. Bu yazılım, veri aktarımı için HTTPS, FTPS, WebDAV gibi standart protokolleri veya özel protokolleri kullanabilir.

DLP Bu Senaryoyu Nasıl Önler?

Verileri dışarı sızdırmak için standart protokoller kullanıldığında, DLP sisteminde yerleşik olarak bulunan standart güvenlik politikalarıyla sızıntı girişimleri azaltılabilir. Çözüm, hem kullanıcılar hem de özel amaçlı yazılımlar tarafından gerçekleştirilen veri aktarımlarını aynı etkinlikle engeller; çünkü engelleme, aktarımın kaynağına değil, dosyanın gizlilik derecesine göre tetiklenir.

Veri sızdırmak için özel protokollerin kullanılması teknik açıdan daha karmaşıktır. Ancak bu tür girişimler, gelişmiş bir DCAP (Data-Centric Audit and Protection) sistemi kullanılarak ele alınabilir. Gizli dosyalara herhangi bir yetkisiz erişimi engelleyen teknoloji, bu saldırı vektörünü bertaraf etmek için yeterlidir.

SearchInform DLP sistemi yetkisiz yazılım çalıştırma girişimlerini tespit eder.

SearchInform DLP, anlık mesajlaşma uygulamalarının dosya işlediğini tespit eder.

SearchInform DCAP çözümünde uygulamaların sınıflandırılmış dosyalara erişimini engellemeye yönelik kural yapılandırması.