CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Microsoft Purview ile Bilgi Koruma ve Veri Sızıntısı Önleme Stratejileri

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Microsoft Purview, veri koruması ve DLP uygulamaları ile siber güvenlikte öne çıkıyor. Bu blogda bilgi koruma yöntemlerini keşfedin.

Microsoft Purview ile Bilgi Koruma ve Veri Sızıntısı Önleme Stratejileri

Microsoft Purview, veri keşfi ve sınıflandırmasından DLP politikalarına kadar birçok yönüyle bilgi koruma süreçlerinde önemli bir rol oynar. Bu blog, Microsoft Purview’un sunduğu çözümleri ve stratejileri detaylandırıyor.

Giriş ve Konumlandırma

Microsoft Purview Nedir?

Microsoft Purview, organizasyonların verilerini bulut, yerel ve SaaS ortamlarında keşfetmelerini, sınıflandırmalarını ve korumalarını sağlayan kapsamlı bir veri yönetişimi ve uyumluluk platformudur. Modern siber tehditler, veri güvenliği konusunda yüksek dereceli bir farkındalık ve strateji geliştirilmesini zorunlu kılmaktadır. Bu bağlamda, Purview, çeşitli veri türlerini tanımlamak ve yönetmek için kritik bir araç olarak öne çıkmaktadır.

Veri koruma stratejileri, yalnızca yetkisiz erişimleri engellemeyi değil, aynı zamanda veri sızıntılarını önlemeyi de hedefler. Microsoft Purview’un sunduğu çeşitli özellikler ve araçlar, bu hedeflerin gerçekleştirilmesinde önemli bir rol oynamaktadır. Organize edilmiş ve güvenli veri yönetimi, özellikle bireysel ve kurumsal verilerin giderek karmaşık hale geldiği günümüzde büyük bir önem taşımaktadır.

Veri Sızıntısının Önemi

Veri sızıntıları, şirketlerin itibarını zedeleyebilir, güncellemeler ve geri çağırmalar gibi ek maliyetler doğurabilir. Ayrıca yasal sorunlarla karşılaşma riski de mevcuttur. Veri ihlalleri, yalnızca finansal kayıplara neden olmakla kalmaz, aynı zamanda müşterilerin güvenini de sarsar. Bu bağlamda, organizasyonların bilgi koruma stratejilerini güçlendirmesi ve veri sızıntılarını önlemek için etkili önlemler alması gerekmektedir.

Kurumsal bilişim sistemleri üzerinde gerçekleştirilen siber saldırılar genellikle veri sızıntılarıyla sonuçlanır. Verilerin korunması, bilgi teknolojileri açısından sadece güvenliği değil, aynı zamanda işletme sürekliliğini de sağlamaktadır. Microsoft Purview, hassas verilerin tanımlanması, sınıflandırılması ve yönetilmesi için gerekli araçları sunarak, organizasyonların bu tehditle mücadele etmesini kolaylaştırır.

Siber Güvenlik, Pentest ve Savunma Bağlamı

Siber güvenlik, bir organizasyonun dijital varlıklarını korumak için uyguladığı strateji ve teknolojileri kapsamaktadır. Pentest (penetrasyon testi) ise, sistemin zayıf noktalarını keşfetmek ve bu noktaların kötü niyetli bir saldırgan tarafından nasıl kullanılabileceğini simüle etmek amacıyla yapılan sistematik bir değerlendirmedir. Microsoft Purview, pentest sürecine destek sağlayarak, veri güvenliğini artıracak çözümler geliştirilmesine olanak tanır. Aynı zamanda, potansiyel güvenlik açıklarının belirlenmesinde etkin bir rol oynar.

Kurumsal bilgiler, özellikle gizli verilere erişim sağlayan çalışanlar tarafından yanlış bir şekilde kullanılabilir. Microsoft Purview, Duyarlılık Etiketleri (Sensitivity Labels) ve Veri Sızıntısını Önleme (Data Loss Prevention - DLP) gibi özellikleri ile bu tür durumların yaşanma olasılığını minimize eder. Belirli veri türlerinde, özellikle hassas bilgilerde kullanılan etiketler, kullanıcıların veri yönetimini daha dikkatli ve güvenli bir şekilde gerçekleştirmesine olanak tanır.

Teknik Bilgiler ve Hazırlık

Microsoft Purview’ün sunduğu ilerici çözümlerle birlikte, veri yönetişiminin optimizasyonuna yönelik çeşitli araçlar ve teknik araçlar kullanıcıların erişimine sunulmaktadır. DLP ve Otomatik Etiketleme (Auto-labeling) gibi özellikler, veri güvenliğini sürekli olarak sağlamak için entegre edilen çözümler arasında yer almaktadır. Kullanıcılar, belirli anahtar kelimelere veya hassas veri türlerine dayalı olarak otomatize edilmiş koruma ile güvenliği artırabilir.

Aşağıda, Microsoft Purview ile veri koruma sürecini desteklemek için kullanılabilecek bazı temel konseptleri özetlemekte fayda vardır:

- Duyarlılık Etiketleri: Hassas verilerin tanımlanmasında temel yapı taşları.
- Veri Sızıntısı Önleme: DLP politikaları aracılığıyla verilerin kötüye kullanılmasını engeller.
- Otomatik Etiketleme: Kullanıcıların inisiyatifine bırakılmadan belirli verilerin korunmasını sağlar.
- Purview Scanner: Şirket içindeki dosya sunucularında veri taraması ve sınıflandırması yapar.

Microsoft Purview, veri güvenliği sürecinin yönetilmesinde kritik bir rol oynamaktadır. Özellikle veri sınıflandırma ve koruma stratejilerinin geliştirilmesi, organizasyonların güvenliğini artırmaktadır. Bu blog yazısında, bu kapsamda daha derin bir teknik inceleme ve uygulama alanları hakkında bilgi verilecektir.

Teknik Analiz ve Uygulama

Microsoft Purview ile Bilgi Koruma ve Veri Sızıntısı Önleme Stratejileri

Microsoft Purview Nedir?

Microsoft Purview, kuruluşların bulut, yerel ve SaaS ortamlarındaki verilerini keşfetmesine, sınıflandırmasına ve korumasına yardımcı olan kapsamlı bir veri yönetişimi ve uyumluluk platformudur. Bu platform, veri yönetimi alanında kritik bir rol üstlenerek; veri güvenliğini artırmak ve bilgi sızıntılarını önlemek amacıyla çeşitli araçlar ve özellikler sunmaktadır.

Duyarlılık Etiketleri (Sensitivity Labels)

Duyarlılık etiketleri, verilerin sınıflandırılmasında temel bir yapı taşını oluşturur. Bu etiketler, verilerin hangi düzeyde gizliliğe sahip olduğunu belirlemenize olanak tanır:

  • Public (Genel): Kurum dışı paylaşıma uygun, gizlilik gerektirmeyen veri.
  • Confidential (Gizli): Sadece belirli çalışanların erişebileceği, hassas kurumsal veri.
  • Highly Confidential: En üst düzey koruma gerektiren ve genellikle şifrelenmiş veri.

Duyarlılık etiketleri kullanarak, kuruluşlar veri üzerinde belirli güvenlik kuralları belirleyebilir. Böylece, kullanıcılar verileri oluştururken veya paylaşırken doğru sınıflandırmayı yapma konusunda yönlendirilir.

Veri Keşfi ve Sınıflandırma

Microsoft Purview, verilerin keşfi ve sınıflandırılması için çeşitli yöntemler sunmaktadır. Örneğin, platformun sunduğu veri tespiti özellikleri sayesinde, kredi kartı numaraları veya TC kimlik numarası gibi hassas bilgileri tanımlayabilir. Bunun için, hazır veri kalıplarını ve özel tanımlı regex kurallarını kullanır.

# Örnek düzenli ifade (Regex) ile kredi kartı numarasını tespit etme
import re

text = "Bu bir örnek metin 1234-5678-9876-5432."
credit_card_pattern = r'\b\d{4}-\d{4}-\d{4}-\d{4}\b'
matches = re.findall(credit_card_pattern, text)
print(matches)  # ["1234-5678-9876-5432"]

Data Loss Prevention (DLP)

Data Loss Prevention, hassas verilerin yetkisiz kişilerle paylaşılmasını engelleyen kurallar bütünüdür. DLP politikaları, belirli veri türlerini korumak için tasarlanmış kurallar ve izleme mekanizmaları içerir. Bu kurallar, endpoint cihazlardan bulut ortamlarına kadar uzanan çeşitli kanallarda uygulanabilir. Örneğin:

  • Endpoint DLP: Windows cihazlarda USB'ye dosya kopyalamayı veya buluta yüklemeyi kısıtlar.
  • Exchange Online: E-posta gövdesinde veya eklerinde hassas veri paylaşımını denetler.
  • Teams: Sohbet kanallarında hassas bilgilerin anlık olarak maskelenmesini veya engellenmesini sağlar.

Bu örnekler, Microsoft Purview'un farklı platformlar üzerindeki veri sızıntısı önleme yeteneklerini sergilemektedir.

DLP Uygulama Alanları

DLP politikalarını uygulamak için farklı stratejiler geliştirmek mümkündür. Örneğin, otomatik etiketleme sayesinde kullanıcı inisiyatifine bırakılmadan belirli anahtar kelimeleri içeren dosyalar oluştuktan hemen sonra koruma altına alınabilir. Otomatik etiketleme, hassas verileri koruma sürecini önemli ölçüde hızlandırır ve manuel hataları azaltır.

Otomatik Etiketleme (Auto-labeling)

Otomatik etiketleme, belirli koşullara göre verileri etiketleyerek kurulum süreçlerini optimize eder. Bu özellik sayesinde, bir dosya oluşturulduğunda ya da bir klasöre yerleştirildiğinde, içerik taranarak uygun etiket otomatik olarak atanır. Böylelikle, güvenlik ve uyumluluk sağlamak için gereken zaman ve çaba azaltılmış olur.

Purview Information Protection Scanner

Purview, şirket içi dosya sunucularında bulunan verileri tarayarak sınıflandıran ve etiketleyen bir hizmet sunmaktadır. Bu hizmet, verilerin nerelerde bulunduğunu ve nasıl kullanıldığını anlamayı kolaylaştırarak veri koruma stratejilerini daha etkili hale getirmektedir.

Content Explorer ve Activity Explorer

Content Explorer, organizasyon genelinde hangi verinin nerede olduğunu gösteren bir envanter sunar. Bunun yanı sıra, Activity Explorer ise etiketlerin değiştirilmesi veya dosya silme gibi veriler üzerindeki tüm eylemleri izler. Her iki araç, kuruluşların veri yönetişimi ve güvenliği konusundaki içgörülerini artırarak daha verimli kararlar alınmasına yardımcı olur.

SOC ve Veri Sızıntısı Analizi

Purview üzerinde oluşan kritik DLP uyarıları, Microsoft Sentinel üzerine aktarılarak diğer güvenlik sinyalleriyle korele edilir. Bu sayede, olası veri hırsızlığı vakaları daha etkin bir şekilde araştırılabilir. DLP olaylarının izlenmesi, güvenlik ekiplerine potansiyel tehditleri belirleme ve yanıt verme konusunda önemli bir avantaj sağlar.

Double Key Encryption (DKE)

En hassas veriler için çift katmanlı şifreleme yöntemi olan Double Key Encryption, Microsoft'un ve kurumun kendi anahtarını kullanarak verilerin korunmasını sağlar. Bu özellik, verilerin sadece yetkilendirilmiş kullanıcılar tarafından erişilmesini ve kullanılmasını güvence altına alır.

Yukarıda belirttiğimiz özellikler ve stratejiler, Microsoft Purview'un sunduğu kapsamlı bilgi koruma ve veri sızıntısı önleme çözümlerinin sadece bir kısmını oluşturmaktadır. Kuruluşlar bu araçları etkili bir şekilde kullanarak, veri güvenliğini artırabilir ve bilgi sızıntılarını minimize edebilirler.

Risk, Yorumlama ve Savunma

Risk Yönetimi ve Tehdit Analizi

Siber güvenlik alanında, risk yönetimi süreci oldukça kritik bir öneme sahiptir. Microsoft Purview, veri koruma ve sızıntı önleme için kapsamlı araçlar sunarak, kuruluşların bilgi güvenliğini sağlamalarına yardımcı olur. Bu bağlamda, elde edilen bulguların güvenlik anlamını yorumlamak ve potansiyel zafiyetleri tespit etmek önemlidir.

Elde Edilen Bulguların Yorumlanması

Purview, veriyi otomatik olarak sınıflandırmak için birçok yöntem kullanır. Duyarlılık etiketleri (sensitivity labels) bu sistemin bir parçasıdır ve veri koruma politikalarının etkin uygulanmasında hayati öneme sahiptir. Örneğin, bir veri kümesi “Highly Confidential” etiketi almışsa, bu durum yalnızca belirli personelin erişimine izin verildiğini gösterir. Aşağıdaki gibi bir yapılandırma, olası veri sızıntılarını engeller:

{
  "sensitivityLabel": "Highly Confidential",
  "accessPolicy": {
    "allowedRoles": ["HR Manager", "CFO"]
  }
}

Bu tür etiketlemeler, veri üzerinde kimlerin kontrol sağladığını net bir şekilde ortaya koyarak güvenlik seviyesini artırır.

Yanlış Yapılandırma ve Zafiyetler

Purview altında uygulanan yanlış yapılandırmalar, veri sızıntılarına neden olabilir. Örneğin, bir "Confidential" etiketinin yanlışlıkla “Public” olarak belirlenmesi, hassas bilgilerin yetkisiz kişilerle paylaşılmasına yol açar. Bu tür bir zafiyetin etkisi, veri kaybı ve maliyetli hukuki sorunlar gibi ciddi sonuçlar doğurabilir.

Yanlış yapılandırmaları tespit etmek için DLP (Data Loss Prevention) politikaları sıkı bir şekilde uygulanmalıdır. DLP kuralları, belirli verilerin yetkisiz erişimden korunmasını sağlamak için izleme ve engelleme mekanizmaları sunar. Bir DLP politikası aşağıdakine benzer şekilde tanımlanabilir:

{
  "policyId": "DLP-Policy-001",
  "description": "Hassas verilerin e-posta ile paylaşımını engelle",
  "conditions": [
    {
      "dataType": "Credit Card",
      "action": "Block"
    }
  ]
}

Veri Sızıntısı Sonuçları ve Analizi

Veri sızma vakalarının tespiti için Purview, “Content Explorer” ve “Activity Explorer” gibi araçlar sunar. Bu araçlar sayesinde, organizasyon içindeki verilerin nerede bulunduğu, kimler tarafından yaratıldığı ve hangi işlemlere tabi olduğu güncel bir şekilde izlenir.

Örneğin:

  • Content Explorer: Üzerinde çalıştığınız veri miktarını ve veri türünü analiz eder.
  • Activity Explorer: Veriler üzerinde gerçekleştirilen tüm değişiklikleri ve işlemleri kaydeder.

Bu iki araç sayesinde, potansiyel bir sızıntı durumunda hızlıca analiz yaparak olayla ilgili kapsamlı bir raporlama yapılabilir.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenliğin sağlanması amacıyla, aşağıdaki profesyonel önlemler alınmalıdır:

  1. Duyarlılık Etiketlerinin Aktif Kullanımı: Verilerin sınıflandırılması ve kurallara uygun bir şekilde korunmasını sağlamak.
  2. DLP Politika İzleme: Uygulanan DLP politikalarının sürekli izlenmesi ve güncellenmesi.
  3. Otomatik Etiketleme Kullanımı: Kullanıcıların inisiyatifine bırakılmadan verilerin otomatik olarak etiketlenmesi.
  4. Double Key Encryption (DKE): En hassas verileri daima şifreleyerek koruma altına almak.

Aşağıda, bir DLP politika yapılandırmasının örneği verilmiştir:

{
  "policyId": "DLP-Policy-002",
  "description": "E-posta üzerinden hassas verilerin paylaşımını kontrol et",
  "rules": [
    {
      "contentType": "Confidential",
      "action": "Notify User",
      "message": "Bu veriyi paylaşmadan önce yöneticinizle görüşün."
    }
  ]
}

Sonuç

Microsoft Purview ile bilgi koruma ve veri sızıntısı önleme stratejileri, siber tehditlere karşı güçlü bir savunma mekanizması kurmanıza olanak tanır. Elde edilen bulguların yorumlanması, potansiyel yanlış yapılandırmaların ve zafiyetlerin analiz edilmesi, etkin veri koruma uygulamaları için büyük önem taşır. Bu sayede, kuruluşlar kısıtlı kaynaklarını daha etkili kullanarak güvenli bir veri yönetimi gerçekleştirebilirler.