Neden DLP?

Uzun yıllar önce çekilmiş olan Heat (Al Pacino, Robert De Niro) filminden bir alıntı ile başlıyorum. Adamlar banka soyacaklardır ve bankanın krokisine ihtiyaçları vardır. Bir uzmana giderler ve uzman krokiyi bir süre sonra çıkarır bu adamlara verir. Ancak bu uzman hiç ilgili bankaya girmemiştir bile, nasıl çıkartmıştır bu krokiyi?
Uzmanın kurduğu cümle şu:
- “Tüm bu bilgiler zaten havada uçuşuyor, önemli olan onları nasıl yakalayacağını bilmektir.”

Bu durum eskisi kadar kolay olmasa da, eğer yöntem biliniyorsa, değişen birşey yok, engellenemez, isteyen elde eder.
DLP (Data Loss Prevention) yazılımları ile veri sızmaları engellenmeye çalışılıyor. Ancak bilmeyen ya da konuya ısınmaya çalışan IT personelinin yanlış yönlendirildiğini düşünüyorum. DLP’nin amacı %95 oranında kazara veri sızmasını önlemektir. Günümüzde kasten veri sızdırmaya çalışan bir kişiyi engellemek mümkün değildir. En basitinden, istediğim dökümanı açıp, cep telefonumla resmini çekip veriyi sızdırabilirim.

Bu noktada kazara ne kadar veri sızdırıyoruz sorusuna cevap aramaya başlarız. Ufak bir araştırmayla milyonlarca $’lık zararlara uğramış şirket anektodlarına ulaşabilirsiniz. Sadece İngiltere’nin zarar oranlarını gösteren bir pdf’e bu linkten ulaşabilirsiniz : http://bekirdurmaz.files.wordpress.com/2008/07/ponemon-cost-of-a-data-breach-uk-2007.pdf - Cost of Data Breach UK 2007

Türkiye’de de artık kurumlar verilerin havada uçuştuğunu bilmekte ve korunmanın yollarını aramaktadır. Çünkü kayıplar sadece maddi değil. Presitij kaybı, iş gücü kaybı hatta eleman kaybına giden bu tehlikeye önlem almaya çalışmak elbette çok doğal bir refleks.

Hangi çözüm iyi?

Ben Websense’in ve McAfee’nin DLP çözümlerini yakından izlemiş olmakla birlikte, Symantec’in Vontu ürününün bu iki büyük üreticiyi korkuttuğunu gördüm. Ve henüz daha Symantec Vontu’yu yeni satın aldı, geliştirmeye yeni yeni başladı. Ben tarafsız bir göz olarak Gartner’ın MQ değerlendirmesini eklemek isterim.

http://fentanyl.files.wordpress.com/2008/11/gartner_dlp_june20081.png -

Aslında DLP’de yapılan iş standart:

• Bir politika belirle
• Kurum için kritik verileri sınıflandır
• Bu verilerin dışarı kazara sızma yollarını belirle (print, e-mail, screen shot, usb vs.)
• Hangi yol için hangi önlemleri alacağını belirle
• Ajan kurulumlarını yap

Artılar & Eksiler

Websense’in artılarından birisi, ajansız çalışabilen bir mekanizmayı da desteklemesi. Klasik Web Security ürünündeki gibi, switch’in bir portu mirror edilerek DLP sunucunun dinlemesi sağlanıyor. Böylece ağ üzerindeki iletişim (e-posta, dosya paylaşım, ağ printer’ı vb. gibi) izlenmiş oluyor. Bunlar için ajana gerek duyulmuyor ancak diğer özellikler de gerekli (USB ve diğer medyaların kontrolü en önemlilerinden) ve bunun için ajan gerekmekte ve malesef Websense’in ajanlı çözümü işin çok başında, yeni duyuruldu.

McAfee DLP, hızlı tag’leme yapıyor (Location, Content, Application, Fingerprint, RegEx bazlı) ve sunucuda delil tutmak konusunda başarılı. Eksileri ise şöyle, yönetim programından ayrı bir veritabanı tutuyor. Kurulumu çok seri değil. Primary Partition’ın NTFS olma zorunluluğu var. Reaction Rules vb gibi bir kaç bileşen içeren kompleks bir arayüze sahip.

Pro-G’nin tavsiyesi ise Vontu. Gartner’ın da bizimle hem fikir olduğu bu ürünün artıları, merkezi yönetimdeki becerisi, kullanıcının ihtiyaçlarını önceden görebilmiş olması. İşte bu nokta her kaliteli ürünün dönemediği bir viraj. Elbette ajanların performansları, yukarıda listelediğim maddelerin kolaylıkla ve etkili gerçekleştirilebilmesi önemli, ancak kullanıcıyı memnun etmek Vontu’nun başarısı. Önümüzdeki dönemde de Gartner’ın MQ’ını takip ediyor olacağım ve sizleri bilgilendireceğim.