Bilgi Güvenliği; tek bir çözüm ile mümkün mü? Gökhan AYDIN

Transkript

1 Bilgi Güvenliği; tek bir çözüm ile mümkün mü? Gökhan AYDIN Kıdemli Teknoloji Danışmanı

2 Bilgi güvenliği çok mu farklı? Tek bir ürün ile elde edilebilecek güvenlik ile yandakinin arasındaki fark var mı? 2

3 Bilgi güvenliği göründüğü kadar kolay mı? 3

4 Bir de bunun üzerine... Daha fazla bilgi, daha fazla yerde, daha fazla noktadan erişiliyor; hiç olmadığı kadar 4

5 Bilgi sadece sistem odalarındaydı 5

6 artık her yerde

7 hatta bulutta

8 ve birbirine bağlı! 8

9 İş Ortakları Birbirine bağlı dünyayı yönetmek durumundayız Hareketlilik Bulut Servisleri Çalışanlar İş Birliği Toplum Müşteriler Zengin Medya 9

10 Çünkü günümüz BT lerinin kaçınılmazları Sınırlar artık sınır değil - Kapılar açık Bilgi her yerde var - Ağ, masaüstü, dizüstü, mobil, bulut Bilgi paylaşımı rekabet avantajı sağlıyor - Ağ olmak bizi bilgiyi paylaşmaya zorluyor Çalışanlara her yerden çalışma esnekliği veriliyor - Efficiency and green awareness

11 Mevcut yaklaşımlar çalışmıyor Daha çok harcıyoruz Daha az durduruyor

12 Dünya değişiyorsa, biz de değişmeliyiz Bilgi-Merkezli Sistem-Merkezli Motivasyon: Süreç otomasyonu Veri: Merkezi, yapısal Altyapı: Fiziksel BT Odağı: Sistem görevleri Motivasyon: İş birliği ve bilgi paylaşımı ile elde edilen çeviklik Veri: Dağıtık, yapısal değil Altyapı: Sanal, bulut, dışarıda hizmet olarak alınan BT Odağı: Bilgi görevleri 12

13 Bilgiye Dayalı Modelin Temelleri Politika Uyumluluk Kimlik Raporlama Gözlemleme- İyileştirme Sınıflandırma Tehditler Şifreleme Sahiplik Keşif 13

14 Peki ya güvenlik? 14

15 İnsan BİLGİ Süreç Teknoloji 15

16 Bilgi ve İnsan Organize Suçlular İyi Niyetli Dikkatsiz Çalışanlar Kötü Niyetli Çalışanlar Problemli İş Süreçleri

17 ASSANGE ETKİSİ 17

18 Bilgi ve Süreçler Zorunluluklar HIPPA SOX GLBA FISMA Basel Cobit ISO PCI NERC Kontroller Eşleştirme Uygulama Atama That is a Policy That is a Policy Sample Text Sample Text without any without any meaning and That just is a Policy meaning and just there to Sample Text there to Illustrates without the any Illustrates the Text within meaning a and just Text within a PowerPoint there to PowerPoint Slide. Illustrates the Slide. Text within a PowerPoint Slide. Kullanma Varlıklar Politikalar İnsanlar Ölçme That is a Policy That is a Policy Sample Text Sample Text without any without any meaning and That just is a Policy meaning and just there to Sample Text there to Illustrates without the any Illustrates the Text within meaning a and just Text within a PowerPoint there to PowerPoint Slide. Illustrates the Slide. Text within a PowerPoint Slide. Teknik Kontroller Risk Analizi That is a Policy That is a Policy Sample Text Sample Text without any without any meaning and That just is a Policy meaning and just there to Sample Text there to Illustrates without the any Illustrates the Text within meaning a and just Text within a PowerPoint there to PowerPoint Slide. Illustrates the Slide. Text within a PowerPoint Slide. Prosedürel Kontroller Ölçme

19 Bilgi ve Teknoloji Employees Data Loss Prevention Removable Storage Encryption Disk Encryption (Laptops) Host Network Access Control Application & Device Control Firewall Intrusion Prevention Antivirus & Antispyware SMP DLP SEE SEP / NAC LAN Anti-malware SMS Exchange DLP DMZ Encryption Control Anti-spam Anti-malware DLP PGP Universal Brightmail Gateway SMTP VeriSign Identity Protection Mobile Security IT Policy (Education) Security Ops Symantec Protection Center Consolidated Policy Mgmt Central Reporting Single Log-on Dashboards Web-based IT Policy Procedure Controls Technical Controls Vulnerability Scanning Data Controls Critical Server Protection Discover Insight Protect DLP Storage DLP Control URL Filtering Anti-malware DLP Web Gateway Network Monitor SMTP, HTTP, IM, FTP, P2P HTTP(s) 19

20 Bilgi güvenliği riskleri nerelerde????????

21 Görünürlük

22 Loglar ve cevherden Olay Yönetimi de öte Karmaşası Hangi bilgi risk altında? Ne tür önlemler alınmalı? 100ler 100,000ler 10,000,000lar Yardım Masa Hukuk Dept Uygunluk Olaylar Normalize Mesajlar Ağ, Güvenlik, Uygulama Logları Güvenlik Bilgi Yönetimi Güvenlik Zekası Korelasyon Önceliklendirme İş Akışı Olay Yönetimi IDS/IPS, IDM, Firewall, Antivirus Policy Compliance Vulnerability Assessment Log Konsolidasyonu IDS/IPS, IDM, Firewall, Antivirus Policy Compliance Vulnerability Assessment 22

23 Log yönetimi sistemleri olmazsa olmaz Toplama Saklama Log Yönetimi Sistemi Korelasyon Raporlama 23

24 Symantec Control Compliance Suite 24

25 Bütünleşik bilgi koruması Kullanıcı Veri alanları Bilgi Hareket Halinde Bilgiyi Koruma Symantec PGP DLP SSL Güvenli VeriSign Ağ 25

26 Önceliklendirme gerekli Değerli Bilgi Politikası Bul Düzelt Tanımla İndeksle Öğren Bilgilendir Engelle Şifrele 26

27 ve buna göre politika tanımlamak Bilgi Koruma Politikası Tespit Cevap İçerik Bağlam Aksiyon Bilgilendirme Kim? Ne? Nerede? Bilgilendir Doğrula Yönlendir Engelle Kullanıcı Müdür Güvenlik Seviye Yükselt 27

28 Politikaları oluştururken dikkat Bilgi Güvenliği İş Birimleri Politika oluşturmak karmaşık değil ama içerik konusunda uzman değiliz! Önemli bilgileri bulmak zor değil, peki daha sonrası? Bu yönetilebilir değil. Kullanıcıların yardımına ihtiyacımız var. Politika Önceliklendirme Aksiyon Neyin korunacağını biliyoruz ancak kurallar tanımlayamayız. Bize sonuç vermeyin. Neyin olduğunu ve kimin sorumlu olduğunu söyleyin. Bilgilerimize dokunmayın, sadece düzeltmeyi kolaylaştırın.

29 Çözümler bunun için var 29

30 Bilgiyi Koruma Platformu Keşfet & Koru: DLP Hassas bilginin akışını keşfet ve yetkisiz kullanımı ve yollanmasını engelle. Koru & Aksiyon Al: Şifreleme Sabit duran ve hareket halindeki hassas verileri şifrele. Tanımla & Doğrula: Kimlik Doğrulama Hassas bilgiye erişirken kullanıcıların kimliğe emin ol. 30

31 DLP demek... Gizli bilgi nerede tutuluyor? Nasıl kullanılıyor? Sızması nasıl önlenecek? KEŞİF GÖZLEM KORUMA DATA LOSS PREVENTION (DLP)

32 Temel DLP Adımları... KEŞİF GÖZLEM KORUMA Tarama alanlarının belirlenmesi Tarama işlemi ile hassas bilginin bulunması, ortak alan ve son kullanıcı Bilginin hareketinin gözlemlenmesi Olaylarının incelenmesi Bloklama, silme, şifreleme, karantina alma, kopyalama Görsel uyarılar 1 Politika şablonlarını kullanarak kurum özelinde ihtiyaçlara göre politikalar geliştirilmesi MANAGE MANAGE 5 Raporlama, risk azalımının incelenmesi 32

33 Teknolojiler Görevler Hedefler Gereken her yerde şifreleme Bilgiyi güvenli tut Uyumluluk hedeflerini sağla İşi koru Maliyetleri kontrol et Sabit duran bilgiyi koru Hareket halindeki bilgiyi koru Kullanımdaki bilgiyi koru Son Kullanıcı Bilgisayarının Şifrelenmesi Dosya ve Sunucu Şifreleme Şifreleme Yönetim 33

34 Kimliğe emin olarak bilgi güvenliği Kullanıcı kim? Bilgiyi nasıl güvenli saklayacağız? Hangi bilgiye erişime izin vereceğiz? 34

35 Kimlik doğrulama Sertifikalar ve PKI Tek Kullanımlık Şifre Sahtekarlık Tespiti Rules Eng. Behavior Eng. PKI servisi, güçlü kimlik doğrulama, şifreleme ve dijital imzalama için sertifikalar üretir Paylaşılan bulut yapısında 2-faktör kimlik doğrulama RISK SCORE Risk tabanlı kimlik doğrulama ve yazılım tabanlı sahtekarlık tespiti Devlet eticaret Kurumlar Finansal Servisler 35

36 Bilgi güvenliğinde diğer bir yön Bilgiyi üzerinde bulunduran sistemler yeterli düzeyde güvenli olmalıdır; BT Yönetişim, Risk ve Uyumluluk Yönetim Yapısı yol gösterici olacaktır. 36

37 BT YRU, bilgi güvenliğinde yol gösterici olacaktır TEKNİK KONTROLLER Teknik Standartlardan sapmalar otomatik olarak tespit edilir Kritik açıklıklar tespit edilir POLİTİKA Hazır politikalar Politikalar otomatik olarak kontrollerle ilişkilendiriliyor PROSEDÜREL KONTROLLER Politikalar okunduğunun ve anlandığının ispatı olarak Web tabanlı anketler Güvenlik Bilincinin Artırılması RAPORLAMA Dinamik Web tabanlı raporlar ve görseller Bilgi merkezi depodan çekilir İYİLEŞTİRME Popüler olay yönetim sistemleri ile entegrasyon Riske göre eksikliklerin iyileştirilmesi BİLGİ KONTROLLERİ Kritik bilgi barındıran sistemleri tespit etmek için Symantec Data Loss Prevention ile sıkı entegrasyon Deliller 3 rd PARTY EVIDENCE Bir çok kaynaktan gelen deliileri, politikalar ile harmanlama Varlık Kontroller 37

38 Temel İstekler En İyi Koruma Düşük Toplam Sahip Olma Maliyeti En Yüksek Performans 38

39 Symantec Çözümleri Bilgi Teknolojisi Politikalarının Oluşturulup Uygulanması Bilginin Korunması Kimlik Doğrulaması Sistemlerin Yönetilmesi Control Compliance Suite Data Loss Prevention Suite and Encryption VeriSign Identity and Authentication IT Management Suite Altyapının Korunması Symantec Protection Suite 39

40 Teşekkürler! En İyi Koruma Düşük Toplam Sahip Olma Maliyeti En Yüksek Performans