Ekim 2020

INTERSET ILE KULLANICI DAVRANIŞ ANALİZİ

Günümüzde değişim ve dönüşümler dijital dünyada da takip edilmesi güç seviyede hızla devam etmektedir. Bu doğrultuda birçok yapıda fiziki ve dijital varlıkların denetim altında ikame edilmesi ve faydacı kullanımının yanında güvenli bir biçimde işleyişe devam etmesi de önem arz etmektedir. Siber güvenlik kapsamında kullanıcı erişimi olan tüm cihazlar, programlar, websiteleri, e-posta, doküman ve cloud ortamında depolanan tüm veriler, güvenliği sağlanması gereken fiziki/dijital yapılar olarak ele alınabilir. Tüm bu varlıkların yer aldığı multidisipliner yaklaşımla oluşturulan yapılarda iç ve dış tehditlere karşı zamanı en efektif biçimde kullanarak aksiyon alınabilmesi hedeflenmektedir. Dış tehditlere yönelik onlarca güvenlik aracından oluşan envanterleri yönetirken, olası iç tehditleri de tespit ederek güvenlik kapsamında büyük resimde tam görünürlük sağlamak gerekmektedir. Büyük resimde tüm ayrıntıları dikte edebilmek için korelasyon teknolojisiyle işleyen kural tabanlı güvenlik ürünlerine ek olarak unsupervised machine learning alt yapısına sahip UEBA teknolojilerinden bahsedilebilir.

Bildiğimiz gibi SIEM ürünleri temel olarak input ve output verileri öngörülerek hazırlanan kural/korelasyon teknolojisine dayanmaktadır. Birçok kuruluş bilinen tehditler için verimli bir tespit yöntemi olarak SIEM ürünlerini kullanmaktadır. Ancak sürekli değişen ve ilk tespit anına kadar bilinmeyen saldırılar için davranış analizi teknolojileri de ilave tercih sebebi haline gelmektedir. Kural ve korelasyonların statik yapısı sürekli güncellenmeyi gerekli hale getirirken, makine öğrenimi teknolojisini kullanan UEBA ürünleri dinamik kullanıcı hareketlerini analiz ederek, kullanıcı bazlı bir normal oluşturma ve bu normalin dışında bir durum söz konusu olduğunda tespit ederek potansiyel riskleri analiz etmeyi mümkün kılmaktadır.

Neden Davranış Analizi?

Her sistemde faal olan birçok kişi ve cihaz yer almaktadır. Sistemi içeriden ya da dışarıdan birinin tehdit etme ihtimali ise her zaman vardır. Bu durum gerçekleşmeden önce tespit edilmesi için bazı faaliyetlerin normalin dışında seyrettiğini önceden fark etmek gerekmektedir. Örnek olarak oturum açma sıklığındaki ya da saatlerindeki değişimler anormal bir durum olacağı için risk olarak baz alınabilir. Bu doğrultuda kişi ve nesneleri izleyen, ve eylemleri analiz ederek anormallikleri tespit eden bir yapı, güvenlik konseptine ışık tutacaktır.

Bir iş görüşmesine gittiğimizde “Kendinizden biraz bahseder misiniz?” sorusuna cevap verirken genel hatlarıyla bir profil betimleyebiliriz. Anahtarı kapıda unutma gibi bir alışkanlığımız olduğuna değinmeyiz. Ya da uzaktan çalışma sürecinde iş bilgisayarıyla Starbucks’ta wifi’a bağlanıp vpn’de çalışmayı tercih edeceğimiz ayrıntısına girmeyiz. Bu gibi örnekler küçük ayrıntılar olabilir. Ancak kişi/kurum bazlı bazı durumlar stabil ve zararsız olabileceği gibi, dinamik olayların bazen risk barındırabileceğinin de farkında olmamız gerekmektedir. Bu farkındalığı sağlamak davranış analizi alt yapısıyla çalışan ürünler aracılığıyla mümkün olabilmektedir. Bu doğrultuda tüm kullanıcı ve nesneler için bir normal oluşturup bu normalin dışında bir aksiyon gerçekleştiğinde kişi ve nesne profili bazında risk puantajı gerçekleştirerek aksiyon alan UEBA ürünleri kurumlar için risk analizini doğal bir süreç haline getirmektedir.

Davranış Analizinde Unsupervised Machine Learning Teknolojisi

Günlük yaşamın birçok alanında yer edinmeye devam eden makine öğrenimi teknolojileri UEBA ürünlerinin de altyapısını oluşturmaktadır. Genel olarak makine öğrenimi teknolojileri ağırlıklı olarak supervised ve unsupervised tekniklerini kullanmaktadır. Supervised machine learning algoritması aşağıdaki denklem üzerinden açıklanabilir.

Y = f(x)

Eğer input (x) ve output (y) değişkenleri mevcutsa ve input-output arasında eşleştirmeyi sağlayan bir algoritma kullanılıyorsa bu supervised machine learning çalışma örneği olarak ele alınmaktadır. Örnek olarak plaka tanıma sistemlerini düşündüğümüzde, araçların plakaları okunur (input), dataset ve labellar arasında bu plakaya karşılık gelen bir kayıt olup olmadığı kontrol edilir. Eğer plaka kaydı sistemde yer alıyorsa denklemde girilen input değerine karşılık gelen output yer aldığı anlamına gelir ve işlem tamamlanır. Araç geçişi sağlanır. Ancak bazı durumlarda bilinmeyen çıktılar da söz konusu olabilmektedir. Unsupervised machine learning algoritmalarında ise kümeleme ve ilişkilendirme işlemleri yer almaktadır. İnput değerlerine karşılık gelen output değerleri yerine, input değerlerine bağlı olarak doğal süreçle oluşan algoritma sayesinde output değerleri ilişkilendirme ve gruplama yöntemiyle oluşturulur. Örnek olarak mesai saati başlangıcı için genel tabirle input değeri 08:00 olabilir. Ancak bu değer değişebileceği gibi bu duruma direkt statik bir output değeri atamak mümkün değildir. Bu doğrultuda kişilerin mesaiye başlama saatlerine göre gruplandırma ve normal bir değer aralığı belirleyip normalin dışında kalan kişileri normale uzaklığa göre risk puanlamasına tabi tutmak mümkündür.

İç ve dış riskler baz alındığında bazı tehditlerin, belirli data setleri ve veri kümelerine sahip olmaması nedeniyle tespit işleminin unsupervised machine learning algoritmalarıyla mümkün olacağı görülmektedir. Unsupervised machine learning etiketlenmiş veri kümeleri (belirlenen olası output değerleri) yerine, etiketlenmemiş veri kümelerindeki kalıplara bakarak olası output değerlerini gruplar ve normalin dışında seyreden bir durum gerçekleştiğinde, sistemde bu başlığı kapsayan bir label kümesi yer almamasına rağmen ilgili aksiyonu ilişkendirme ve gruplama prosedürü ile tespit edebilir.

UEBA Teknolojisiyle Interset

Davranış analizi aktörleri arasında Micro Focus ürün portföyünde yer alan Interset örnek gösterilebilmektedir. Interset, 2015 yılından itibaren güvenlik operasyonlarında davranış analizi tekniğini kullanarak olası iç tehditleri modelleyen ve güncel, karmaşık risk durumlarını tespit eden bir ürün olarak karşımıza çıkmaktadır. 2019 yılı itibariyle MicroFocus ürün ailesine katılan Interset ilave olarak ArcSight envanteri ile entegrasyon sağlayabilmektedir. Bu doğrultuda 0-100 arası risk puanları aracılığı ile iç tehditleri dikte ederek; kendi outputları ile SIEM outputları arasında ilişkilendirme yöntemiyle aksiyonu mümkün kılmaktadır.

Şimdi biraz soru cevap yöntemiyle bizler de Interset ürününün yapı ve davranış modelini analiz etmeye çalışabiliriz.

Interset Nedir? Ne amaçla kullanılır?

Interset, çoğunlukla dış tehditlere karşı konfigure edilen SIEM ürünlerinin yanında kuruluş bünyesinde meydana gelen ve varolan en riskli varlık ve davranışları belirleyerek, iç tehditleri tespit etme imkanı sunmaktadır.  Değişen çalışma biçimlerine bağlı olarak artık çalışanlar şirket dışında herhangi bir lokasyondan, evden ya da cep telefonundan çalışmaya devam edebilmektedir. Veri/hesap ihlali/hırsızlığı, kullanıcılar tarafından istemli ya da istemsiz etkinliklerle ilişkili olarak gerçekleşebilmektedir. Bu doğrultuda Interset risk durumlarını belirleyerek normalin dışında gerçekleşen durumları monitör imkanı sunmaktadır. Bu sayede kurumlar tarafından olası tehditlerin fark edilerek büyük resmin daha net görülebilmesi, küçük ayrıntıların belirginleştirilmesi ile sağlanmaktadır.

Interset Bileşenleri nelerdir?

Anomali tespitinde görev alan IntersetAnalytics, tüm verileri monitör etme imkanı sunan Interset UI, verilerin raporlanmasına olanak tanıyan Interset Exports, file server olarak görev yapan ve Spark2 konfigurasyon dosyalarının bulunduğu Interset-spark-config-server ile Interset API bileşenlerinden oluşmaktadır. 

Bunların yanında third party bileşenleri aşağıda sıralanmaktadır;

  • Elasticsearch, Logstash
  • Kibana
  • H2
  • Apache HDFS
  • Apache Spark2

Interset Nasıl Çalışır?

Interset, tehdit olarak gruplayabileceği aksiyonları davranış analizi metodu ile tespit etmektedir. İlk adım olarak kurum için farklı başlıklar bünyesinde normal olan davranışı belirler. Akabinde davranış analitiğini kullanarak potansiyel riskleri gruplar ve puanlar.

Temelde agentlar (smartconnector) aracılığı ile toplanan loglar; vertica altyapısıyla entegre hale getirilir. Logstash-Elasticsearch aracılığıyla indexlenir,anlamlandırılır. Kibana aracılığıyla monitör edilebilir. H2, tüm kullanıcı kimliklerini muhafaza eder. IntersetAnalytics Spark2 desteği ile faaliyet gösterirken, analytics çıktıları HDFS tarafından depolanır.

Interset Use Case Örnekleri Nelerdir?

Önceki başlıklarda da değindiğimiz gibi tüm kullanıcılar, hesaplar ve nesneler birer iç tehdit haline getirilebilir. Ya da kullanıcıların istemsiz aldığı birkaç aksiyon bir kurum bünyesindeki bir hesap ya da nesne için tehdit haline gelebilir. Kurum bünyesinde çalışanlar en zayıf halka olarak öngörülmekle birlikte kullandıkları fiziki ve dijital araçlarında (e-posta, bilgisayar, telefon) kurum güvenliği ihlaline sebep olmayacak biçimde stabil/olağan bir işleyişte ikame ettirilmesi gerekmektedir. Bu doğrultuda davranış analizi teknolojisi ile kurum içinde güvenlik duvarını daha sağlam hale getirmek için aşağıdaki use case lerden bahsedilebilmektedir.

Bu ve benzeri tüm durumlar için Interset, rastgele gibi görünen tüm verileri, büyük veri kümeleri halinde gruplandırarak, gerçekleşen her olay karşılığında risk durumunu işaret ederek modellerle eşleştirme sağlamaktadır.

Örnek olarak shela kullanıcısı ele alınabilir. Kullanıcının tüm aksiyonları kullanıcı bazlı normalize edilirken eş zamanlı diğer tüm kullanıcıların toplam aksiyonları da normalize edilmektedir. Bu doğrultuda kullanıcı hareketlerine ilişkin loglar aracılığı ile, kullanıcı ve kurum normali dışında bir faaliyet gerçekleştiğinde Interset Explore sekmesinde detaylı olarak söz konusu faaliyetleri incelenebilmektedir.

Shela kullanıcısının diğer kullanıcılara oranla hangi aktiviteyi, hangi düzeyde, ne zaman gerçekleştirdiğine ait detaylar aşağıda yer almaktadır.

İlave olarak grafik üzerinde ya da kronolojik olarak sıralı liste içerisinde ilgili event açıldığında kullanıcının ilgili aktivite için tespit edilen normal değeri ve diğer ayrıntılar da görülebilmektedir. Joshua adlı kullanıcının normalde ortalama saatte 1.5 kez FLARE.Interset.int’e login işlemi yaptığı, ancak kendi normalini değiştirdiği aktiviteye ait detaylar aşağıda yer almaktadır.

Diğer yandan kullanıcı aktivitesi kendi normalinin dışında ancak kurum bilgisi dahilinde bir faaliyet olabilir. False positive leri en aza indirmek için anomali tespiti ve risk puantaj sistemine müdahale imkanı da yer almaktadır. Tuning ve view events alanlarında ilgili loglar görüntülenerek export edilebilmekte ve arka planda koşan analitiğin söz konusu eventin risk değerini nasıl puanlayacağını belirlemek için önem derecesi değiştirilebilmektedir.

Özetle teknolojik gelişmeler hayatı kolaylaştırırken diğer yandan daha fazla veri ve daha fazla tehdit olarak dönüş sağlayabilmektedir. Nicel olarak artan verilerin paralelinde tehditlerin tespit edilmesi de her geçen gün daha fazla zaman gerekmektedir. Bu durumda UEBA teknolojileri kullanıcı ve nesne bazlı analizler aracılığı ile zamanı efektif kullanarak, güvenlik konseptine içeriden dışarıya doğru yeni bakış açıları sağlamaktadır.

Kaynaklar

https://www.microfocus.com/media/white-paper/machine-learning-in-the-soc-wp.pdf

https://www.microfocus.com/media/white-paper/what-makes-interset-different-part-1-wp.pdf

https://www.microfocus.com/en-us/solutions/interset-ueba

Eda Kaz

Devamını Oku
FORCEPOINT DLP’DE FINGERPRINTING VE MACHINE LEARNING

Günümüz teknolojisi sayesinde veriye ulaşmak oldukça kolay hale gelmiştir. Ancak bu durum özellikle kurumlar ve sahıslar için gizli tutulması istenilen verilerin üçüncü şahısların eline geçmesini de kolaylaştırmaktadır. Buna ek olarak kişisel ve kurumsal verinin korunmasını sağlamak için sektörel düzenleyici kurumların oluşturduğu kurallar ve bu kuralların ihlaline bağlı yaptırımlar, bu kurallara tabi bütün şirketleri etkin veri güvenliği politikaları uygulamasını zorunlu kılmaktadır.

Data Loss Prevention (DLP), türkçe karşılığı olarak veri sızıntısını önleme, kelime anlamından da anlaşılacağı üzere  kişisel veya kurumsal verinin istenilmeyen kişilere ulaştırılmasını digital olarak önlenmesi demektir. DLP, Forcepoint gibi firmaların ürettiği güvenlik yazılımları ile yapılmaktadır. Bu yazılım sayesinde kuruma veya tabi olduğu regulasyonlara bağlı olarak müşteri bilgileri, arge bilgileri, fiyatlandırma bilgileri gibi kurumlar için kritik sayılabilecek verilerin kulanıcı bilgisayarı veya şirket network’u gibi ortamların dışına çıkarılmasını engellenebilir veya kayıt altına alınabilir.

Kurum için kritik ve hassas olarak tanımlanmış verinin tespit edilmesinde, DLP yazılımları genel olarak basic (temel) DLP olarak adlandırılan dictionary (doğrudan kelime tespiti) veya regular expression (regex) yöntemlerini kullanırlar. Basic DLP yöntemleri bütün DLP yazılımları tarafından ortak olarak kullanılmaktadır. Ancak tahmin edileceği üzere bu yöntemler, başlı başına veri sızıntısını önlemede yeterli önlemler değildir. Forcepoint, basic DLP yöntemlerine ilave olarak sağladığı birçok özelliği sayesinde rakiplerinin önüne geçmektedir ve bu konuda fark yaratmaktadır.

Bu yazımda sizlere Forcepoint’in fark yaratan özelliklerinden Fingerprinting ve Machine Learning özelliklerinden bahsedeceğim. DLP tarafından tespit edilen verinin ilgili güvenlik politikalarına uyup uymadığı yani gerçekten bir veri sızıntısı olup olmadığının tespiti önemlidir. Özellikle basic DLP yöntemleri ile çok fazla false positive ve false negative’ler oluşur ve bu durum kurum için etkin bir güvenlik sağlanmasını zorlaştırır. Bu noktada fingerprinting yöntemi verinin DLP yazılımı ile doğru olarak tanımlanmasını çok düşük yanılma oranlarıyla yapılmasını sağlar. Ayrıca veri tespit yöntemlerinde en düşük false positive oranına sahip yöntemdir.

Fingerprinting:

Fingerprinting, kelime anlamı olarak parmak izi almak anlamına gelmektedir ve aslında insan parmak izinde ki eşsiz olma durumundan esinlenilmiştir. Forcepoint DLP, “PreciseID” adı verilen patent’li bir teknoloji kullanarak text bazlı dosyalar, veritabanları ve salesforce gibi sistemlerde fingerprinting teknolojisinden yararlanır ve datanın hash bilgisini çıkarır. Ayrıca File Fingerprinting ve Database fingerprinting olarak iki farklı yöntemle fingerprint işlemi uygular.

File Fingerprinting:

Forepoint DLP, file fingerprint işleminde ilgili dosyanın içini açıp, içeriğinin text halinin parmak izini alır. Bu işlem esnasında ilk olarak “canulization” olarak  adlandırılan yöntem ile text içerisinden bağlaç vs. gibi kelimeleri çıkararak sadece anlamlı olan kelimelerin parmak izini alır.

Bu işlemi bir örnek üzerinden anlatmak gerekirse, bir dosya içerisinde bulunan aşağıda ki metin açıldıkdan sonra ;

Bağlaç vs. gibi gereksiz tekrar oluşturan kelimeleri atarak geriye anlamlı kelimeleri bırakır;

Daha sonrasında ortaya çıkan kelimelerin, matematiksel bir algoritma kullanılarak hash değerleri hesaplanır.

Hash algoritması uygulanırken gereksiz kelimelerden arındırılmış olan paragrafın ilk olarak birinci, ikinci, üçüncü ve beşinci kelimeleri seçilerek ilk hash bilgisi çıkarılır. Daha sonra aynı yöntemle ikinci, üçüncü, Dördüncü ve altıncı kelimelerin yani 3 kelimede 1 bir kelime atlayarak bütün kelimelerin hash değerlerini alarak ilgili text için bir fingerprint database oluşturur. Sonrasında bu fingerprint database’i, kullanıldığı DLP politikasının uygulanacağı Forcepoint DLP komponent’lerine gönderilir. Böylelikle, örnek olarak Email kanalında fingerprint alınmış dosya için bir politika aktif edilmiş ise Email komponent’i üzerinde ki fingerprint database ile ilgili dosyayı yüksek kesinlikde tespit edebilmektedir. Ayrıca kullanıcı ilgili dosyanın belli bir kısmını kopyalayarak dışarı çıkarmak istese bile fingerprint database’de bütün kısımlar olduğu için kolaylıkla tespit edilebilmektedir.

Fingerprinting işlemi dosyanın içeriğine yapılır. Dolayısıyla, dosya tipi değiştirme gibi kullanıcılar tarafından DLP yazılımını yanıltmaya yönelik girişimler önlenmektedir.

Database Fingerprinting:

Forcepoint DLP ile bir database’e bağlantı kurup, ilgili tablonun istenilen kısımlarının fingerprint alınması sağlanabilir. Örnek olarak, bir database’de bulunan müşteri adı, soyadı ve TC kimlik no gibi alanları çıkarıp sadece bunların fingerprint alınması sağlanabilir.

Database bağlantıları ODBC ile sağlanmaktadır. Ayrıca Oracle, Microsoft SQL Server, IBM DB2, IBM Informix Dynamic Server, MySQL, Sybase ASE ve Teradata gibi database çeşitleri ile ODBC bağlantı kurup fingerprint alınabilmektedir.

Database fingerprint işleminde ilgili kurum tarafından fingerprint alınacak database tablolarının belirlenmesi önemlidir. Böylelikle gereksiz datanın fingerprint alınması ve false positive’ler oluşturması engellenebilir.

Machine Learning:

Machine learning (makina öğrenimi) bilgisayarların üzerlerinde bulunan önceden tanımlı kuralları kullanması yerine algoritmalardan ve çeşitli tekniklerden oluşan yapay zeka kullanma işlemidir.

Forcepoint DLP, sistem yöneticileri tarafından sağlanan örnekler ile, ilgili şirket’e özgü, gizli ve hassas verileri öğrenir. Bu durum sistemin eğitilmesi olarakta tanımlanabilir. Sonrasında sistem tarafından öğrenilen verilerin şirket network’ü dışına çıkışı izleme ve engelleme gibi DLP politikaları uygulanabilmesine imkan sağlar. Özellikle yazılım şirketlerinin ürettikleri kaynak kod gibi hızlı değişen hassas verilerin network dışına çıkarılmasını takip etme ve engellemede etkin bir yöntemdir.

Forcepoint DLP öğrenme işleminde iki farklı algoritma kullanmaktadır. Bunlardan birincisi olan “supervised learning algorithms” de sınıflandırılmış çeşitli data tipleri sağlanarak öğretim yapılır. Diğer bir algoritma tipi “unsupervised learning algoritms” ‘de ise diğerinin tam tersi olarak sınıflandırılmamış data, gruplandırılmış olarak DLP’ye sağlanır.

“Forcepoint DLP’de machine learning hangi durumlarda tercih edilmeli ?” sorusunun cevabını vermek gerekirse, aslında machine learning sağladığı kesinlik anlamında yani false positive oranı olarak fingerprint teknolojisinden daha düşük değerlere sahiptir.  Ancak belirttiğim gibi yazılım firmaları tarafından üretilen kaynak kod yazılımlarının sürekli değiştirilmesi gibi durumlarda tercih edilmesi tavsiye edilir. Sürekli güncellenen yazılımların olduğu bir data ortamını fingerprint ile veri sızıntısı olmayacak şekilde güncel tutmak pek mümkün değildir.

Sistemin çalışmasından bahsetmek gerekirse; DLP’nin beslenmesi için gerekli iki farklı data tipi vardır. Bunlar, DLP politikalarının uygulanacağı içerikler olan positif örnekler ve tam tersi olarak positif örneklerden ayırt edilmesi gereken negatif örneklerdir. Bu işlemi örnek bir senaryo üzerinden anlatmak gerekirse; positif örnek olarak patent alınmış orjinal kaynak kodların tutultuğu bir lokasyon gösterilmesi, negatif örnek olarak da geliştirilmekte olan kod parçalarının tutulduğu bir lokasyon gösterilebilir. Böylelikle sistem pozitif yani hassas veriyi negatif örnekden ayırt edebilir ve bu verinin dışarıya sızdırılması anında DLP ile tespit edebilir. Burda dikkat edilmesi gereken husus, pozitif ve negatif örnekler arasında ki çok yakın benzerlikler olması durumudur. Bu durumda en az 100-200 adet text halinde dokumanın bulunduğu lokasyonlarının DLP’ye sağlanması tavsiye edilir.

Negatif örnekleri sisteme öğretirken çok fazla örnek dosyaların tutulduğu bir klasör gösterilmesi önemlidir. Bu klasörde positif örneklerde olabilir ancak negatif örneklerin fazlalılığı sayesinde DLP tarafından öğrenilen örneklerin false positive oluşturma oranı düşecektir.

Sisteme bir örnek sağlandığında öğrenme işleminin nasıl sağlandığından bahsetmek gerekirse; DLP’nin kontrol ettiği klasör içinde ki dosya boyutu çok fazla ise bir örnekleme algoritması devreye girer ve klasörü birkaç kez örnekleme yapar ve birbirine olan benzerliklerini kontrol eder. Böylece ortaya daha kesin bir data çıkar.

Öğrenme algortimasına giren veri sonucunda eğer sonuç başarılı ise yani öğrenilebilir bir veri olduğu kararlaştılırsa aşağıda ki gibi bir ekran ortaya çıkar.

Machine learning işlemi sonucunda oluşturlan DLP politikaları çok fazla false positive veya false negative üretiyorsa, sistem sahipleri tarafından bir takım iyileştirme işlemleri yapmak gerekebilir. Burda ilk olarak yukarda ki ekranda “Sensitivity” olarak “default” ayarlı olan hassaslık seviyesini “narrow” olarak değiştirilebilir. Ayrıca false positive oranı çok yüksek ise positif örneklerin aynı konuyla alakalı olup olmadığı kontrol edilmelidir. Ayrı konu başlıklarında olanlar için farklı sınıflandırmalar yapmak için farklı klasörlere koyup machine learning işlemine tabi tutulmalıdır.

Forcepoint DLP Machine learning ve fingerprinting  işlemlerinin konfigurasyonları da oldukça basittir. Konfigurasyon esnasında iki yöntem içinde yapılan, hassas verilerin tutulduğu klasörleri tanımlamak ve bu klasörlerde read yetkili bir user credential bilgilerini girmektir. Machine learning için Fingerprint’den farklı olarak positif ve negatif örneklerin tutulduğu klasörleri ayrı ayrı tanımlamak gereklidir. Sonrasında Forcepoint sunucular üzerinde ki “crawler” adı verilen software ilgili klasörleri tarama işlemine tabi tutar. Tarama neticesinde oluşan veri için DLP üzerinde izleme ve engelleme gibi politikalar oluşturulmasına imkan sağlanmış olur. Özetlemek gerekirse, aşağıda ki tabloda verinin kesinlik sıralaması piramit şeklinde gösterilen DLP classifier yöntemlerinin her biri ayrı bir ihtiyaç için kullanımaktadır. Yani aşağıda ki tabloyu hangisi daha iyi ve tercih edilmeli şeklinde yorumlamak yanlış olur. Örnek vermek gerekirse, mail yoluyla “müşteri bilgisi” kelimelerinin iletilmesinin takip edilmesi en basit yöntem olan olan “Keywords” yöntemiyle yapılmalıdır. Ancak software firmaları örneğinde olduğu gibi çok hızlı değiştirirlen dosyaların DLP politikalı uygulanması için machine learning yöntemine ihtiyaç vardır. Ayrıca software örnekleri gibi daha az değişken datalar için fingerprinting kullanılmalıdır.

Sonuç olarak Fingerprinting ve Machine Learning özellikleri Forcepoint DLP ürününü diğer temel DLP yapan ürünlerden ayırmaktadır ve tercih sebebi haline getirmektedir. Hem fingerprinting hem de machine learning işlemleri sonrası oluşan data uygulanacak DLP politikaları sonucunda ister auditing denilen izleme işlemine, isterse de blocking adı verilen engelleme işlemine tabi tutulacakdır. Burada dikkat edilmesi gereken en önemli husus hangi data tipine hangi özelliğin uygulanmasının kararlaştırılmasıdır. Böylelikle DLP işlemlerinde ki false positive ve false negative oranları asgari düzeyde tutulabilir.

Kaynaklar

https://support.forcepoint.com/Documentation

Eren Yıldırım

Devamını Oku