İçereği Atla

Veri Sızıntısı Önleme (DLP) Sistemleri Nasıl Çalışır?

Dijital dönüşümün hızlandığı günümüzde şirketler için en değerli varlıklardan biri veridir. Finansal kayıtlar, müşteri profilleri, sözleşmeler, fikri mülkiyetler ve stratejik planlar yalnızca bilgi değil aynı zamanda marka değerinin temel taşıdır. Veri Kaybını Önleme (Data Loss Prevention – DLP), bu önemli varlıkların kaybolmasını, sızdırılmasını veya kötüye kullanılmasını engellemeye yönelik bütünsel bir güvenlik yaklaşımıdır. Yalnızca bir yazılım değil; teknoloji, politika ve operasyonel süreçlerin birlikte çalıştığı bir güvenlik mimarisidir.
13 Aralık 2025 yazan
Veri Sızıntısı Önleme (DLP) Sistemleri Nasıl Çalışır?
Amina KAPTAN
 

Veri Kaybını Önleme (DLP) Nasıl Çalışır? Derinlemesine Açıklama

DLP çözümleri, hassas verilerin hangi formatta, nerede ve nasıl hareket ettiğine göre algılama, sınıflandırma, izleme ve müdahale yöntemlerini bir arada kullanır. Çalışma prensibi üç ana katman üzerinden yürür:

Veri Alma ve Sınıflandırma Motoru (Content Inspection Engine)

DLP’nin kalbi, verinin içeriğini ve bağlamını analiz eden analiz ve sınıflandırma motorudur. DLP yalnızca dosya adını veya uzantısını kontrol etmez; dosyanın içindeki içerik, yapılar ve bağlamsal bilgileri değerlendirir.

Kullanılan teknikler:

    1. Pattern (Kalıp) Match: Örneğin kredi kartı numarası, TC kimlik formatı, IBAN.
    2. Regex (Regular Expressions): Belirli kurallı pattern’lerin otomatik tespiti.
    3. Keyword Dictionary: “Gizli”, “Confidential”, “HR”, “Salary” gibi kelime setleri.
    4. Exact Data Match (EDM): Kurum içi hassas kayıtları hashleyerek birebir eşleşme tespiti.
    5. Machine Learning ve NLP:
    6. Metnin içeriğine bakarak hassasiyet derecesi çıkarımı.
    7. Belgelerdeki anlam ilişkilerinin analizi (örn. Ar-Ge dökümanı tespiti).

Bu aşama sayesinde DLP, verinin sadece formatını değil ne olduğunu ve önemini de kavrar.

Veri Hareket ve Davranış Analizi

Birçok veri ihlali, içerik normal görünse bile davranış düzeyinde anormallik barındırır. Modern DLP sistemleri bu yüzden kullanıcı hareketlerini ve veri akışını izler.

Neleri izler?

    1. Dosyanın cihazdan USB’ye kopyalanması
    2. E-posta eki olarak gönderim
    3. Bulut depolamaya yükleme
    4. VPN dışı paylaşım
    5. Chat platformlarında dosya gönderimi (Teams, Slack vb.)
    6. API veya entegrasyonlar üzerinden sızdırma (CRM, ERP)

Davranışsal Analitik

DLP, kullanıcının geçmiş davranışını öğrenir ve bir risk profili oluşturur.

Örnek:

    1. Normalde satış raporu açan bir çalışan,
    2. Birden 1500 müşteri dosyasını ZIP yapıp USB’ye atıyorsa,
    3. Sistem bunu “mass exfiltration attempt” olarak algılar.

Bu, insider threat dediğimiz iç tehditleri yakalamada kritiktir.

Bağlama Dayalı (Context-Aware) Politikaların Uygulanması

DLP sadece “var/yok” mantığıyla çalışmaz; ortam bağlamını değerlendirir:

    1. Kullanıcı rolü
    2. Dosya kaynağı / hedefi
    3. Giriş yapılan ağ türü
    4. Kullanılan cihaz (kurumsal mı, BYOD mu?)
    5. Şifreleme durumu
    6. Geri dönüşümlü vs geri dönüşümsüz işlem

Örneğin:

    1. Aynı müşteri sözleşmesi
    2. İç ağdaki kurumsal kullanıcı için izinli
    3. Gmail üzerinden dışarı transfer edildiğinde engellenir
    4. VPN dışına çıktığında şifreleme zorunlu hale gelir

Bu dinamik politika modeli, yalnızca veriyi değil durumu da analiz eder.

Gerçek Zamanlı Önleme veya Kontrollü Müdahale

DLP olası risk algıladığında farklı seviyelerde işlem yapabilir:

Soft Blocking (Yumuşak müdahale)

    1. ​ Kullanıcıya uyarı verir.
    2. ​ İşlemi onaylamasını ister.
    3. ​ Eğitim amaçlıdır.

Hard Blocking (Kritik müdahale)

    1. İşlemi tamamen durdurur.
    2. Cihazdan diske yazmayı engeller.
    3. E-postayı göndermez.
    4. API çağrısını keser.

Orta seviye

    1. Dosyayı otomatik şifreler.
    2. Maskelenmiş sürüm gönderir.
    3. Logları SIEM’e gönderir.
    4. Olay yanıt sistemi (SOAR) ile entegre çalışır.

Uç Nokta (Endpoint) + Ağ + Bulut Entegrasyonu

Modern DLP çözümleri üç katmanda konuşlanır:

Endpoint DLP

    1. Laptoplar, masaüstleri, mobil cihazlar
    2. USB, Bluetooth, yazıcı, ekran görüntüsü engelleme
    3. Çevrimdışı (offline) izleme bile yapabilir

Network DLP

    1. E-posta geçişi
    2. Web trafiği
    3. FTP veya proxy
    4. SSL inspection

Cloud DLP (CASB entegrasyonu)

    1. Google Drive, Dropbox, OneDrive
    2. SaaS uygulamalar
    3. API tabanlı inceleme
    4. Shadow IT tespiti

Bu yapı, verinin bulunduğu, taşındığı ve işlendiği her ortamı kapsar.

Olay Yönetimi ve Sürekli Öğrenme

DLP sadece engellemez; olayları kayıt altına alır ve öğrenir.

    1. Risk seviyesine göre otomatik etiketleme
    2. Kullanıcı davranış skorlaması
    3. Zaman serisi analizi
    4. Sürekli politika iyileştirme

SIEM, SOAR ve IAM (kimlik yönetimi) sistemleriyle birlikte çalışarak kurumsal güvenlik orkestrasyonu sağlar.

Çok Özet Akış (Teknik)​

    1. Veri taranır → İçerik + bağlam sınıflandırılır
    1. Davranış analizi yapılır → Kullanıcı/cihaz/network davranışı incelenir
    1. Politika karşılaştırması → Kurumsal kurallara göre risk hesaplanır
    1. Önleme uygulanır → Engelleme, şifreleme, izin, izleme
    1. Olay yönetimi → Loglama, SIEM, raporlama, eğitim ve revizyon

Veri Sızıntısı Önleme (DLP) Sistemleri Nasıl Çalışır?
Amina KAPTAN 13 Aralık 2025
Bu gönderiyi paylaş
Etiketler
Arşivle
Giriş to leave a comment