Veri Kaybını Önleme (DLP) Nasıl Çalışır? Derinlemesine Açıklama
DLP çözümleri, hassas verilerin hangi formatta, nerede ve nasıl hareket ettiğine göre algılama, sınıflandırma, izleme ve müdahale yöntemlerini bir arada kullanır. Çalışma prensibi üç ana katman üzerinden yürür:
Veri Alma ve Sınıflandırma Motoru (Content Inspection Engine)
DLP’nin kalbi, verinin içeriğini ve bağlamını analiz eden analiz ve sınıflandırma motorudur. DLP yalnızca dosya adını veya uzantısını kontrol etmez; dosyanın içindeki içerik, yapılar ve bağlamsal bilgileri değerlendirir.
Kullanılan teknikler:
- Pattern (Kalıp) Match: Örneğin kredi kartı numarası, TC kimlik formatı, IBAN.
- Regex (Regular Expressions): Belirli kurallı pattern’lerin otomatik tespiti.
- Keyword Dictionary: “Gizli”, “Confidential”, “HR”, “Salary” gibi kelime setleri.
- Exact Data Match (EDM): Kurum içi hassas kayıtları hashleyerek birebir eşleşme tespiti.
- Machine Learning ve NLP:
- Metnin içeriğine bakarak hassasiyet derecesi çıkarımı.
- Belgelerdeki anlam ilişkilerinin analizi (örn. Ar-Ge dökümanı tespiti).
Bu aşama sayesinde DLP, verinin sadece formatını değil ne olduğunu ve önemini de kavrar.
Veri Hareket ve Davranış Analizi
Birçok veri ihlali, içerik normal görünse bile davranış düzeyinde anormallik barındırır. Modern DLP sistemleri bu yüzden kullanıcı hareketlerini ve veri akışını izler.
Neleri izler?
- Dosyanın cihazdan USB’ye kopyalanması
- E-posta eki olarak gönderim
- Bulut depolamaya yükleme
- VPN dışı paylaşım
- Chat platformlarında dosya gönderimi (Teams, Slack vb.)
- API veya entegrasyonlar üzerinden sızdırma (CRM, ERP)
Davranışsal Analitik
DLP, kullanıcının geçmiş davranışını öğrenir ve bir risk profili oluşturur.
Örnek:
- Normalde satış raporu açan bir çalışan,
- Birden 1500 müşteri dosyasını ZIP yapıp USB’ye atıyorsa,
- Sistem bunu “mass exfiltration attempt” olarak algılar.
Bu, insider threat dediğimiz iç tehditleri yakalamada kritiktir.
Bağlama Dayalı (Context-Aware) Politikaların Uygulanması
DLP sadece “var/yok” mantığıyla çalışmaz; ortam bağlamını değerlendirir:
- Kullanıcı rolü
- Dosya kaynağı / hedefi
- Giriş yapılan ağ türü
- Kullanılan cihaz (kurumsal mı, BYOD mu?)
- Şifreleme durumu
- Geri dönüşümlü vs geri dönüşümsüz işlem
Örneğin:
- Aynı müşteri sözleşmesi
- İç ağdaki kurumsal kullanıcı için izinli
- Gmail üzerinden dışarı transfer edildiğinde engellenir
- VPN dışına çıktığında şifreleme zorunlu hale gelir
Bu dinamik politika modeli, yalnızca veriyi değil durumu da analiz eder.
Gerçek Zamanlı Önleme veya Kontrollü Müdahale
DLP olası risk algıladığında farklı seviyelerde işlem yapabilir:
Soft Blocking (Yumuşak müdahale)
- Kullanıcıya uyarı verir.
- İşlemi onaylamasını ister.
- Eğitim amaçlıdır.
Hard Blocking (Kritik müdahale)
- İşlemi tamamen durdurur.
- Cihazdan diske yazmayı engeller.
- E-postayı göndermez.
- API çağrısını keser.
Orta seviye
- Dosyayı otomatik şifreler.
- Maskelenmiş sürüm gönderir.
- Logları SIEM’e gönderir.
- Olay yanıt sistemi (SOAR) ile entegre çalışır.
Uç Nokta (Endpoint) + Ağ + Bulut Entegrasyonu
Modern DLP çözümleri üç katmanda konuşlanır:
Endpoint DLP
- Laptoplar, masaüstleri, mobil cihazlar
- USB, Bluetooth, yazıcı, ekran görüntüsü engelleme
- Çevrimdışı (offline) izleme bile yapabilir
Network DLP
- E-posta geçişi
- Web trafiği
- FTP veya proxy
- SSL inspection
Cloud DLP (CASB entegrasyonu)
- Google Drive, Dropbox, OneDrive
- SaaS uygulamalar
- API tabanlı inceleme
- Shadow IT tespiti
Bu yapı, verinin bulunduğu, taşındığı ve işlendiği her ortamı kapsar.
Olay Yönetimi ve Sürekli Öğrenme
DLP sadece engellemez; olayları kayıt altına alır ve öğrenir.
- Risk seviyesine göre otomatik etiketleme
- Kullanıcı davranış skorlaması
- Zaman serisi analizi
- Sürekli politika iyileştirme
SIEM, SOAR ve IAM (kimlik yönetimi) sistemleriyle birlikte çalışarak kurumsal güvenlik orkestrasyonu sağlar.
Çok Özet Akış (Teknik)
- Veri taranır → İçerik + bağlam sınıflandırılır
- Davranış analizi yapılır → Kullanıcı/cihaz/network davranışı incelenir
- Politika karşılaştırması → Kurumsal kurallara göre risk hesaplanır
- Önleme uygulanır → Engelleme, şifreleme, izin, izleme
- Olay yönetimi → Loglama, SIEM, raporlama, eğitim ve revizyon
Veri Sızıntısı Önleme (DLP) Sistemleri Nasıl Çalışır?