Kişisel verilerin korunma kanunu gereği yasalar ile belirlenmiş 17 teknik tedbir bulunmaktadır. Bunların birçoğunu açık kaynaklı çözümler ile ekonomik bir biçimde işletmenizin SecOps sürecinin altyapısı ve parçası haline getirebilirsiniz.

1. Yetki Matrisi (human operated)

Kim, hangi konumlara (donanım\klasör\dosya), nasıl (özel olarak oluşturulmuş kablolu veya kablosuz ağ, VPN, Proxy v.b.), neden (hangi amaçla), nereden, ne kadar süre ile erişmeli sorusuna cevap verebilmeliyiz.

2. Yetki Kontrol (human operated + SIEM)

Yetki matrisindeki tanımların varlık sebepleri bir sebeple sonlandı ise yetkilerinden iptal edildiği kontrol edilmelidir. Örneğin; işten ayrılma, görev tanımı değişimi, erişim sebebinin ortadan kalkması v.b.

3. Erişim Logları (SIEM)

İşletmenin sahip olduğu, ağa bağlı tüm donanımlardan işlem kayıtlarının toplanması gerekmektedir. Ajansız mimari kapsamında zeek kullanılabilir. Internet ve Intranet arasında tüm paket trafiğini kaydeder.

  • Windows Server,
  • SQL Server,
  • Linux Server,
  • Windows PC (personel, kiosk),
  • Linux PC (personel, ekran, turnike),
  • Windows CE (el terminali),
  • CCTV kameralar,
  • Kablosuz ağ geçitleri,
  • Kablolu ağ geçitleri,
  • Güvenlik Duvarı,
  • VPN geçitleri,
  • Modemler,
  • Switch'ler,
  • Router'lar,
  • Access Point'ler,
  • Authentication sunucular,
  • Sanal makineler ve kontaynerlar,
  • SAN birimleri,

4. Kullanıcı Hesap Yönetimi (Azure AD Connect + Office 365 MFA)

Office 365 üzerindeki hesapların Active Directory ile iliştilendirilmesi ve Office 365 üzerindeki MFA seçeneğinin zorunlu hale getirilmesi yeterlidir.

https://teknolojikadam.com/cloud-computing-saas/2018/07/20/office-365-icin-multifactor-authentication-mfa-nasil-ayarlanir/

https://docs.microsoft.com/tr-tr/office365/admin/security-and-compliance/set-up-multi-factor-authentication?view=o365-worldwide

https://docs.microsoft.com/tr-tr/azure/active-directory/authentication/howto-mfaserver-dir-ad

https://www.mshowto.org/azure-ad-connect-kurulumu.html

5. Ağ Güvenliği (pfSense)

Yazılımsal ve/veya donanımsal firewall kurulmalıdır. pfSense ilk akla gelen yazılımsal güvenlik duvarı uygulamasıdır.

https://zentyal.com/community/
https://www.nethserver.org/learn-more/

Ağ akış (flow) analizi:

  • Nfsen,
  • FLOWBAT,
  • Silk (from CERT NetSA)

6. Uygulama Güvenliği (common antivirus)

Trend Micro, Sophos, McAfee v.b. piyasada bir çok antivirüs yazılımı mevcuttur.

7. Şifreleme (Cryptomator (client only or server-client), Encrypto, VeraCrypt, PGP)

Şirket bünyesinde kullanılan verilerin içerik ve güvenlik düzeylerine göre şifrelenmesi gerekmektedir.

8. Sızma Testi (human operated)

Gerekli yetkinliğe ve belgeye sahip şahıs/kurum/kuruluş yapabilir. Gizlilik ve angajman kuralları çerçevesinde bir sözleme ile yürütülmelidir.

9. Saldırı Tespit ve Önleme Sistemleri (SIEM)

Hem tutulan log kayıtlarını analiz edecek, hem de tanımlanan kurallara göre farklı aksiyonlar alacak, güvenlik duvarına göre daha dinamik bir yapıya sahip altyapısı olan uygulamalar bütünüdür.

Wazuh veya SecurityOnion kullanılabilir.

https://securityonion.readthedocs.io/en/latest/installation.html

Saldırı Tespit/Engelleme Sistemleri (IDS) ve tipleri:

  • Host-based intrusion detection system (HIDS) : yazılım ajanları üzerinden her uç noktadan gelecek kayıtlara göre işini yapar
    • ossec
    • wazuh
  • Network intrusion detection system (NIDS) : güvenlik duvarından sonra tüm ağı dinleyerek işini yapar
    • snort
    • suricata
    • zeek
    • owlh
  • Perimeter Intrusion Detection System (PIDS) : fiziksel olarak hatta bir sızma varsa onu anlamaya yönelik çözümlerdir.
  • VM based Intrusion Detection System (VMIDS) :

10. Log Kayıtları (SIEM)

Madde 3 kapsamında toplanan erişim loglarının değerlendirilmek üzere ilgili teknik çözüm ile paylaşılması gerekmektedir.

Veri toplama, analiz etme ve görselleştirme:

  • ELK (Elastic Search – Logstash - Kibana),
  • Splunk,
  • Snorby,
  • Moloch,
  • OSSEC HIDS

11. Veri Maskeleme

Bilgilerin sadece bir kısmını görmeye yetki verilmiş ve bu şekilde çalışmalarına devam etmekle sorumlu olan kişilerin, bilginin sadece izin verildiği kadarını görmeye imkan tanıyan yazılım altyapısıdır. Genelde bu tarz bilgilerin olduğu veri tabanı, maskeleme uygulaması tarafından klonlanır, ihtiyaç halinde ön tanımlı maske ile veri gizlenir ve kullanıma sunulur.

https://github.com/TheSoftwareHouse/fogger
https://arx.deidentifier.org/
https://amnesia.openaire.eu/
https://docs.microsoft.com/en-us/sql/relational-databases/security/dynamic-data-masking

12. Veri Kaybı Önleme Yazılımları (O365 DLP, tespit --> SIEM)

https://www.la-samhna.de/samhain/index.html
https://docs.microsoft.com/en-us/microsoft-365/compliance/data-loss-prevention-policies
http://afick.sourceforge.net/
https://code.google.com/archive/p/opendlp/

Office 365 DLP özelliğini aşağıdaki Office 365 planları içerisinde yer almaktadır:

  • Office 365 E3/A3/G3, Microsoft 365 Business, Microsoft 365 A1/E3/A3/G3

13. Yedekleme

Ağa dahil olan, olmayan tüm cihazların, en kritikten başlayarak belirlenen periodlarda güvenlik ahantarı/mekanizması da kullanılarak yedeklenemelidir. Ayrıca yedeklerden geri dönüşün mümkün olduğunun doğrulanması gerekmektedir. Saklanmasına gerek kalmayan yedekler imha edilme mantığı ile silinmelidir.

https://backuppc.github.io/backuppc/BackupPC.html
http://www.urbackup.org/
https://fogproject.org/
https://burp.grke.org/
https://www.bacula.org/
http://safekeep.sourceforge.net/
http://www.amanda.org/

14. Güvenlik Duvarları

Madde 5'in kapsamı içindedir.

15. Güncel Anti-Virüs Sistemleri

Madde 6'nın kapsamı içindedir.

16. Silme, Yok Etme veya Anonim Hale Getirme

Verinin depolandığı donanımlardan, geri dönüştürülemeyecek şekilde bilginin silinmesi işlemidir. En hızlı yöntemi, kripto anahtarına sahip olan bir diskin, kripto anahtarının silinmesidir. Bu durum söz konusu değilse, mevcut verinin üzerine belli sayıda rastgele veri yazılarak silme adımının uygulanması önerilir. Eğer diskin kullanımı söz konusu olmayacak ise fiziksel imha yöntemi de tercih edileiblir.

https://eraser.heidi.ie/
https://www.bleachbit.org/
https://github.com/DevelopersTree/permadelete
https://docs.microsoft.com/en-us/sysinternals/downloads/sdelete
http://www.edenwaith.com/products/permanent eraser/

17. Anahtar Yönetimi

Madde 4'ün kapsamı içindedir.


== Örnek Kurallar ==

Örnek şablon: X olayı Y sürede (saniye,dakika,saat) T adet olursa, ardından da A sürede, K olayı olursa ve B sürede de C olayı olmazsa bildir/uyar.

1- Bir Kullanıcı 20 dakikada 2 defa yetkisi olmayan ve kişisel veri içeren sunucu veya db ye oturum açmayı dener ise bu ikinci denemeden önceki 20 dakika içinde internet birşeyleri download etmişse uyar,

2- Herhangi bir kullanıcı yetkisi olmayan bir kişisel veri kaynağına (Sunucu, dosya, DB) erişmeye çalışıyor ve bunu haftada 2 veya daha fazla yapıyorsa tespit et,

3- Veri sorumlusu dışındaki herhangi bir kullanıcı yetki matrisinde tanımlanan yetkileri dahilinde dahi olsa aynı anda 2 farklı kişisel veri içeren sunucu veya DB ye erişiyorsa uyar,

4- Veri sorumlusu dışında iki farklı kullanıcı aynı anda aynı kişisel veriye erişirse uyar,

5- VPN yapan bir kullanıcı, yetkisi dahilinde olan makinaya RDP yaptıktan sonra o makinadan 2. bir makinaya RDP denemesi yapar ve bu 2. makina da kişisel veri içeren bir makina olursa uyar,

6- Veri sorumlusu da dahil olmak üzere anyı anda hem kişisel verilere erişiyor hem de internete çıkıyorsa uyar,

7- Bir kullanıcı 15 dk da birden fazla veya en az 30 dakika ara ile günde 1 ‘den veya en az 24 saat arayla haftada 1 den fazla şifre değiştirirse kullanıcıyı disable et,

8- Herhangi bir kullanıcının bir gün içerisinde kişisel veri içeren sunucuları veya DB lere yaptığı başarısız oturum sayısı başarılı oturum sayısının %10 unu aşarsa uyar,

9- Herhangi bir kullanıcının son bir hafta içerisinde kişisel veri içeren sunucuları veya DB lere yaptığı başarısız oturum sayısı başarılı oturum sayısının %10 unu aşarsa uyar,

10- En az yarım saat ara ile günde 1 ‘den fazla şifre değişirse kullanıcıyı disable et,

11- Veri sorumlusu hariç herhangi bir kullanıcı günde 1 den fazla kişisel veri içeren ve yetkisi dahilinde olmayan sistemlere (Sunucu, dosya veya DB) erişirse veya denerse o kullanıcıyı disable et,

12- Yetkisi arttırılan bir kullanıcı olursa anında (gerçek zamanlı olarak) tespit et,

13- Veri sorumlusu dışındaki bir kullanıcı kişisel veri kaynaklarının (Sunucu, dosya, DB vb..) %10 undan fazlasına ayın en az 10 günü erişiyorsa uyar,

14- Aynı kullanıcının son 72 saat içerisinde kişisel veri kaynaklarına erişiminde anormallik varsa tespit et,

15- Aynı kullanıcı kişisel veri içeren sunucu, dosya ve DB ye 24 saatte 1 den fazla yetkisiz erişim denerse tespit et ve bloka,

16- Aynı IP ve kullanıcı adı ile 1 ay içerisinde 1 den fazla local firewall veya firewall tarafından bloklanan IP ve kullanıcı yetki matrisi dışına çıkmaya çalışırsa tespit et,

17- Bir kullanıcı kişisel verilerin bulunduğu ve yetki matrisi çerçevesinde erişim yapabileceği tablolardan birine öğle yemeği sırasında 1 defa yanlış şifre deneyip çekip gitti ve bunu arka arkaya 2 gün denerse tespit et

18- Gönderilen maillerin konu kısmında Kredi Kartı veya T.C Kimlik Numarası varsa tespit et,

19- File Server da erişilen dosyaların adında kredi kartı veya TC kimlik kartı geçerse tespit et,

20- E-mail eklentisindeki dosya adında kredi kartı veya TC kimlik kartı geçerse tespit et,

21- Veritabanından çekilen SQL sorgularında TC kimlik veya kredi kartı bilgisi varsa uyar,

22 - VPN yapan bir kullanıcı, yetkisi dahilinde olan bir makinaya RDP yaptıktan sonra o makinadan yine yetkisi dahlinde olan 2. bir makinaya RDP yapar ve bu 2. makinada çalıştırmaması gereken bir program çalıştırır ise uyar,

23- Herhangi bir kullanıcı 30 gün içerisinde 10 farklı kişisel veri kaynağına erişirse tespit et,

24- Herhangi bir kullanıcı 30 gün içerisinde 3 farklı kişisel veri kaynağına erişmeye denerse ve başarısız olursa tespit et,

25- Kişisel veri erişimi yapan bir kullanıcı, bu işlemi yaptığı kullanıcı ve IP ile 24 saat içerisinde 1 den fazla farklı hedef IP için bloklanırsa tespit et,

26- Admin grubunda olmayan bir kullanıcı , herkes tarafındna erişilen ortak makinalar haricinde 24 saat içinde 2 . makinaya başarısız oturum denediği anda uyar,

27- Bir kullanıcı son 6 aydır hiç login olmadığı yetkisi dahilinde olan kişisel veri içeren bir makinaya erişirse ve son 20 dakika içerisinde aynı kullanıcı internet erişimi yaptı ise uyar

28- Eğer son 24 saat içinde oluşturulmuş ve Alexa da ilk 1 milyona girmeyen veya bizim White liste aldığımız listede olmayan bir domaine trafik veya o domainden bize doğru bir trafik oluşursa bizi uyar

kuralların birçoğunun kaynağı: https://medium.com/@eakbas/kvkk-siem-senaryo-ve-kuralları-5fd8f3fe8077