Güvenlik

E-posta Güvenliği Hakkında Neler Yapılabilir? KVKK ile Birlikte Dikkat Edilmesi Gerekenler Nelerdir?

Günümüz iletişim teknolojileri arasında şüphesiz ki e-posta iletişiminin önemi ve kullanılma oranı yüksektir. Özellikle kamu kurumları, özel şirketler, bankacılık sektörü, ticarethaneler, eğitim kurumları gibi kamu ve özel sektörde yer alan kuruluşlar  yazılı iletişimde mail kullanımının yoğun kullanıldığı noktalardır.

Yazışmalar içerisinde kritik verilerin, bilgilerin ve özel içerikli bilgilerin yer yer paylaşılması ile birlikte saldırganların bu noktada doğabilecek zaafiyetleri değerlendirmesi ve istismar etmesi kaçınılmaz olmaktadır. Son yıllarda bunların yaşanılmış örnekleri ile saha da çok fazla karşılaşmaktayız ve hatta yer yer kendimizde mailbox ımıza düşen maillerde benzer saldırılara maruz kaldığımızı gözlemleyebiliriz.

Bu makalede sizlerle e-posta sistemlerinin güvenliğini nasıl sağlayacağımız konusuna ve özellikle son zamanlarda KVKK kurumuna ait yasal yönlendirmelerin e-posta sistemlerini nasıl etkilediği durumu hakkında da bilgi aktarıyor olacağım.

E-POSTA/MAIL SİSTEMİ NASIL ÇALIŞIR?

Geleneksel posta gönderme işlemini temel alan bir yapıya sahip olan mail sistemi 1970 li yılların ilk yarısında sadece yazılı-text içerikli veriyi paylaşabilirken, 1990 lı yılların 2. yarısından itibaren ses, görüntü, video veya html içerikli sayfaları da gönderebilen ergonomik ve anlaşılabilirliği yüksek bir iletişim aracı haline gelmiştir. Günden güne geliştirilen teknolojiler ve inovasyon ile bugün ki efektif ve kullanıcının ihtiyaçlarını karşılamaya yönelik iletişim aracı haline gelen sanal bir iletişim organı halini almıştır.

Mail sisteminin haberleşme alt yapısında günümüzde hala kullanımı devam eden TCP/IP modeli yer almaktadır. Bu yapıda yer alan hata denetimi ile mail lerin kaynak ve hedef arasında ki iletişiminden emin olmak adına bizlere yardımcı olduğunu gözlemlemekteyiz.

Mail yapısını oluşturan 2 ana unsur var:

  • Mail Server
  • Mail User/Client (Mail Kullanıcısı)

Özellikle günümüzde mail haberleşmesi mail sunucular üzerinden sağlanırken, kullanıcılarda kendi mobil cihazları ya da bilgisayarlarında yer alan client uygulamaları ile mail sunucu üzerinden mail alma-gönderme işlemlerini kolaylıkla yapabilmektedirler.

Mail sistemlerinde karşınıza çıkacak terimlerden de kısaca sizlere bahsetmek istiyorum Kavramlar hakkında genel bilgilere Internet üzerinden de ulaşabilirsiniz ancak makale içerisinde yer yer bahsedeceğim için üzerinden geçmekte fayda olacağını düşündüm.

  • SMTP (Simple Mail Transfer Protocol – Basit Mail Gönderme Protokolü ): Mail Server ile Mail kullanıcısı-göndericisi arasında iletişimi sağlayan protokoldür.
  • MTA (Mail Transfer Agent): Mail server ın bizaati kendisidir. Exchange, MerakMAil Qmail vb.
  • MUA (Mail User Agent ): Outlook, thunderbird vb. Maillerinizi mail serverdan alıp size görüntüleyen yazılımların genel adıdır.
  • IMAP (Internet Message Access Protocol): Çift yönlü çalışan mail kullanıcılarının server dan maillerini çekebilmesini sağlayan protokoldur. Header bilgilerini sizin karşınıza getirir.
  • POP3 (Post Office Protocol): Tek yönlü çalışır; maillerinizi-mail içeriklerini sunucudan indirmeniz için kullanılır.

Mail alma ve gönderme işlemleri aşağıdaki topolojiye benzer çalışmaktadır:

Detayına bakacak olursak, günümüz mail sistemlerinde kullanıcıya bir mail i göndermek için DNS sistemi (Domain Name System) temel alınarak mail gönderimi sağlanmaktadır. DNS ile alıcının alan adına karşılık gelen IP adresi belirlenmekte ve mail gönderimi alıcı adrese gönderilmektedir.

Bu sistemler bütününde bizlerin dikkat etmesi gereken durumlar ve bu mail trafiğinin hem güvenli hem de sorunsuz akmasını sağlamak için neler yapmamız gerekir? Makalemizin amacını belirten önemli sorunun bu olduğunu söyleyebiliriz.

E-POSTA/MAIL GÜVENLİĞİ NASIL SAĞLANMALIDIR?

E-mail güvenliği genel tanımında bize şunu söylemektedir:

  •  Bir e-mail/e-posta hesabının veya hizmet erişimine ait içeriği güvence altına almak için kullanılan topyekün önlemlerin bütününü ifade eder. Bir kişiye ya da kuruluşa ait olan e-posta adresinin ya da hesabının genel erişim korumasını sağlar.
  • Bir diğer bakış açısı ile de aslında söylenmek istenen şudur: “ Herhangi bir kuruluşa ait veya e-mail sistemi içerisinde yer alan kullanıcının maillerinin dışarıdan bir müdehalesi ile bir saldırganın yönlendirmesi sonucunda, mail üzerinden kullanıcıya ait verilerin istismar edilmesini önlemeyi sağlayan güvenlik sistemini bize sağlar.” diyebiliriz.

Son zamanlarda sahadan aldığımız ve gözlemlediğimiz duruma bakacak olursak; özellikle kamu kurumlarına ait mail adreslerine yönelik saldırılar ağ üzerinden gelebilirken, mail üzerinden de kullanıcıları zor durumda bırakabilecek ve kurumun içerisine bir şekilde girmeye çalışan saldırganlar, özellikle mail sistemleri üzerinden yoğun Spam/Phishing benzeri mailing çalışmaları yürütmektedirler. Saldırı yöntemlerini çeşitlendirmeyi başaran hacker ya da hacking grupları birçok farklı metot ile sizleri zor durumda bırakmayı, verilerinizi istismar etmeyi ya da sizin üzerinizden kurum içerisine sızmayı temelde amaç edinerek saldırılarını planlamaktadırlar. Sahaya baktığımızda kimi zaman maddi amaç güden saldırılar sürerken kimi zaman ise tamamen hizmeti zor durumda bırakacak saldırıların son kullanıcıları etkilediğini gözlemliyoruz(Mail Boxları Doldurma). Bu noktada Mail Güvenliğinin öneminin yüksek olduğunu ve bu konuda gereken farkındalığın sıklıkla son kullanıcılara yapılması gerektiğini destekleyecek çalışmalarda bulunmamız gerektiğini düşünüyoruz.

Özellikle “Aman ne gerek var; gereksiz yatırım; UTM üzerinde flow a baksak yeter” gibi düşünceniz var ise henüz mail üzerinden gelen bir saldırı ile karşılaşmamış ya da yoğun saldırı almayan (ancak bu hiç bir zaman saldırı alamayacağınız anlamına gelmez.) bir kurum ya da kuruluşta yer alıyor olabilirsiniz. Buna ek olarak kullancılarınız yaşadıkları problemi size yansıtmıyor da olabilir. Sahada buna benzer durumlarla da fazlasıyla karşılaşıyoruz. Peki nedir bu saldırılar ? Neler ile karşılaşabiliriz? Bu durumları aşağıda kısaca sıralayalım:

  • Spam/Phishing Ataklar (Aldatma-Oltalama),
  • Sosyal Medya Saldırıları,
  • Spoofing Ataklar (Sizin adresinizden başkalarına mail gönderme; gönderici ismini değiştirme-fake),
  • Dosya/Attachment bazlı saldırılar,(Exploitable)
  • Zero-Day/Sıfırıncı gün içerikli mailing saldırıları,
  • Password/Şifre çalmaya yönelik saldırılar,

Listeyi biraz daha uzatabiliriz; ancak saldırıların ortak noktası bellidir. Saldırıların amacı kullanıcıya ait bilgileri ya da kurumlara ait bilgilerin istismar edilmesi; bunun dışında ise kullanıcının kullandığı sistemi hacklemek ve kullanıcıdan maddi anlamda kazanımlar elde etmektir. Yöntemler farklılık gösterebilmektedir.

Yukarıda bahsettiğim saldırılar ile karşılaşmamak için veya bu gibi saldırılarda, ataklarda kullanıcılarınızın verilerini koruma altına almak ve veri güvenliğini sağlamak amacı ile sistemlerinizde mutlaka “Mail Gateway” ürünlerini değerlendirmeniz ve konumlandırmanız gerekmektedir. “Mail Gateway” cihazlarının temel amacı; mail sunucunuza ve mail kullanıcı hesaplarınıza yapılabiliecek saldırıların minimum düzeylere indirme ve hatta kullanıcılarınızın dikkatinden kaçabilecek durumlarda da arka planda gereken kontrolleri sağlayıp, mail trafiğini güvenli düzeye çıkarmaktır. Özellikle son zamanlarda gelişen mail güvenlik teknolojileri ile sistemlere düşen mailer kullanıcılara ulaşmadan otomatik olarak içerik kontrolü sağlanıp, eğer içeriğinde “.exe” gibi çalıştırılabilir bir dosya varsa çalıştırılarak analizi sağlanıp, kullancılara daha sonra iletimi sağlanacak şekilde yapıları bizler sunmaktadır. Bunun dışında yeni nesil ürünler,n içerisindesunulan tümleşik özellikler ile anti-virüs engine i ile gelen mail ya da giden mail de “malware” analizi sağlayabilirsiniz. Burada bir noktaya daha dikkatinizi çekmek istiyorum; özellikle son zamanlarda kurum içerisi kullancılardan dışarıya doğru spam mail ler gönderildiğini gözlemliyoruz. Giden mail lerde de benzer Güvenlik önlemleri sağlanarak global platformlar ile haberleşme sırasında ki spam ya da benzeri zararlı IP ya da domain olarak algılanma oranınızı minimize etmiş olursunuz.

Örnek birkaç saldırı yönteminde aşağıdaki gibi mailler kullanıcılara ulaşmıştır. Özellikle “Phishing/Oltalama” dedğimiz yöntem sıklıkla kullanılmaktadır. Bu bazen bir bankaya ya da kargo firması gibi görünen mail olabilir ya da ek te sizlerle birşeyler paylaşan bir mail gelebilir. Ek te yer alan dosya doğruluğu sağlanmamış bir uzantıya sahip olabilir; JPEG görünüp tıkladığınızda arka planda bir “.exe” uzantılı ya da “.msi“uzantılı bir yükleme dosyası olabilir. Tıkladığınızda kendisi otomasyon sağlayıp sizin kontrolünüzden çıkarak zararlıyı bilgisayarınıza ya da cihazınıza kurabilir. Başka bir örnek ise; sizlerin belirlediği doğrultuda mail kullanımının sağlanması ve kullanıcılarınızın mail adreslerini sadece kurumunuz ile ilgili işlerde kullanması gerekir. Sahada en çok gözlemlediğimiz ve aslında kullanıcılarınızında bir çoğunun kullanıcı adları ve şifrelereni kaptırma biçimi kendilerine tahsis edilen mail adresi ile alışveriş sitelerinde, kaynağı belli olmayan noktalarda ve güvenli olmayan yapılarda kendilerine verilen şifre ile beraber kullanması sonucu hesapların kolaylıkla teslim alındığını gözlemliyoruz. Ve sonrasında kurum içerisinide hatta kurum dışınada bu hesaplardan istenmeyen postalar akabiliyor.

“Her ne kadar farkındalık eğitimleri sağlansa da kişisel nedenler bazen insanların hata yapma ya da dikkat etmesi gereken noktada zaafiyet göstermesine yol açabilir.” Bu durumların sonucunda ise biz bilgi işlem personelleri olarak gereken önlemleri almaz isek kullanıcının hatasını bir nevi paylaşmış oluruz. Ancak güvenli bir altyapı kurarak yapımızı sağlamlaştırırsak kullanıcılarımızın mümkün olabildiği kadar mail üzerinde de temiz trafik kullanmasına zemin hazırlamış oluruz. Mail Güvenlik önlemlerini kısaca sıralamak gerekirse;

  • Mail Gateway – (Tekrarlıyorum-Gelen/Giden Mail Taraması)
  • Sandbox Çözümü kullanılmalı,
  • UTM üzerinde Anti-spam özellişği ile Layer3 iletişimi engelleyebilirsiniz,
  • DLP uygulanabilir,
  • SIEM ürünü ile entegre bir çözüm tercihi yapılmalı,
  • Mail şifrelemesi,
  • SPF, DKIM, DMARC kullanımı sağlanmalı, gereken kayıtlarda problem var ise düzeltilmelidir.

Sahada bir çok üretici yer almaktadır ve sizlere bu bahsettiğim Güvenlik unsurları hakkında “best practice” yöntemler sunmaktadır. (Trend Micro Inter-Scan Messaging Virtual/Physical Appliance+Deep Discovery Mail Inspector çözümü ile, FortiMail, Kaspersky Secure Mail Gateway vb.).

KVKK İLE MAIL GÜVENLİĞİ ÜZERİNDEKİ SORUMLULUKLARIMIZ NELERDİR?

KVKK kurumunun son zamanlarda yaptığı çalışmalarla birçok kamu kurumunda ve özel işletmelerde ağ güvenliğinin ve sistem güvenliğinin gereklilikleri noktasında bir farkındalığın ortaya çıktığını ve artık bu konularda hassasiyetlerin güçlendiğini belirtebiliriz.

 “Yasaklanmadıkça Her Şey Serbesttir” prensibi değil, “İzin Verilmedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesine dikkat edilmelidir.2018 KVKK Rehberi_Alıntıdır.”

Yukarıda yer alan bu ibare aslında tüm ağ ve sistem güvenliğini kapsamaktadır. Bu kısmı mail gateway cihazları ile sadece mail üzerinde uygulamak önem arz ettiğini düşünüyorum. “UTM cihazlarınızda flow-base yapacağınız işlemler mail güvenliğiniz için tek başına yeterli değildir.”

KVVK 2018 ve 2019 rehberlerinde özellikle mail tarafı için üzerimize alacağımız sorumluluk noktasının en başta “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” bölümü olduğunu düşünüyorum. Eğitimlerin seyrek olarak değil sık sık en azından ayda 1 ya da 2 gün şeklinde tekrarlanmasında fayda olacaktır. Mail üzerinde sıklıkla birimlerin amacına göre kişisel verilerin paylaşıldığını da gözlemliyoruz. Bu noktada KVKK özellikle kişisel verilerin korunmasını temel alan bir genelgeyi-politakayı önümüze çıkarmaktadır. Bundan dolayı birimlere özel ya da kullancılara özel genel takip yapmak ve veri transferlerini en azından loglama yöntemi ile takibini sağlayarak trafiğin takip edilmesi önemli bir noktadır.

Mail hesaplarının kullanıcıların şahsi makinelerinde açılan mail oturumu ile kullanılması da KVVK  2019 rehberinde 3.3 maddesi altında belirtilen ibare ile tedbirlerin alınarak ancak kullanılmasını işaret etmektedir. Bu kısmı ek bir bilgi olması adına paylaşıyorum. Günün sounda mail önce sunucnuza Mail Gateway üzerinden geçip sonrasında kulşlancıya ulaşacaktır.

Mail üzerinde herhangi birisi hesabını hacker lara çaldımış ise ve içeriden dışarıya ya da içeriden içeriye bir mailing saldırısı geliyor ise ve siz hala bu durumu tespit edecek sisteme sahip değil iseniz, “Kişisel Veri Güvenliği Takibi” altında yer alan hsuusları ihlal ediyorsunuz demektir. Kullandığınızsistemlerde bu durumu tespt edebiliyor ve raporlayabilir olmanız gerekmektedir.

Son günlerde özellik gmail, Hotmail vb. global mail hizmeti sağlayan noktalardan hizmet alan kurumlar içinde bir düzenleme geldi ve artık bulutta kişisel verilerin yer almaması gerektiği noktasında KVKK tarafından bir detay paylaşıldı. Buna göre yerel hizmet sağlayıcılar ya da local ağınız içerisinde veri güvenliğini ihlal edecek durum olmayacak şekilde Mail sunucu hizmetlerinizi yapılandırmanız gerekmektedir. Global alınan hizmetlerde mail trafiğinin analizi içinde ek hizmetler satın alınabilirken bu durumlarda ya yerel servis sağlayıcıdan bu hizmeti satın almanız ya da kurum içerisinde mail Güvenlik önlemlerinizi de almanız gerekmektedir. Burada KVKK verinin yurtdışına çıkmasını önlemek amacı ile yerel sağlaycılardan hizmet alınması hususunda bir açık kapı bırakmaktadır. Aşağıda KVKK sitesinde yayınlanan kararın özeti yer almaktadır:

*********************************************************************

Karar Tarihi         : 31/05/2019

Karar No              : 2019/157

Konu Özeti          : Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı ilişkin başvuru hakkında

Veri sorumlusunun ücretsiz bir kurumsal e-posta hizmeti sunan açık kaynak kodlu Zimbra aracılığıyla …… uzantılı kurumsal e-posta adreslerinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı hususunda Kurumumuz görüşlerini talep eden yazısının incelenmesi neticesinde Kurul tarafından,

  • Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine;
  • “Server”ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine

karar verilmiştir.

************************************************************************

İlgili Makaleler

4 Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu