İçindekiler
- Neden USB Portlarını Kapatmalısınız? (İki Yönlü Tehdit)
- 1. İçeri Giren Tehditler (BadUSB ve Ransomware)
- 2. Dışarı Çıkan Tehditler (Veri Sızıntısı ve İç Tehditler)
- "Biz USB Portlarını Japon Yapıştırıcısıyla Kapattık!" Mantığı
- Akıllı Çözüm: Merkezi Cihaz Kontrolü (Device Control)
- KVKK ve ISO 27001 Regülasyonlarında USB Yönetimi
- Verilerinizi Güvenle Kilitleyin
Milyon dolarlık güvenlik duvarlarınız, ufacık bir USB bellekle aşılabilir. İç tehditlere (Insider Threat) karşı şirket bilgisayarlarının USB portlarını akıllıca yönetmenin ve veri sızıntısını (DLP) engellemenin yöntemlerini anlatıyoruz.
Şirketinizin siber güvenlik altyapısına milyonlarca dolar yatırmış olabilirsiniz. Dünyanın en iyi güvenlik duvarlarına (Firewall), en gelişmiş antivirüs yazılımlarına ve kusursuz bir ağ mimarisine sahip olabilirsiniz. Ancak tüm bu devasa savunma kalkanı, masum görünüşlü, küçük bir plastik parçasının bir bilgisayarın yan tarafına takılmasıyla saniyeler içinde yerle bir olabilir: USB Bellekler. "USB Kapatma" veya "USB Engelleme" (Device Control), günümüzde sadece abartılı bir güvenlik önlemi değil, KVKK ve ISO 27001 gibi yasal regülasyonların dayattığı en temel zorunluluklardan biridir.
Neden USB Portlarını Kapatmalısınız? (İki Yönlü Tehdit)
USB cihazları şirket ağınız için çift yönlü bir otoban gibidir. Bu otobandan içeriye zehirli yükler (Zararlı Yazılımlar) girebileceği gibi, içeriden dışarıya da şirketinizin en değerli varlıkları (Veri Sızıntısı) kaçırılabilir.
Şekil 1: USB engelleme (Device Control) politikaları ile yetkisiz cihazların bilgisayarlara erişimi tamamen durdurulur.
1. İçeri Giren Tehditler (BadUSB ve Ransomware)
Siber saldırganların bir şirketi hacklemek için her zaman interneti kullanması gerekmez. Bazen bir kafede "unutulmuş" gibi bırakılan veya bir konferansta "eşantiyon" olarak dağıtılan şık bir USB bellek, aslında programlanabilir bir klavye (Rubber Ducky / BadUSB) olabilir. Personeliniz bu belleği "İçinde ne var acaba?" merakıyla bilgisayarına taktığı an, cihaz kendini bir klavye olarak tanıtır ve saniyede yüzlerce tuş vuruşu yaparak arka planda Fidye Yazılımını (Ransomware) veya bir arka kapıyı (Backdoor) sisteme yükler. Sistem, bu eylemleri meşru bir klavyeden geliyormuş gibi algıladığı için klasik antivirüsler bu durumu tespit etmekte çoğu zaman geç kalır. Tarihteki en ünlü siber saldırılardan biri olan İran nükleer tesislerinin vurulduğu Stuxnet vakası, içeriye sokulan tek bir enfekte USB bellek ile başlamıştır.
Şekil 2: BadUSB donanımları, bilgisayara takıldığı an kendini klavye olarak tanıtıp zararlı kod çalıştırabilir.
2. Dışarı Çıkan Tehditler (Veri Sızıntısı ve İç Tehditler)
Diğer senaryo ise verinin izinsiz dışarı çıkarılmasıdır. Terfi alamayan öfkeli bir personel veya rakip firmayla anlaşmış kötü niyetli bir çalışan (İç Tehdit / Insider Threat), yılların AR-GE verisini, müşteri cari hesaplarını veya kaynak kodlarını sadece birkaç saniye içinde cebindeki 1 Terabaytlık mini USB belleğe kopyalayarak elini kolunu sallaya sallaya şirketten çıkabilir. Fiziksel bir sunucuyu çalmaktan farksız olan bu durum, şirketinizi milyonlarca liralık zarara ve telafisi imkansız itibar kayıplarına uğratır.
"Biz USB Portlarını Japon Yapıştırıcısıyla Kapattık!" Mantığı
Özellikle kamu kurumlarında veya geleneksel işletmelerde görülen fiziksel USB portlarını silikonla doldurmak veya BIOS'tan tamamen devre dışı bırakmak, modern iş dünyasında sürdürülebilir bir çözüm değildir. Neden mi? Çünkü klavyeleriniz, fareleriniz, kulaklıklarınız, web kameralarınız ve akıllı tahta bağlantılarınız da bu portları kullanmaktadır. Tamamen kapalı bir sistem, personelin iş yapış süreçlerini baltalayacaktır.
Şekil 3: Akıllı cihaz kontrol panelleri, meşru cihazlara izin verirken veri depolama aygıtlarını bloke eder.
Akıllı Çözüm: Merkezi Cihaz Kontrolü (Device Control)
İşte bu noktada Inoguard olarak Veri Sızıntısı Önleme (DLP) ve Uç Nokta Güvenliği (EDR) mimarileriyle desteklenen Akıllı USB Engelleme politikalarını devreye alıyoruz:
- Beyaz Liste (Whitelist) Mantığı: Bilgisayarlara takılan klavye, mouse veya yazıcı gibi zararsız USB donanımları sorunsuzca çalışmaya devam eder. Ancak içerisinde veri saklanabilen (Mass Storage) flash bellekler, taşınabilir hard diskler veya MTP/PTP modunda bağlanan akıllı telefonlar anında engellenir (Read/Write Block).
- Donanım Şifrelemesi (Encryption): Bazı durumlarda personelin illaki bir USB bellek kullanması gerekebilir. Sistem, sadece şirket tarafından onaylanmış markalı ve seri numarası kaydedilmiş (Örnek: Şirketin satın aldığı Kingston marka numaralı USB) disklere izin verir. Ancak veriler diske "Şifrelenerek" yazılır. O bellek yolda düşürülse bile, Inoguard ajanı yüklü olmayan hiçbir dış bilgisayarda (ev bilgisayarı vb.) okunamaz.
- Sadece Okuma (Read-Only) Yetkisi: Dışarıdan gelen misafirlerin sunum dosyalarını bilgisayarlara yüklemesi gerekiyorsa, USB portları sadece dışarıdan içeriye "Okuma" yapacak şekilde ayarlanır. Misafir belleğinden dosya alınabilir ancak personelin o belleğe şirket verisi kaydetmesi yasaklanır.
KVKK ve ISO 27001 Regülasyonlarında USB Yönetimi
KVKK ve ISO 27001 gibi yasal standartlar, "Taşınabilir Medya Yönetimi" konusunda oldukça katı maddelere sahiptir. Bir personeliniz müşteri TC kimlik numaralarını USB ile çalarsa ve Kurul size "USB portlarınız açık mıydı, kimin ne taktığını logluyor muydunuz?" diye sorduğunda tatmin edici bir teknik altyapı (Log kayıtları, engelleme raporları) sunamazsanız, ihmalden dolayı ağır idari para cezalarıyla karşılaşırsınız.
Verilerinizi Güvenle Kilitleyin
Küçük bir USB bellek yüzünden yılların emeğini veya yasal itibarınızı tehlikeye atmayın. Inoguard Siber Güvenlik olarak kurumunuzun iş yapış biçimini aksatmadan, sessiz ve son derece etkili USB Engelleme (Device Control) ve DLP sistemleri tasarlıyoruz. Tüm ağınızdaki cihaz hareketlerini merkezi bir panelden izlemek ve veri sızıntılarını sıfıra indirmek için bugün uzmanlarımızdan ücretsiz danışmanlık talep edin.
