Developing a free DLP system for email data leakage

Abstract

Data leakage (or data loss) is a term used in the information security field to describe unwanted disclosures of information. According to DataLossDB site data breaches (leakages) in 2015 are increased dramatically. According to Risk Based Security 2016 Data Breach Report analysis, while the percentage of total breaches impact 89.5% electronic data, it is 99.6% in 2016. In this thesis, a lite e-mail data leakage prevention (DLP) solution using open source projects for e-mail data leakage has been proposed. A dirty filter script running on top of the EmailRelay server is developed and the system is tested under different loads. Different parsing architectures are tried and searched for the most efficient one. Also the proposed solution is compared with another known solution. For this purpose the community version of MyDLP server is evaluated. The outgoing e-mail with binary attachment content is analysed with Apache TIKA framework. The e-mail content which is converted to textual data, is searched for data leakage patterns using regular expressions. In most of the studies the scanned image documents are not analysed for leakage. In this study open source tools are used to convert the scanned image document to textual data; because most of the documents in the Internet are scanned confidential documents. Finally, the leaked e-mail is indexed with Elasticsearch for further contextual analysis.

Veri sızıntısı (veya veri kaybı), bilgi güvenliği alanında bilginin istenmeden ifşası anlamında kullanılan bir terimdir. DataLossDB sitesine göre 2015'de veri sızıntıları dramatik bir şekilde artmıştır. Risk Based Security 2016 Veri Sızıntı Raporu'na göre 2015'te elektronik veri sızıntıları 89,5% iken, bu değer 2016'da 99,6% olmuştur. Bu tezde açık kaynak projeleri kullanılarak düşük özellikli bir e-posta veri sızıntı engelleme (VSE) sistemi önerilmiştir. EmailRelay sunucu üzerinde çalışan basit bir filtre betiği geliştirilmiş ve değişik yükler altında sistem test edilmiştir. Değişik ayrıştırma mimarileri denenmiş ve en etkin çalışanı bulunmaya çalışılmıştır. Ayrıca önerilen çözüm başka bir çözümle de karşılaştırılmıştır. Bu kapsamda MyDLP sunucunun topluluk sürümü test edilmiştir. Dışarı gönderilen eki olan e-postalar Apache TIKA çatısı ile analiz edilmiştir. Metin veri haline dönüştürülen e-posta içeriği, düzenli ifadeler kullanılarak veri sızıntı örüntüleri aranmıştır. Birçok çalışmada taranmış dokümanlar veri sızıntısı açısından da incelenmemektedir. Bu çalışmada imaj tipi dokümanlardan metin tipi elde etmek için açık kaynak araçlar kullanılmıştır; çünkü Internet'teki çoğu özel doküman taranmış dokümandır. Son olarak veri sızıntısı tespit edilen e-postalar Elasticsearch'de daha sonra bağlamsal analiz için indekslenmiştir.