Veri Tabanı Güvenlik Testi

VERİ TABANI GÜVENLİK TESTİ
VERİ TABANI GÜVENLİK TESTİ
0
(0)

Veri tabanı güvenlik testi, kişi, kurum ve kuruluşların dijital anlamda en değerli varlıklarını korumada siber güvenlik alanında yapılan bir uygulamadır. Bu tür testler ile veritabanının güvenlik zafiyetlerinin tespit edilerek gerekli önlemlerin alınması amaçlanmaktadır. Amacı, uygulama teknikleri ve yöntemleri dikkate alındığında sızma testi ve penetrasyon testi ile benzerlik göstermektedir.

Penetrasyon testleri sırasında ayrıca veri tabanına yönelik sızma testleri de uygulanmaktadır. Ancak özellikle son yıllarda veritabanlarının önemi giderek artmaktadır. Bu nedenle artık veri tabanı güvenlik testi ayrı bir siber güvenlik konusu olmaya başlamıştır.

Veri Tabanı Nedir?

Veri tabanı; Belirli bir sistem ve düzen dahilinde oluşturulan dijital nitelikteki tüm kayıtları ifade etmektedir. Bu gün veri tabanları bilişim sistemlerinin en önemli unsuru halinde gelmiştir. Bu nedenle siber güvenlik alanında veri tabanı güvenliği ayrı bir öneme sahiptir.

Veri Tabanı Güvenlik Testinin Önemi

Veri tabanı güvenliği kuruşluların yasal zorunluluğu altındadır. Bunun yanında iş sürekliliği ve işletme itibarını korumada önemlidir. Bilindiği gibi veri tabanları, finansal bilgiler müşteri bilgileri veya işletmeye ait diğer önemli bilgilerden oluşmaktadır. Bu veritabanlarına kötü amaçlı ve yetkisiz kişilerin erişimi ciddi zararlara neden olabilecek faaliyetlerdir. Bu nedenle veri güvenliği dolayısıyla bu alana yönelik güvenlik testleri önemlidir.

Veri Tabanına Yönelik Siber Saldırılar

Veri tabanına yönelik yapılan siber saldırılar da amaçları dikkate alındığında farklılık göstermektedir. En sık kullanılan ve veri tabanına yönelik yapılan saldırılarda kullanılan teknikler aşağıdaki gibidir.

  • Sunucu zafiyetleri kullanılarak yapılan saldırılar
  • Brute Force Saldırıları
  • SQL Enjeksiyonu
  • XSS saldırıları
  • Veri tabanı yönetim sistemlerine yönelik saldırılar
  • Veri tabanını sızma

Veri Tabanı Güvenlik Testi Yöntemleri

Siber güvenlik alanında yapılan tüm uygulamalarda olduğu gibi veri tabanı güvenlik testleri de değişik yöntemler uygulanarak yapılan testlerdir.

Zafiyet Taraması

Zafiyet taraması bir çok güvenlik testinde en etkili yöntemdir. Veri güvenlinin sağlanması amacıyla yapılan testlerde de öncelikle olarak zafiyet taraması yapılmaktadır. Herhangi bir zafiyetin tespit edilerek gerekli önlemlerin alınması veri tabanı güvenlik testlerinde de etkili yöntemlerdendir.

Sızma Testleri

Bir çok yazımızda da belirttiğimiz gibi “saldırı yöntemleri bilinmeden etkili bir siber güvenlik mümkün değildir” veri güvenliğinin sağlanması amacıyla sızma testi ve penetrasyon testi uygulamaları sık başvurulan yöntemler arasındadır.

Kimlik Doğrulama Testleri

Bilişim sistemlerinin güvenliğinin sağlanması için kimlik doğrulama yöntemi kullanılmaktadır. Ayrıca yetkilendirme yöntemi ile kullanıcılara işlemlerinde kısıtlamalar getirmek mümkündür. İşte bu yetkilendirme ve parola ihlallerinin var olup olmadığı konusunda yapılan testler veri tabanına ulaşma sırasında uygulanan testler arasında yer almaktadır.

Veri Güvenlik Testi Aşamaları

Siber güvenlikte tüm uygulamalar belirli bir sistem içerisinde ilerlemektedir. Nasıl ki sızma testi aşamaları ve penetrasyon testi aşamaları var ise veri tabanı güvenlik testleri de belirli aşamalarda gerçekleştirilmektedir. Bu aşamaları aşağıdaki gibi sıralayabiliriz.

Kapsam Belirleme

Sızma testlerinde olduğu gibi veri güvenlik testlerinde de ilk aşama testin kapsamının belirlenmesidir. Bazı durumlarda genel testin uygulanması dışında sadece belirli bir ala veri tabanı güvenlik testi yapılması mümkündür. Teste başlamadan önce testin kapsamının belirlenmesi ilerideki aşamaların daha kolay ilerlemesine olanak sağlamaktadır.

Zafiyet Araştırması

Testin kapsamının belirlenmesinden sonraki aşama ise zafiyet araştırmasıdır. Veri tabanındaki siber risk oluşturan zafiyetler araştırılarak nitelikleri hakkında bilgi edinildiği aşamadır. Bu aşamada risk oluşturan zafiyetlerin başarılı bir şekilde tespit edilememesi veri tabanı güvenlik testinin başarısız olabilmesine yol açabilmektedir. Bu nedenle sızma testlerinde olduğu gibi veri tabanı güvenlik testlerinde de zafiyet araştırmasının en önemli aşama olduğunu söyleyebiliriz.

Sızma Aşaması

Penetrasyon testinde olduğu gibi veri tabanı güvenlik testinde de en önemli aşamalardan birisi sızma aşamasıdır. Genellikle veri tabanına yetki dışında bir etkileşim sızma testinin başarılı olduğu ve sistemin siber tehditlere açık olduğu anlamına gelmektedir.

Veri Sızıntı ve Kimlik Doğrulama Testleri

Veri tabanı güvenlik testinin son aşamalarından birisi de veri sızıntı ve kimlik doğrulama testleridir.

Kullanılan sisteme ait veri tabanından amacı dışında bir veri sızıntısının olup olmadığı test edilmektedir. Bunun dışında sisteme erişimde kullanılan yetkilendirme kuralı ve kullanıcı protokollerine aykırı bir erişimin mevcut olup olmadığı veya buna yönelik bir siber zafiyetin bulunup bulunmadığı test edilmektedir.

Raporlama

Veri tabanı güvenlik testi aşamaları doğrultusunda yapılan tüm bu işlemlerin yazılı olarak sistem yetkilisine sunulduğu aşamadır. Bu aşamada yapılan tüm işlemler yazılı hale getirilerek zafiyetlerin niteliği konusunda bilgiler içermektedir. Ayrıca gerekli önlemlerin alınmaması halinde meydana gelebilecek zararlar hakkında sistem yetkilisine bilgi verilmektedir. Raporlama aşamasında son olarak tespit verilen veri tabanı zafiyetlerinin ne tür önlemlerde ortadan kaldırılacağı konusunda tavsiyelerde bulunulmaktadır.

Düzeltme Aşaması

Yukarıda yapılan tüm işlem sırasında sistemin olağan işleyişine karşı bir müdahale bulunulmaktadır. Sistemin tekrar siber zafiyetlere açık duruma gelmemesi için yapılan ve kurulan tüm yazılımlar sistemden usulüne uygun bir şekilde kaldırılmaktadır.

Veri Tabanı Güvenlik Testini Kimler Yapabilir?

Yukarıda da belirttiğimiz gibi veri tabanlarına yönelik yapılacak olan testler bir çeşit sızma testidir. Bu nedenle bu tür işlemler de sızma testi uzmanı veya penetrasyon testi uzmanınca yapılmaktadır. Ancak bu konuda dikkat edilmesi gereken önemli bir husus vardır. Bu tür testlerin bu konuda eğitim almış ve gerekli belgelendirmelere sahip kişilerce yapılması gerekmektedir. Yetkisiz kişilerin yapacağı bir test amacına ulaşmada zorluk çıkartabilir. Bunun yanında ise veri tabanına zarar verme ihtimali yüksektir. Bu nedenle sertifikalı sızma testi uzmanından destek alınması tavsiye edilmektedir.

Veri Tabanı Güvenlik Testi Zorunlu Mudur?

Veri tabanı güvenlik testinin dolaylı olarak da olsa zorunlu olduğunu söylemek yanlış olmayacaktır.

İşletme, kurum ve kuruluşlara ait kullanılan veri tabanlarının herhangi bir şekilde zarar görmesi, verilerin kötü amaçlı kişilerin eline geçmesi halinde bu konuda özellikle sertifikalı sızma testi uzmanı tarafından yapılmayan testler nedeniyle idari yatırımlar uygulanmaktadır. Bu durumlar göz önüne alındığında veri tabanına yönelik yapılacak sızma testinin zorunlu olduğunu söyleyebiliriz.

Bu yazıyı beğendin mi?

Oylamak için yıldıza dokunun!

Ortalama Puan 0 / 5. Oylama puanı: 0

Daha oylayan olmadı, ilk oylamak ister misin?

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Author Profile

MURAT GÜN

You may also like...

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir