Veri Tabanı Güvenliği

0
(0)

Veri tabanı güvenliği özellikle kamu kurumları ile bankacılık ve finans sektörlerinde ön plana çıkmaktadır. Siber güvenlik alanında veri tabanı güvenliği konusunda gerekli önlemler alınmadığı takdirde oldukça ciddi zararlar ile karşılaşılması mümkündür. Bilindiği üzere siber güvenlikte temel yaklaşım “savunma yapabilmek için saldırı yöntemlerini bilmektir.” Buna bağlı olarak veri tabanı güvenliğinin sızma testleri ve penetrasyon testlerinde ayrı bir önemi olduğunu söyleyebiliriz.

Bilişim sistemlerinin en önemli parçasının veritabanı olduğunu söylemek yanlış olmayacaktır. Veri tabanının önemi ve veri tabanı güvenliği konularının daha anlaşılabilir olması açısından kısaca veri tabanı nedir? Ve veri tabanı türleri / veri tabanı çeşitleri hakkında bilgi vermek uygun olacaktır. Akabinde veri tabanı saldırı yöntemleri ve veri tabanı güvenliği nasıl sağlanır? Konularında bilgi edinmeniz mümkündür.

Veri Tabanı Nedir?

Birbirleri ile ilişkili bilgilerin depoladığı alanlar veri tabanı olarak adlandırılmaktadır. Daha çok bu bilgilerin anında ve kolay erişim amacı ile veri tabanları oluşturulmaktadır. Tanımdanda anlaşılacağı üzere herhangi bir işletme veya kuruluş için oldukça önemli bilgiler veri tabanında depolanmaktadır. Bu gün kullandığımız cep telefonlarında kayıtlı telefon numaralı dahi veri tabanı olarak kabul görmektedir. Bu nedenle veri tabanı güvenliği kişisel kullanımdan büyük şirket ve kuruluşlara kadar her sistem için bir gereksinimdir.

Veri Tabanı Güvenliğinin Önemi

Yukarıda veri tabanı nedir? Başlığında da belirttiğimiz bilgilerin bir çocuğu “kişisel veri” niteliğinde olabilmektedir. Dijital sistemlerde gerekli önlemlerin alınmaması halinde mevcut olan bir siber zafiyet nedeniyle bilgilerin çalınması söz konusu olabilmektedir. Bu durumda ilgili kuruluşlara KVKK tarafından oldukça yüksek meblağlarda idari para cezası verilmesi mümkündür. Örneğin geçtiğimiz aylarda online olarak yemek siparişi verilen bir uygulamada gerçekleşen siber saldırıya bağlı olarak sisteme dahil olan bir çok kullanıcının verileri kötü niyetli kişiler tarafından ele geçirilmiştir. Bu nedenle Kişisel Verileri Korumu Kurumu tarafından ilgili şirketi 1,9 milyon TL idari para cezası verilmiştir.

Görüldüğü gibi oldukça yüksek para cezaları ile karşılaşmak olasıdır. Ayrıca bu siber saldırı nedeniyle söz konusu şirket müşterilerinde fark edilir bir düşüş olduğu gözlemlenmiştir. Bu gün siber güvenlik alanında eğitim kuruluşlarda veri tabanı güvenliği ayrıca ders olarak okutulmaktadır. Yapmış olduğumuz bu açıklama ile veri tabanı güvenliği öneminin anlaşıldığını düşünmekteyiz.

Veri Tabanı Çeşitleri

Genel olarak veri tabanları aynı amaç doğrultunda hazırlanmaktadır. Yine de çalışma prensipleri farklı olan birbirinden ayrı veritabanları bulunmaktadır. Günümüzde sık kullanılan ve veri tabanı güvenliğinin öne çıktığı veri tabanı çeşitleri genel olarak Microsoft SQL Server, MySQL, Oracle, Microsoft Access, Infırmix, IBM DB2 ve Progress’dir.

Veri Tabanı Türleri

Daha çok kullanılan sistemin niteliğine ve gereksinimine göre veri tabanı türleri mevcuttur. Sistemimizin en verimli şekilde ve sağlıklı çalışması açısından veri tabanı türleri seçiminde dikkat edilmesi gerekmektedir. Ayrıca veri tabanı güvenliği açısından da her bir veri tabanı türü önemlidir. Genel olarak kullanılan veri tabanı türleri;

  • İlişkisel Veri Tabanları
  • Dosya Tabanlı Veri Tabanları
  • Dağıtılmış Veri Tabanları
  • Nesne Odaklı Veri Tabanları
  • NoSQL Veri Tabanları
  • Bulut Veri Tabanları
  • Açık Kaynaklı Veri Tabanları

Veri Tabanı Saldırısı Nasıl Yapılır?

Daha önce de belirttiğimiz gibi saldırı yöntemleri bilinmeden etkin bir siber güvenlik sağlanması imkansızdır.  Bir çok alanda olduğu gibi siber güvenlik alanında da veri tabanı güvenliği sağlanması adına penetrasyon testi ve sızma testleri yapılmaktadır. Gerek veri tabanı güvenliğinin sağlanması adına sızma testleri sırasında gerekse hacker ve kötü niyetli kişilerce veri tabanı saldırısı aşağıdaki yöntemlerle yapılmaktadır.

Zararlı Yazılımlar

Siber güvenliğin bir çok alanında olduğu gibi veri tabanı güvenliği içinde zararlı yazılımlar ve kötü amaçlı yazılımlar tehlike arz etmektedir. Web sitemizde mevcut zararlı yazılımlar konusunda vermiş olduğumuz bilgilerden de anlaşılacağı üzere değişik amaçlarla üretilmektedirler. Bu tür yazılımların herhangi bir şekilde sisteme dahil olması halinde veri hırsızlığı, verilerin izinsiz değiştirilmesi veya yok edilmesi hatta sistemin tamamen çalışamaz hale gelmesi gibi durumlarla karşılaşılması mümkündür. Bu nedenle veri tabanı güvenliği sırasında zararlı yazılımlar oldukça önemlidir.

NoSQL Injektion

SQL saldırıları veri tabanı güvenliği içinde tehlikeli bir uygulamadır. Daha çok web uygulamaları kullanılarak NoSQL Injektion saldırıları yapılmaktadır. Bu nedenle özellikle kamu kurumları ve finasns sektörleri için sızma testleri sırasında veri tabanı güvenliğinin tam anlamı ile sağlanması için öncelikle yapılması gereken penetrasyon testi türleri arasındadır.

DDOS Saldırıları

Veri tabanlarına yetkili kişilerce eksiksiz ve anında ulaşabilme sistemin işleyişi bakımından bir zorunluluktur. Klasik DDOS saldırıları ile sistem çalışamaz hale gelebilmekte veya veri akışında aksamalara neden olunabilmektedir. DDOS saldırıları da veri tabanı güvenliği için tehlike oluşturabilecek bir başka siber saldırı çeşididir.

İç Saldırılar

Veri tabanı güvenliğini etkileyen bir başka unsur ise iç saldırılardır. Genellikle şirket veya kuruluşta çalışanlar tarafından oluşturulan tehlikelerdir. Yetki yükseltme ile birlikte yetkisi dışındaki bilgilere ulaşma veya sisteme zarar verme amacı ile yapılmaktadır. Bu nedenle sızma testleri sırasında sistem yetkilisinin bilgisi dışında yetki yükseltme işlemlerinin kontrol edilmesi amacıyla log kayıtları detaylı bir şekilde incelenmektedir.

Brute Force

Zayıf parolalar brute force’ye örnek gösterilebilmektedir. Hackerler ve kötü niyetli kişiler yetkili kişilerin dijital sisteme dahil olmakta kullandıkları parola ve şifreleri deneme yanılma yöntemi ile bulmaya çalışmalarıdır. Özellikle enteraktif şekilde çalışılan kuruluşlarda siber güvenlik uzmanlarında çalışanlar zayıf parolalar nedeniyle bilgilendirilmektedir.

Veri Yedeklerine Karşı Saldırılar

Bir çok nedene bağlı olarak sistemde kullanmış olduğumuz veriler belirli aralıklarla yedeklenmektedirler. Bu yedekler asıl veri tabanında bulunan veriler kadar önemlidirler. Bu nedenle veri tabanı güvenliğinin sağlanması için veri yedeklerine karşı yapılacak siber saldırılar önlenmelidir. Yukarıda veri tabanı güvenliğinin önemi başlığında belirttiğimiz örnek olayda gerçekleşen veri hırsızlığının veri yedekleri üzerinden gerçekleştiği bilinmektedir. Bu durum da veri yedeklerinin siber saldırılara karşı önemini bize bir kez daha hatırlatmaktadır.

Veri Tabanı Güvenliği Nasıl Sağlanır?

Siber güvenliğin sağlanmasında en etkili yöntem saldırı yöntemlerinin bilinmesidir. Bu kural veri tabanı güvenliği içinde geçerlidir. Bu nedenle değişik amaçlarla yapılan bir çok sızma testi bulunmaktadır. Yukarıda veri tabanı saldırısı nasıl yapılır? Başlığında belirttiğimiz saldırı türleri veri tabanı güvenliğinin sağlanması adına yapılmaktadır. Veri tabanımıza yapılan olan bir siber saldırının gerçekleşmeden tehlikenin yok edilmesi için sızma testleri yapılmaktadır. Yapılan bu sızma testleri ile siber güvenlik uzmanlarında tespit edilen zafiyet ve sistem açıklıkları giderilmektedir. Bu şekilde veri tabanı güvenliği sağlanmış olmaktadır. Ancak yukarıda belirtmiş olduğumuz saldırı çeşitleri arasına her geçen gün yeni bir saldırı türü eklenebilmektedir. Bu nedenle veri tabanı güvenliğinin tam olarak sağlanabilmesi için sızma testlerinin belirli aralıklarla tekrarlanması önerilmektedir.

Sızma Testi Zorunlu Mu?

Siber güvenlik alanında yapmış olduğumuz bir çok çalışmalarda sızma testi zorunlu mu? Soruları ile karşılaşmaktayız. Özellikle BDDK’na bağlı olarak faaliyet gösteren finans kuruluşlarında belirli aralıklarla sızma testi yapılması zorunludur. Diğer durumlarda sızma testi zorunluluğu bulunmasa da; daha önce veri tabanı güvenliğinin önemi başlımızda da belirttiğimiz gibi herhangi bir siber saldırı sonrasında bu verilerin ele geçirilmesi halinde KVKK tarafından idari para cezası ile cezalandırılmak olasıdır. Ancak siber güvenliğin sağlanması için sızma testlerinin bir zorunluluk haline geldiğini söylemek mümkündür.

Bu yazıyı beğendin mi?

Oylamak için yıldıza dokunun!

Ortalama Puan 0 / 5. Oylama puanı: 0

Daha oylayan olmadı, ilk oylamak ister misin?

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Author Profile

MURAT GÜN

You may also like...

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir