Veriler bütün şirketler için en kritik varlık. Her geçen gün, dünya çapında, bütün işletmeler, günlük operasyonları ve müşterileri hakkında birçok veri topluyor. Bu veriler; veri tabanlarında saklanıyor.
Veri koruma, son derece önemli ve iş korumasının kritik bir bileşeni. Veri güvenliğinin, yani “veri tabanı güvenliği” olarak da bilinen herhangi bir veri tabanı yönetim sisteminin (DBMS) hedefi olmalı. Fakat bu durum her zaman böyle olmaz. Sizler için hazırladığımız bu yazıda, veri tabanı güvenliğine yönelik tehditleri ve BT güvenlik ekiplerinin, işletme sahiplerinin veri tabanı koruması için neler yapabileceğini anlatıyoruz.
İlk olarak şunu söylemeliyiz ki veri tabanı güvenliği fiziksel güvenlikle başlar. Bu yüzden de fiziksel veri tabanına sadece yetkili personel erişmeli. Fakat veri tabanlarına yönelik başka birçok iç ve dış tehdit bulunuyor ve şimdi o tehditleri sizlere açıklayacağız:
- Aşırı veri tabanı ayrıcalıkları riski
Veri tabanı kullanıcılarının birbirinden farklı ayrıcalıkları olabilir. Fakat kullanıcılar bu ayrıcalıkları kötüye kullanabilir ve suiistimal edebilir. Aşırı ayrıcalık suiistimali, meşru ayrıcalıkların kötüye kullanılması, kullanılmayan ayrıcalıkların da kötüye kullanılması bu suiistimallere örnek. Aşırı ayrıcalıklar her zaman beraberinde gereksiz riskleri de getiriyor. İstatistiklere göre, işletmelerin veri tabanlarına yapılan saldırıların yüzde 80’i mevcut işletme çalışanları veya eski çalışanlar tarafından gerçekleştiriliyor.
Böylesi bir güvenlik tehdidine karşı alınabilecek karşı önlemler de bulunuyor. Örneğin, sıkı bir erişim ve ayrıcalık kontrol politikası uygulanabilir ve sürdürülebilir. İşletmede çalışanlara aşırı ayrıcalıklar verilmemeli ve zamanla da eski ayrıcalıklar iptal edilmemeli.
- SQL enjeksiyonları riski:
SQL, kötü amaçlı bir kodun, ön uç (web) uygulamalarına yerleştirildiği ve ardından arka uç veri tabanına iletildiği bir tür saldırı. SQL enjeksiyonları sonucunda da siber suçlular bir veri tabanında depolanan bütün verilere sınırsız erişim elde ediyor. Bu tehditte iki tür saldırı bulunuyor: Birisi, geleneksel veri tabanlarını hedef alan SQL enjeksiyonu, diğeri ise büyük veri tabanlarını hedef alan NoSQL enjeksiyonları.
Bu güvenlik tehdidine karşı alınabilecek önlemleri ise, doğrudan sorgulamalar yerine saklanan prosedür ve MVC mimarisinin kullanılması.
- Zayıf denetim izi riski:
Eğer bir işletmenin veri tabanı düzgün bir şekilde denetlenmezse, ulusal ve uluslararası hassas veri koruma düzenlemelerine uymama risklerini de temsil eder. Bütün veri tabanı olaylarının otomatik olarak kaydedilmesi ve otomatik denetim çözümlerinin kullanılması zorunlu. Bu zorunluluğa uymama veya yapmayı reddetme gibi durumlar bütün düzeydeki işletmeler için ciddi risk oluşturur.
Zayıf denetim izi riskine karşı alınabilecek önlemleri ise şu şekilde söyleyebiliriz: veri tabanı performansına ek yük getirmeyen otomatik denetim çözümleri kullanılmalı. İşletmeler, aynı zamanda “DataSunrise Veri tabanı Denetim Modülü” nü kullanırsa da bu çözüm en iyisi olabilir.
- Veri tabanı yedeklemeleri görünümü riski
Veri tabanı yedeklemeleri görünümü, tescilli veri tabanlarının belirli zaman aralıklarında yedeklerini almak için bir uygulama. Bunun yanı sıra, ilginç bir şekilde, veri tabanı yedekleme dosyaları da genellikle siber saldırılara karşı tamamen korunmasız bırakılıyor. Kısaca özetlemek gerekirse, veri tabanı yedekleme sızıntılarından kaynaklı çok sayıda güvenlik ihlali var ve bu da işletmeler için son derece risk teşkil ediyor. Bunun önüne geçebilmek için de işletmeler hem veri tabanlarını hem de yedeklemeleri şifrelemeli. Verilerin şifrelenmiş olarak depolanması, veri tabanlarının üretiminin ve yedek kopyalarının güvenliğini sağlar. Bunun dışında, veri tabanını ve yedekleri düzenli olarak denetleyin. Bunu yaparsanız, hassas verilere kimin erişmeye çalıştığını görebilirsiniz.
- DB güvenlik açıkları ve yanlış yapılandırmalar riski
Genellikle, yanlış yapılandırmalardan dolayı veri tabanları tamamen korumasız kalıyor. Bazı veri tabanlarında varsayılan hesaplar ve yapılandırma parametreleri bulunuyor. Bilgisayar korsanlarının veri tabanı güvenlik açıklarından ve yanlış yapılandırmalardan nasıl yararlanılması gerektiğini tam olarak bilen ve bunları da işletmeye saldırmak için kullanan son derece profesyonel BT uzmanlarının varlığı unutulmamalı.
Bu riski engellemek için, veri tabanlarınızda varsayılan hesaplar oluşturmayın. Aynı zamanda BT personeliniz de son derece kalifiye ve deneyimli olmalı. Böylece risklerin önlenmesi daha kolay olur.
- Güvenlik uzmanlığı ve eğitim eksikliği riski
İşletmede yetersiz BT güvenlik uzmanı bulunduğu zaman, temel veri tabanı güvenlik kurallarını ihlal edebilecek, veri tabanlarını riske atabilecek teknik olmayan eğitimlerinden dolayı veri tabanları ihlal ediliyor ve bilgiler sızdırılıyor. Bazen, BT güvenlik personelleri güvenlik kontrollerini ve protokollerini uygulamak ya da olaya müdahale süreçlerini yürütebilmek için yeterli eğitime sahip olmayabilir. Buna karşı alınabilecek önlemler ise şöyle: Veri tabanı kullanıcıları, veri tabanı güvenliği konusunda tam ve düzgün bir şekilde eğitilmeli. Aynı zamanda BT güvenlik uzmanlarından da mesleki seviyelerini ve yeterliliklerini yükseltmeleri istenmeli. Ancak bunlar yapıldığı zaman siber saldırılara karşı erken önlem alınabilir.
- Hizmeti engelleme saldırısı
Hizmeti engelleme saldırısı gibi riskler, bir veri tabanı sunucusunu çok yavaşlatır ve hatta bütün kullanıcılar için sistemi kullanılamaz hale getirir. DoS saldırısı, bir veri tabanının içeriğini ifşa etmez fakat buna rağmen saldırıya maruz kalanlara çok fazla zamana ve paraya da mal olabilir. Peki, bu riske karşı ne yapabilirsiniz? Öncelikle şunu önerebiliriz ki, “Ağ İzinsiz Giriş Tespit Sistemi (IDS)” kullanın ve bağlantı kurma süresini kısaltın. Ayrıca, bağlantı kuyruğunun boyutunu artırmak için uygun kayıt defteri ayarları uygulayın ve TCP/IP yığınını sağlamlaştırın. Bağlantı kuyruğunun tükenmesi engellemek için de dinamik biriktirme listesi mekanizmaları kullanın. Bu önlemleri aldığınız zaman, riskleri de önleyeceksiniz.
- Yönetilemeyen hassas verilerin riski
Birçok işletme çok sayıda ve çeşitte hassas bilgiyi saklıyor ve bunların doğru bir şekilde envanterini tutmakta da başarısız oluyor. Unutulmuş ve gözetimden uzak kalmış veriler, bilgisayar korsanlarının öncelikli hedefi olabilir. Ayrıca, yeni hassas veriler günlük olarak ekleniyor ve bütün bunları takip etmesi son derece zor. Bu da yeni eklenen verilerin güvenlik açısından birçok tehdide maruz kalabileceği anlamına geliyor.
Bunun olmaması için şunları yapabilirsiniz: Veri tabanınızda bulunan bütün hassas verileri şifreleyin. Veri tabanına gerekli kontrolleri ve izinleri uygulayın. Hassas veriler için de periyodik aramalar yapın. Bunu da yeni hassas verileri otomatik olarak keşfeden ve koruyan “Periyodik Veri Keşfi Aracı ve Uyumluluk Yöneticisi” ile çok etkili ve hızlı bir şekilde yapabilirsiniz.
En başında söylediğimiz gibi, bu yazıda sizlere maruz kalınabilecek veri tabanı güvenliği tehditlerini ve bu tehditlere karşı alabileceğiniz bazı önlemleri anlattık. Bir işletme için veriler, her şey demek. Bu yüzden de son derece özenle ve güvenle saklanması, korunması gerekiyor.
