Veri tabanı risk seviyesi kurumdan kuruma değişiklik göstereceği gibi aynı zamanda içinde saklanan bilginin hassasiyet derecesine de bağlıdır. Kullanıcıların kredi kartı veya kimlik bilgileri gibi kritik verileri tutan kurumlar için veri tabanı güvenliği büyük önem taşımaktadır. Veri tabanlarının bu derece önemli kişisel ve finansal bilgileri tutması bu sistemleri siber saldırıların hedefi haline getirmektedir. Değeri yüksek bilgileri saklaması nedeniyle veri tabanı güvenliği kurumlar için büyük önem arz etmektedir.
Veri tabanlarına yönelik gerçekleştirilen en yaygın ataklara örnek olarak SQL enjeksiyon sayılabilir. SQL enjeksiyon saldırıları veri tabanı veya veri tabanına ara yüz olarak çalışan web uygulamalarını hedef alarak sisteme ulaşmaya çalışmaktadır. Ancak web ara yüzü üzerinden gerçekleştirilen SQL enjeksiyon saldırıları daha yaygın görülmektedir.
SQL açıklıkları kullanıcıdan alınan girdilerin denetlenmeden veri tabanı uygulamasında veya veri tabanını yöneten web uygulamasında çalıştırılmasından kaynaklanmaktadır. SQL enjeksiyon atakları saldırganın veri tabanı üzerindeki hassas bilgilere erişmesini, kullanıcı haklarını yükseltmesini ve database işletim sistemi komutlarına ve veri tabanının kendisine ulaşması gibi tehlikeli işlemleri yapmasına neden olabilmektedir.
Veri Tabanının Ele Geçirilmesine Neden Olan Tehditler
– Kullanıcı izinlerinin iyi bir kontrol mekanizması ile yönetilmemesi: Kullanıcılara ihtiyaçlarının üzerinde haklar verilmesi, bu kullanıcıların hesap bilgilerinin çalınması durumunda sistemin kolayca ele geçirilmesine neden olacaktır.
– Kullanıcı haklarının kötüye kullanılması: Kullanıcının sahip olduğu izinleri yetkisiz erişimler için kullanması
– SQL zafiyetleri: İstismar kodunun web uygulamasının girdi alanlarına enjekte edilmesiyle gerçekleştirilen SQL enjeksiyon saldırılarına yol açan ve saldırgana bütün bir veri tabanına ulaşma imkanı veren sistem açıklıkları.
– Zararlı yazılım bulaştırma: Çalışanın mail hesabına gönderilen oltalama maili ile zararlı yazılımın indirtilip kullanıcı bilgisayarı üzerinden veri tabanı sistemine ulaşılması
– Zayıf sistem kayıtları mekanizması: Otomatize edilmiş olay kayıtları veri tabanı sistemlerinin güvenliği için büyük önem taşımaktadır. Kayıtlar düzenli tutulmadığı takdirde çeşitli sorunlara yol açacaktır.
– Depolama alanı açıkta bırakma: Genelde canlı sistemler daha iyi korunmaya alınmaktadır. Ancak yedekleme dosyalarının ve yedekleme ortamının güvenliği de canlı sistemler kadar önemlidir. Saldırganlar şifrelenmemiş bir yedekleme dosyası üzerinden sisteme sızabilir.
– DOS saldırıları: hizmet engelleme saldırısı olarak adlandırılan DOS atakları ağ cihazlarına veya verilere erişimi engelleyen bir saldırı türüdür. Veri tabanı sistemlerine karşı gerçekleştirilen DOS saldırılarında, sistemde büyük oranda bir kaynak kullanımına neden olan arama yapma ve istek gönderme işlemleri gerçekleştirilerek sunucuya aşırı yük bindirilmesi ve hizmet veremez hale getirilmesi hedeflenir.
Veri Tabanı Denetleme
Veri tabanlarının denetimi, sistemde var olan hata ve zafiyetlerin ortaya çıkarılıp düzeltilmesine ve önlem alınmasına yardımcı olur.
Erişim ve kimlik doğrulama denetimi: Veri tabanına kimlerin ne zaman hangi metodla ve hangi içeriğe ulaştığı gibi önemli bilgileri tutan logların kaydedilmesi
Güvenlik aktiviteleri denetimi: Veri tabanında gerçekleştiren yetkisiz ve şüpheli aktivitelerin tüm listesinin oluşturulup raporlarının tutulması
Zafiyet ve tehdit denetimi: Zafiyetlerin tespit edilip düzeltilmesini amaçlayan bu denetim yönteminde aynı zamanda bu açıklıkları istismar etmeye çalışan kullanıcıların da saptanmaya çalışılması
Denetimde değişiklikler: Denetim süreci için ilk etapta basit bir yapılandırmanın uygulanıp sonra gereksinimlere bağlı olarak denetim politikalarının değiştirilmesi ve uyarlanması
Veri Tabanı Güvenliği Yöntemleri
– Veri tabanındaki datanın önem derecesine göre sınıflandırılması: Bu yöntemle asıl güvene alınması gereken hassas verilerin daha kolay tanımlanabilmesinin sağlar.
– Veri tabanı sunucularının varsayılan(default) olarak sahip olduğu denetim mekanizmalarının kullanılması: Bu yöntem denetim mekanizması fazla karmaşık olmayan sistemler için kullanılabilir.
– Üçüncü parti bir denetim yazılımı ve ağ cihazı kullanılması: Hem koruma hem de monitoring servisi veren bu cihazlar veri tabanı sunucusundan ayrı olarak kuruldukları için sunucuya ek yük bindirmezler. Kullanıcının gereksinimlerine göre özelleştirilebilen bu çözümler birçok özelliğe sahip olmasının yanı sıra aynı zamanda yüksek oranda analiz sonucu alabilmek için detaylı denetim yaparlar.
Veri tabanı güvenliğinin önemli bileşenlerinden biri de data şifreleme yöntemidir. Durağan haldeki datanın şifrelenmesi kadar hareket halindeki datanın da güçlü kimlik doğrulama kontrolleri ile iletimi de büyük önem taşımaktadır. Durağan haldeki veriler için AES şifreleme algoritması önerilmektedir. Her bir uygulamanın güvenliğinin öncelik derecesine göre seçilebilecek farklı şifreleme algoritmaları arasında DES, Triple DES, DESX, 128-bit AES, 192-bit AES, 256-bit AES sayılabilir.
Veri tabanı güvenliğinin sürekli sağlanması için periyodik olarak uygulanması gereken adımlar:
– Analiz edilip güvenliğinin sağlanması gereken veri tabanını tespit etmek
– Gereklilikler göz önüne alınarak sistemin veya verinin güvenlik önceliğine göre sınıflandırılması
– Veri tabanını zafiyetler, yanlış yapılandırmalar ve kritik değişiklikler için taramak
– Dataların sınıflandırılması esas alınarak yüksek önemdeki açıklıkların yüksek öncelik verilerek kapatılması
– Zafiyetler için uygun bir düzeltme tespit etmek, zafiyetleri kapatmak ve sistemi güncellemek için yamaları uygulamak
– Zafiyet düzeltme işlemlerinin etkisini ölçmek için düzeltmeden sonra denetim işlemi tekrarlanmalıdır ve bu döngü periyodik olarak tekrarlanmalıdır.