Page 34 - bilgem-teknoloji-dergisi-12
P. 34
Siber Güvenlik BILGEM
TEKNOLOJI
yüklükte bir trafiğe farklı kaynaklardan (ddos) veya Veri tabanı güvenliğine yönelik
tek noktadan (dos) maruz bırakılması saldırılarını
kapsamaktadır. Ayrıca kasıtlı olarak, günlük kayıt- saldırılar, iç tehditler, insan
larının çok sayıda üretilmesini sağlayıp depolama hataları, iletişimde araya giren
alanını doldurarak sunucunun hizmet vermesini
engellemek de bu tehdit türü ile ilişkilidir. Kulla- saldırganlar, yazılım açıklıkları, hizmet
nımda olan veriler kadar güvenliği önemsenmeyen dışı bırakma ve yedeklere yönelik
ve aynı derecede korunmayan yedeklenmiş veriler
üzerinde; okuma, değiştirme, silme ve şifreleme saldırılardır.
gibi faaliyetler gerçekleştirebilecek her türlü işlem
yedeklere yönelik saldırılar kapsamında ele alına- le sistemden kaldırılmalıdır. Böylece saldırganla-
bilir. Bahsi geçen tüm gözlemlere ve tehdit türleri-
ne karşı önlem alarak veri tabanı güvenliğini sağ- rın veri tabanının barındırdığı veriler ve kullanıcılar
lamak adına çeşitli kategoriler altında ele alınmış hakkında ön bilgi sahibi olması engellenir.
güvenlik önerileri uygulanabilir.
Kimlik Doğrulama ve Yetkilendirme
Kurulum Güncelleme ve Yamalar Kurulumun ardından varsayılan kullanıcı adı ve pa-
Kurulum dosyalarının yetkili kaynaklardan temin rola barındıran tüm kullanıcılar (örneğin, system
edildiğinden emin olunmalıdır. Özellikle açık kay- admin, root, cassandra, oracle vb.) tespit edilerek
naklı veri tabanı yönetim sistemleri internet üze- silinmeli veya kullanıcı adı ile parolası değiştirilme-
rinde pek çok kaynak tarafından sunulabilmekte ve lidir. Parola belirlenmesi sürecinde, bir parola po-
büyük çoğunluğunun içeriği ve işlevi değiştirilmiş litikası ile kullanıcılar güçlü parolalar kullanmaya
olabilmektedir. Bu sebeple, ihtiyaç duyulan dosya- zorlanabilir. Bu politikalar ile bir parolanın geçerlilik
lar yetkili kaynaklardan alınıp kurum bünyesinde süresi, uzunluğu ve barındırılması zorunlu karak-
oluşturulacak yerel depolar üzerinden kullanıma terler gibi çeşitli parametreler belirlenebilir. Buna
sunulabilir. Veri tabanı yönetim sistemi servisleri ek olarak, belirlenen politikalar ile boş parolaya sa-
Süleyman Muhammed Arıkan - Uzman Araştırmacı / BİLGEM SGE için atanacak kullanıcılar, ihtiyaç duyulan işlevle- hip kullanıcının bulunmadığından da emin olunur.
re uygun yetkilendirilmelidir. Dolayısıyla, servisler
Veri tabanı sistemleri, barındırdıkları bilgiler sebebiyle her zaman doğrudan yönetici haklara sahip kullanıcılar ile ça- Kimlik doğrulama aşamasında gerçekleşen belirli
sayıdaki yanlış girişlerin ardından kullanıcı ön ta-
lıştırılmamalıdır. Böylece en az yetki prensibi sağ-
saldırganların odağında olmuş ve günden güne artan tehdit lanacak ve başarılı bir saldırı ardından gerçekleşti- nımlı bir süre için veya süresiz olarak kilitlenebilir.
vektörlerine ek olarak saldırı türlerinde de çeşitlilik yaşanmıştır. rilebilecek işlemler kısıtlanabilecektir. Başta yönetici hesapları olmak üzere, kullanıcılar
için oturum açabilecekleri IP adresleri belirlenmeli
Güncelleme ve yamalar mümkün olan en kısa za- ve yalnızca bu kaynaklardan bağlantı sağlamala-
ir veri tabanı sisteminde, bilgi güvenliğinin ri ortaya çıkmaktadır: iç tehditler, insan hataları, manda gerçekleştirilmelidir. Güncelleme işlemi ile rına izin verilmelidir. Böylece kurum dışından veya
üç temel ilkesi incelendiğinde, gizlilik ile iletişimde araya giren saldırganlar, yazılım açık- veri tabanı yönetim sistemi bünyesinde oluşabile- kurum içindeki farklı kaynaklardan kullanıcılara
Bmevcut verilerin yetkisiz kişilerin eline geç- lıkları, hizmet dışı bırakma saldırıları ve yedek- cek herhangi bir güvenlik açığı ile karşılaşma ihti- yönelik parola tespiti saldırılarının önüne geçilebi-
memesi; bütünlük ile depolanan ve taşınan ve- lere yönelik saldırılar. Kasıt olmadan ilgili sis- mali düşürülürken yamalar ile mevcut açıklıkların lir. Ayrıca, kullanıcıların aynı anda açabileceği otu-
rilerin değiştirilmemesi ve erişilebilirlik ile siste- temi saldırılara karşı açık hale getiren ihmalkâr kapatılması sağlanabilir. Kurulum işlemi ile gelen rum sayısı kısıtlanarak sistem kaynaklarının kasıtlı
min ihtiyaç duyulduğunda kullanılabilir durumda yöneticiler veya kasıtlı olarak, zararlı bir amaç örnek veriler ve varsayılan kullanıcılar ise, ivedilik- veya kasıtsız tüketilmesinin önüne geçilebilir. Aksi
olması ifade edilebilir. Veri tabanı güvenliği, bir uğruna hareket eden kötü niyetli kullanıcılar iç halde çok sayıda oturum açılıp yüksek hesaplama
veri tabanı sisteminin gizlilik, bütünlük ve erişi- tehdit kapsamında değerlendirilebilir. Kullanıcı- gücüne ihtiyaç duyan işlemler üzerinden sistem
lebilirlik ilkelerine zarar verebilecek, kazara veya lar tarafından kazara gerçekleştirilen aktiviteler, kaynakları tüketilip servis dışı bırakma saldırısı
kasıtlı her türlü olaya karşı alınan önlemler, ger- zayıf parola kullanımı ve sosyal mühendislik gibi gerçekleştirilebilir.
çekleştirilen denetimler ve kullanılan araçlar ola- insan temelli saldırılara maruz kalınması da in-
rak tanımlanabilir. Kullanılan araçların amacına san hatalarına birer örnek oluşturur. Veri tabanı Verilen yetkiler periyodik olarak kontrol edilerek
uygun çalışması, denetimlerin verimli bir şekilde sunucusu ile gerçekleştirilen bir trafiğin dinlen- yetkisi değiştirilmiş kullanıcılar tespit edilebilir.
işletilmesi ve alınacak önlemlerin uygulanması mesi, değiştirilmesi ve engellenmesi faaliyetleri Yetkilendirme sürecinde ise kurulum ile gelen var-
için veri tabanı sisteminin ve ilişkili bileşenlerin iletişimde araya giren saldırgan aktivitelerin- sayılan roller kullanılmamalıdır. Bu roller güncel-
doğru ve güvenli yapılandırılması gerekmektedir. dendir. Veri tabanı yönetim sistemi yazılımında leme veya yamalar ile değişikliğe uğrayabilir. Bu
Dolayısıyla, veri tabanı güvenliği yalnızca veri mevcut olan güvenlik açıklıklarının istismar edil- kapsamda amaca özgü oluşturulmuş rollere en az
tabanı yönetim sisteminin değil, aynı zamanda mesi ve hizmet sunulan uygulamalar üzerinden yetki prensibi gereği ayrıcalıklar tanımlanmalıdır.
işletim sisteminin ve bununla birlikte hizmet su- gerçekleştirilen SQL ve NoSQL enjeksiyonu gibi Her kullanıcı ihtiyaç duyduğu işleve göre de bu rol-
nulan uygulamaların da yapılandırmasına doğ- saldırılar da yazılım açıklıklarının bir tehdit türü- lere atanmalıdır. Mevcut tüm kullanıcılara ayrıcalık
rudan bağlıdır. nü oluşturmaktadır. tanımlayabilecek herkesin atandığı ortak rollerin
(örneğin: “Public” roller) yetkileri mümkün olduğu
Veri tabanı güvenliğine yönelik saldırılar ve se- Hizmet dışı bırakma saldırıları ilgili sunucunun, kapsamda tamamen kaldırılmalıdır.
bepleri incelendiğinde, şu gözlem ve tehdit türle- gerçek kullanıcılara hizmet veremeyecek bü-
32 33