Page 35 - bilgem-teknoloji-dergisi-12
P. 35

Siber Güvenlik                                                                                   BILGEM
                                                                                                  TEKNOLOJI








              yüklükte bir trafiğe farklı kaynaklardan (ddos) veya    Veri tabanı güvenliğine yönelik
              tek noktadan (dos) maruz bırakılması saldırılarını
              kapsamaktadır. Ayrıca kasıtlı olarak, günlük kayıt-     saldırılar, iç tehditler, insan
              larının çok sayıda üretilmesini sağlayıp depolama   hataları, iletişimde araya giren
              alanını  doldurarak  sunucunun  hizmet  vermesini
              engellemek  de  bu  tehdit  türü  ile  ilişkilidir.  Kulla-  saldırganlar, yazılım açıklıkları, hizmet
              nımda olan veriler kadar güvenliği önemsenmeyen   dışı bırakma ve yedeklere yönelik
              ve aynı derecede korunmayan yedeklenmiş veriler
              üzerinde;  okuma,  değiştirme,  silme  ve  şifreleme   saldırılardır.
              gibi faaliyetler gerçekleştirebilecek her türlü işlem
              yedeklere yönelik saldırılar kapsamında ele alına-  le  sistemden  kaldırılmalıdır.  Böylece  saldırganla-
              bilir. Bahsi geçen tüm gözlemlere ve tehdit türleri-
              ne karşı önlem alarak veri tabanı güvenliğini sağ-  rın veri tabanının barındırdığı veriler ve kullanıcılar
              lamak adına çeşitli kategoriler altında ele alınmış   hakkında ön bilgi sahibi olması engellenir.
              güvenlik önerileri uygulanabilir.
                                                               Kimlik Doğrulama ve Yetkilendirme
              Kurulum Güncelleme ve Yamalar                    Kurulumun ardından varsayılan kullanıcı adı ve pa-
              Kurulum  dosyalarının  yetkili  kaynaklardan  temin   rola  barındıran  tüm  kullanıcılar  (örneğin,  system
              edildiğinden emin olunmalıdır. Özellikle açık kay-  admin, root, cassandra, oracle vb.) tespit edilerek
              naklı  veri  tabanı  yönetim  sistemleri  internet  üze-  silinmeli veya kullanıcı adı ile parolası değiştirilme-
              rinde pek çok kaynak tarafından sunulabilmekte ve   lidir. Parola belirlenmesi sürecinde, bir parola po-
              büyük çoğunluğunun içeriği ve işlevi değiştirilmiş   litikası  ile  kullanıcılar  güçlü  parolalar  kullanmaya
              olabilmektedir. Bu sebeple, ihtiyaç duyulan dosya-  zorlanabilir. Bu politikalar ile bir parolanın geçerlilik
              lar  yetkili  kaynaklardan  alınıp  kurum  bünyesinde   süresi, uzunluğu ve barındırılması zorunlu karak-
              oluşturulacak  yerel  depolar  üzerinden  kullanıma   terler  gibi  çeşitli  parametreler  belirlenebilir.  Buna
              sunulabilir.  Veri  tabanı  yönetim  sistemi  servisleri   ek olarak, belirlenen politikalar ile boş parolaya sa-
 Süleyman Muhammed Arıkan - Uzman Araştırmacı / BİLGEM SGE  için atanacak kullanıcılar, ihtiyaç duyulan işlevle-  hip kullanıcının bulunmadığından da emin olunur.
              re  uygun  yetkilendirilmelidir.  Dolayısıyla,  servisler

 Veri tabanı sistemleri, barındırdıkları bilgiler sebebiyle her zaman   doğrudan yönetici haklara sahip kullanıcılar ile ça-  Kimlik doğrulama aşamasında gerçekleşen belirli
                                                               sayıdaki yanlış girişlerin ardından kullanıcı ön ta-
              lıştırılmamalıdır. Böylece en az yetki prensibi sağ-
 saldırganların odağında olmuş ve günden güne artan tehdit   lanacak ve başarılı bir saldırı ardından gerçekleşti-  nımlı bir süre için veya süresiz olarak kilitlenebilir.
 vektörlerine ek olarak saldırı türlerinde de çeşitlilik yaşanmıştır.   rilebilecek işlemler kısıtlanabilecektir.   Başta yönetici hesapları olmak üzere, kullanıcılar
                                                               için oturum açabilecekleri IP adresleri belirlenmeli
              Güncelleme ve yamalar mümkün olan en kısa za-    ve yalnızca bu kaynaklardan bağlantı sağlamala-
 ir veri tabanı sisteminde, bilgi güvenliğinin   ri ortaya çıkmaktadır: iç tehditler, insan hataları,   manda gerçekleştirilmelidir. Güncelleme işlemi ile   rına izin verilmelidir. Böylece kurum dışından veya
 üç  temel  ilkesi  incelendiğinde,  gizlilik  ile   iletişimde araya giren saldırganlar, yazılım açık-  veri tabanı yönetim sistemi bünyesinde oluşabile-  kurum  içindeki  farklı  kaynaklardan  kullanıcılara
 Bmevcut verilerin yetkisiz kişilerin eline geç-  lıkları, hizmet dışı bırakma saldırıları ve yedek-  cek herhangi bir güvenlik açığı ile karşılaşma ihti-  yönelik parola tespiti saldırılarının önüne geçilebi-
 memesi; bütünlük ile depolanan ve taşınan ve-  lere  yönelik  saldırılar.  Kasıt  olmadan  ilgili  sis-  mali düşürülürken yamalar ile mevcut açıklıkların   lir. Ayrıca, kullanıcıların aynı anda açabileceği otu-
 rilerin değiştirilmemesi ve erişilebilirlik ile siste-  temi saldırılara karşı açık hale getiren ihmalkâr   kapatılması sağlanabilir. Kurulum işlemi ile gelen   rum sayısı kısıtlanarak sistem kaynaklarının kasıtlı
 min ihtiyaç duyulduğunda kullanılabilir durumda   yöneticiler  veya  kasıtlı  olarak,  zararlı  bir  amaç   örnek veriler ve varsayılan kullanıcılar ise, ivedilik-  veya kasıtsız tüketilmesinin önüne geçilebilir. Aksi
 olması ifade edilebilir. Veri tabanı güvenliği, bir   uğruna  hareket  eden  kötü  niyetli  kullanıcılar  iç   halde çok sayıda oturum açılıp yüksek hesaplama
 veri tabanı sisteminin gizlilik, bütünlük ve erişi-  tehdit kapsamında değerlendirilebilir. Kullanıcı-  gücüne  ihtiyaç  duyan  işlemler  üzerinden  sistem
 lebilirlik ilkelerine zarar verebilecek, kazara veya   lar tarafından kazara gerçekleştirilen aktiviteler,   kaynakları  tüketilip  servis  dışı  bırakma  saldırısı
 kasıtlı her türlü olaya karşı alınan önlemler, ger-  zayıf parola kullanımı ve sosyal mühendislik gibi   gerçekleştirilebilir.
 çekleştirilen denetimler ve kullanılan araçlar ola-  insan temelli saldırılara maruz kalınması da in-
 rak tanımlanabilir. Kullanılan araçların amacına   san hatalarına birer örnek oluşturur. Veri tabanı   Verilen  yetkiler  periyodik  olarak  kontrol  edilerek
 uygun çalışması, denetimlerin verimli bir şekilde   sunucusu ile gerçekleştirilen bir trafiğin dinlen-  yetkisi  değiştirilmiş  kullanıcılar  tespit  edilebilir.
 işletilmesi  ve  alınacak  önlemlerin  uygulanması   mesi, değiştirilmesi ve engellenmesi faaliyetleri   Yetkilendirme sürecinde ise kurulum ile gelen var-
 için veri tabanı sisteminin ve ilişkili bileşenlerin   iletişimde  araya  giren  saldırgan  aktivitelerin-  sayılan  roller  kullanılmamalıdır.  Bu  roller  güncel-
 doğru ve güvenli yapılandırılması gerekmektedir.   dendir. Veri tabanı yönetim sistemi yazılımında   leme  veya  yamalar  ile  değişikliğe  uğrayabilir.  Bu
 Dolayısıyla,  veri  tabanı  güvenliği  yalnızca  veri   mevcut olan güvenlik açıklıklarının istismar edil-  kapsamda amaca özgü oluşturulmuş rollere en az
 tabanı yönetim sisteminin değil, aynı zamanda   mesi ve hizmet sunulan uygulamalar üzerinden   yetki  prensibi  gereği  ayrıcalıklar  tanımlanmalıdır.
 işletim sisteminin ve bununla birlikte hizmet su-  gerçekleştirilen SQL ve NoSQL enjeksiyonu gibi   Her kullanıcı ihtiyaç duyduğu işleve göre de bu rol-
 nulan uygulamaların da yapılandırmasına doğ-  saldırılar da yazılım açıklıklarının bir tehdit türü-  lere atanmalıdır. Mevcut tüm kullanıcılara ayrıcalık
 rudan bağlıdır.  nü oluşturmaktadır.                          tanımlayabilecek  herkesin  atandığı  ortak  rollerin
                                                               (örneğin: “Public” roller) yetkileri mümkün olduğu
 Veri tabanı güvenliğine yönelik saldırılar ve se-  Hizmet dışı bırakma saldırıları ilgili sunucunun,   kapsamda tamamen kaldırılmalıdır.
 bepleri incelendiğinde, şu gözlem ve tehdit türle-  gerçek  kullanıcılara  hizmet  veremeyecek  bü-



 32                                                       33
   30   31   32   33   34   35   36   37   38   39   40