Veritabanı Yönetim Sistemlerine Yönelik Tehditler

Veritabanı Yönetim Sistemlerine Yönelik Tehditler
Veritabanı yönetim sistemlerinin kullanılmaya başlandığı ilk yıllarda günümüzdeki gibi ağ ortamları olmamasından dolayı en büyük güvenlik tehdidini gizli bilgilere ulaşmaya çalışan şirket içi kullanıcılar oluşturmuştur. E-devlet uygulamaları, e-ticaret web siteleri ve intranetler gibi birbirine bağlı ağ ortamlarındaki uygulamaların kullanımının yaygınlaşmasıyla, veritabanı yönetim sistemleri her zamankinden daha fazla saldırıya açık duruma gelmiştir. Günümüzde kurumlar kötü niyetli, bilinçsiz, bilgisiz ve ilgisiz çalışanların oluşturduğu iç tehditlerin yanısıra dışarıdan gelebilecek tehditlere karşı da önlemler almak zorundadırlar. Veritabanı yönetim sistemlerinin güvenliğini tehdit eden unsurları 4 grupta incelemek mümkündür.

Doğal Afetler

Tüm bilgi sistemlerini hatta insan hayatını doğrudan etkileyen doğal afetler önceden tespit edilemedikleri için engellenmeleri genellikle çok zordur. Bu tehditlere karşı tüm tedbirler önceden planlanmalı ve uygulanmalıdır. Deprem, yangın, su baskını, sel, ani sıcaklık değişimleri, toprak kayması, kasırgalar, fırtınalar ve çığ düşmesi gibi afetler meydana gelebilecek tehditlere örnek olarak verilebilir. Doğal afetlerden herhangi birinin meydana gelmesi veritabanlarının yanında tüm bilgi sistemlerinin zarar görmesine sebebiyet vermektedir. Bu tür tehditleri en az indirmek için uygun felaket senaryoları üretilmeli ve felaketten en kısa zamanda nasıl kurtulunabileceği ile ilgili (disaster recovery) iş devamlılığı konusundaki çalışmalar önceden yapılmalıdır.


Prosedürsel Eksiklikler  

Veritabanlarını dolaylı yönden ancak üst düzeyde tehdit eden prosedürsel eksiklikler kurumsallaşma süreçlerini tamamlayamayan kurum ve kuruluşlarda sıklıkla görülür. Veritabanı yedekleme prosedürlerinin olmaması, veritabanı kurulum ve bakımı ile ilgili prosedürlerin eksikliği, acil durumlarda veya felaket anlarında devreye alınacak bilgi süreklilik planlarının olmaması, güvenlik bilinçlendirme eğitimlerinin planlanması ve uygulanmasına ait eksiklikler, güvenlik politikası ve prosedürlerinin olmaması, bilgi güvenliğiyle ilgili görev ve sorumlulukların verilmesindeki eksiklikler bu prosedürsel eksikliklerden kaynaklanan tehditlere örnek olarak verilebilir.

İnsan Faktörü 

En zayıf halka olan insan faktöründen kaynaklanan tehditleri istem dışı veya kasıtlı olarak yapılan kullanıcı davranışları olarak iki grupta incelemekte fayda vardır. Veritabanı ile ilişkilendirilmiş uygulama üzerinde belirli bir düzeyde yetkiye sahip olan bir kullanıcının, uygulamayı bilinçsiz, yeterli eğitime sahip olmadan kullanması sonucu bilginin gizlilik, bütünlük ve erişilebilirlik ilkelerinin birkaçı ihlal edilebilir. Son kullanıcılar, yazılım geliştiricileri, veritabanı yöneticileri, sistem yöneticileri gibi değişik düzeyde bilgi sahibi olan çalışanlar tarafından istemsizce veya ihmal sonucu yapılan davranışlardan kaynaklanan bazı önemli tehditler şunlardır;
  • Çalışanların bilgisizliği veya kasıtlı olarak güvenlik politikalarına uymaması, 
  • Güvenlik önlemi almadan veritabanı etkileşimli uygulama yazılımlarının geliştirilmesi, 
  • Veritabanı sunucularının fiziksel güvenliğinin sağlanamaması,
  • Çalışanların veritabanı yönetim sistemlerini güvensiz, eksik veya hatalı yapılandırması, 
  • Veritabanı kayıtlarının (log) analiz edilmeden silinmesi veya tutulmaması, 
  • Veritabanının hatalı yedeklenmesi, hiç yedek alınması veya alınan yedeklerin test edilmemesi, 
  • Veritabanı sunucusu üzerinde gereksiz servislerin hizmete açılması, 

Web Üzerinden Gelen Tehditler

 Web üzerinden gelen tehditler her ne kadar insan faktöründen (güvensiz altyapılar, güvensiz kodlama, hatalı yapılandırma, vb) kaynaklanan tehditler olsa da veritabanı güvenliği ihlallerinin oluşmasındaki en önemli tehditlerin başında geldiğinden ayrı bir alt başlıkta incelenmiştir. Web uygulamaları kullanıcı dostu arayüzüne sahip olması, herhangi bir yerden herhangi bir zamanda herhangi bir bilgisayardan platform bağımsız olarak kullanılabilmesi, kurulumunun ve bakımının maliyet efektif olması gibi nedenlerden dolayı veritabanında depolanan bilgileri insanlara ulaştırmak için en kolay ve en etkin yöntem olarak karşımıza çıkmaktadır. 
Dinamik içerikli web sitelerinde, web tarayıcıları taleplerini web uygulamalarına ilettikten sonra bu istekler doğrultusunda veritabanı sorgulaması yapılır ve talep edilen isteklere ait sonuçların yer aldığı sayfalar üretilerek, tarayıcılar üzerinde gösterilir. Dinamik içerikli web sayfalarının bu esnek çalışma yapısı birçok güvenlik tehdidini ve ihlâllerini beraberinde getirmektedir. Özellikle kullanıcıdan girdi alınarak dinamik içerik sağlamak amacıyla veritabanı desteği sağlayan uygulama kodlarıyla (asp, jsp, php, cgi, vb.) geliştirilen web uygulamaları, veritabanı güvenliğini üst düzeyde tehdit etmektedir
Share

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir