Geleneksel güvenlik kontrolleri ve süreçleri, verilerden ziyade altyapının korunmasına güçlü bir şekilde odaklanır. Verilere odaklananlar genellikle, hassas belgeler içeren dosya depolarına sahip sistemlere erişimi engellemek amacıyla, yapılandırılmamış verileri dışarıdakilerden korumaya çalışırlar.
Yapılandırılmamış verilerin güvenliğinin sağlanmasının önemi ortadan kalkmayacak; ancak uygulama yığınının şirket bilgilerinin güvenliği sağlanırken gözden kaçabilecek kısmı veritabanıdır. Uygulama veritabanları genellikle doğası gereği oldukça hassas olan çoğu tüketici verisinin yaşam döngüsünün başladığı yerdir.
Çoğu kuruluşta veritabanları, hassas finans ve müşteri kayıtları da dahil olmak üzere verilerin “taç mücevherlerini” barındırır. Üstelik gizlilik ve zorunlu açıklamayla ilgili yeni düzenlemeler, veritabanı güvenliğini her zamankinden daha önemli hale getiriyor.
Bu makalede, veri tabanı güvenliğiyle ilgili günümüzün zorluklarını ve BT liderlerinin teknoloji ve düzenleyici değişikliklere ayak uydurmak için atabileceği adımları gözden geçireceğiz.
Veritabanı güvenliğinin daha fazlasına ihtiyacı var öncelik
Onlarca yıldır kuruluşlar, veri şifreleme ve erişim kontrol sistemlerine ek olarak uç nokta, ağ ve çevre güvenliğine odaklandı.
İhlaller incelendiğinde saldırganların çoğunlukla veritabanlarının peşine düştüğü görülüyor. Kraliyet mücevherlerine erişim sağlamak için uç nokta, ağ, çevre, uygulamalar/API’ler ve diğer altyapıdan ödün vermek. Bir saldırgan, bir kişiyi fidye karşılığında alıkoymak için milyonlarca kayıttan oluşan son derece hassas veri istiyorsa, bunu genellikle bir veritabanından elde eder.
Avustralyalı tüketiciler kişisel bilgilerine yönelik risklerin farkındadır. Imperva’ya göre Gümüş Astar Yok Veri ihlallerinin ve kişisel verilerin kötüye kullanımının arttığı bir ortamda rapora göre katılımcıların yüzde 39’u, dijital hizmet sağlayıcıların kişisel verileri güvende ve gizli tutma konusundaki istekliliğine olan inançlarının son beş yılda azaldığını söylüyor. Ayrıca yüzde 28’i, özel bilgilerini tamamen gizli tutacağı konusunda kamu ya da özel hiçbir kuruluşa güvenmediğini söylüyor.
Veritabanlarındaki bilgilerin önemli doğasına rağmen, kuruluşa yönelik risklere uygun olarak beklediğiniz düzeyde görünürlük ve izlemeye sahip değillerdir.
Ve bulut bu sorunu yalnızca hızlandırıyor. Veritabanlarını bulutta hızlı ve kolay bir şekilde dağıtma ve yönetme yeteneği, geliştiricilere ve BT yöneticilerine yeni bir esneklik düzeyi kazandırdı; ancak, doğru yönetilmediği takdirde, verilerin bu akışkanlığı zorluklara yol açabilir.
Bulutun getirdiği tüm avantajlarla birlikte verileri izlemek, gerçek bir risk haline gelmesinin nedenlerinden biridir. Bulut, verilerin farklı güvenlik düzeyleriyle çeşitli konumlara taşınmasını zahmetsiz hale getirir. Güvenlik, üretimde yüksek olabilir ancak hazırlama veya geliştirme ortamında düşük olabilir.
Ne yazık ki veritabanları söz konusu olduğunda birçok kuruluşun varlık kayıtları yetersiz tutuluyor. Kaç tane veritabanına sahip olduklarını ve içerdikleri veri türü ve hacmini bilmeden, bunları uygun şekilde korumak imkansızdır.
“Hassas veritabanlarını korumak, sınırlı kaynaklara ve araçlara sahip kurumsal güvenlik grupları için zordur. Imperva Bölge Başkan Yardımcısı Kane Fraser, “Veritabanı ihlali tespitini bu kadar zorlaştıran genellikle güvenlik ekibinin araçlarıdır” diyor. “Yoğun bir veri tabanından gelen uyarıları doğru bir şekilde bağlamsallaştıramayan araçlar, çoğunlukla güvenlik ekiplerini çoğunlukla gürültüden oluşan bir çığla bunaltıyor ve olay soruşturma çabalarına nereden başlayacağını ve odaklanacağını anlamayı zorlaştırıyor.”
Artan düzenleme daha sıkı veritabanı güvenliği gerektiriyor
Tüm veri depolarına aynı düzeyde güvenlikle yaklaşmak en iyi uygulamadır ve veritabanları söz konusu olduğunda, bunları ortamınızın diğer bölümleriyle uyumlu hale getirmek için giderek artan nedenler vardır.
Avustralya’da düzenleme diğer ülkelerle karşılaştırıldığında geride kalıyor, dolayısıyla büyük müşteri veritabanlarının izlenmesi ve güvenliğinin sağlanmasına kesinlikle daha fazla odaklanılması gerekiyor. Ancak yetkililer, ödeme ve müşteri ayrıntıları gibi hassas verileri ifşa eden kuruluşlara da kısıtlama getiriyor.
Bildirilebilir Veri İhlalleri (NDB) planı ve Güvenlik Mevzuatı Değişikliği (Kritik Altyapı) Yasası gibi düzenlemeler, ilgili kuruluşların, veri ihlalinin ayrıntıları da dahil olmak üzere herhangi bir olayı yetkililere bildirme zorunluluğunu getirir.
Düzenlemelerin artmasıyla birlikte, veritabanı ihlalinin itibarı ve iş üzerindeki etkisi bir yana, gevşek veritabanı güvenliği nedeniyle ceza alma olasılığı da artıyor.
Geçmişte yalnızca büyük bankalar ve telekomünikasyon şirketleri gibi büyük kuruluşlar veritabanı güvenlik teknolojisine yatırım yapıyordu. Imperva’da, veritabanlarını daha iyi korumak isteyen 2. kademe finansal hizmet ve perakende şirketlerinin artan bir eğilimini görüyoruz.
Uygulama ve veri güvenliğini entegre etme
Artık BT liderlerinin veri güvenliğine yeni bir yaklaşım için geleneksel uygulama ve sistem düzeyindeki güvenlik titizliğini veritabanında birleştirmesinin zamanı geldi.
WAF önemli olsa da verilerinizin güvende kalması için her şeyi kapsayan bir uygulama güvenliği platformu tarafından desteklenmesi gerekir. Veritabanındaki veriler, sistem düzeyinde bir saldırıya veya iş mantığı saldırısına (BLA) maruz kalabilir ve Avustralya’nın BT liderlerinin tüm güvenlik açıklarının önünde durması gerekir.
Veritabanlarınızı yönetmek ve korumak için neyin gerekli olduğunu belirleyerek başlayın, herhangi birinin veri ihlallerine karşı savunmasız olup olmadığını belirleyin ve kuruluşu, SQL veritabanlarını tehlikeye atmak için tasarlananlar da dahil olmak üzere çeşitli saldırı türlerinden nasıl koruyacağınız konusunda bir plan geliştirin.
Bir veri güvenliği platformu, veritabanları, dosya depolama, mesajlaşma hizmetleri ve bulut hizmetleri dahil olmak üzere birçok veri deposu türünü desteklemelidir. SIEM, SOAR, IAM ve DLP gibi çok sayıda başka hizmetle entegrasyon da arzu edilir.
Veri güvenliği, veri keşfi ve sınıflandırma konusundaki yeteneğinizi geliştirmenize yardımcı olacaktır; veri etkinliği izleme; ve veri koruma ve yanıt.
Veri riski analitiğinin önemli bir yeteneği, veri ihlali tehditlerini gürültü olmadan tespit etmektir. Veri riski analitiği, hangi veritabanını, tabloyu, kullanıcı erişimini, kullanıcı rollerini, verilerin hassas olup olmadığını ve kullanıcının bunlarla ne yaptığını dikkate alır. Veri riski analitiği, tüm bu olay bilgilerini ilişkilendirerek, bir uyarı oluşturmadan önce bir etkinliğin risk içermeyen bir anormallik mi yoksa hassas verilere yönelik gerçekten ciddi bir tehdit mi olduğunu bağlamsal olarak belirler.
İşte bir veri güvenliği platformunun neler sunması gerektiğine dair hızlı bir kontrol listesi.
- Karmaşık konuları sade bir dille açıklayan net özetler
- Daha hızlı sorun çözme süreleri
- Anormalliklerden ziyade gerçek risklere göre kategorize edilen ve önceliklendirilen saldırılar
- Kötü aktörleri hasara yol açmadan önce tespit etme yeteneği
- Yanlış pozitiflik olmaması, SOC ekibinin kritik konulara odaklanabilmesini sağlar
BT liderlerinin uygulama güvenliği, veri güvenliği ve gizliliği ayrı varlıklar olarak düşünmeyi bırakmasının zamanı geldi. Her biri diğerini besler, bu yüzden onları tek olarak ele alın.
Daha fazlasını imperva.com’da öğrenin