İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS TaliaDomain Faronics Uçtan Uca Güvenlik SANGFOR SearchInform
EN

DAM (Database Activity Monitoring) Nedir?


DAM (Veritabanı Etkinliği İzleme), veri tabanlarındaki tüm etkinliklerin gerçek zamanlı olarak izlenmesi, analiz edilmesi ve gerektiğinde raporlanması için kullanılan bir güvenlik çözümüdür. DAM, veri tabanlarının güvenliğini sağlamak ve uyumluluk gerekliliklerini karşılamak amacıyla kritik bir rol oynar.

Gelişen siber tehditler ve düzenleyici gereklilikler, DAM çözümlerinin önemini artırmaktadır. Modern işletmelerde veri güvenliğinin artan önemi nedeniyle, DAM çözümleri giderek daha yaygın hale gelmiştir. DAM çözümleri, aşağıda verilen nedenlerden dolayı finans, sağlık, savunma sanayii, kamu ve e-ticaret gibi birçok sektörde kullanılmaktadır.

-Müşteri verilerini korumak ve düzenleyici uyumluluğu sağlamak.
-Hasta bilgilerinin gizliliğini güvence altına almak ve HIPAA gibi standartlara, KVKK, GDPR gibi kanunlara uyum sağlamak.
-Ödeme bilgilerinin güvenliğini sağlamak ve PCI DSS gibi standartlara uyum sağlamak.
-Gizli belgelerin ve bilgilerin korunması sağlamak.

DAM Çözümlerinin Faydaları

Güvenlik İhlallerinin Azaltılması:

DAM, kötü niyetli faaliyetleri tespit ederek güvenlik ihlallerini önlemeye yardımcı olur.

Uyumluluk Gerekliliklerinin Karşılanması:

PCI DSS, GDPR, SOX gibi regülasyonlara uygunluğu kolaylaştırır.

Hızlı Müdahale:

Şüpheli aktiviteler tespit edildiğinde, hızlı bir şekilde uyarı mekanizmaları devreye girer.

Hassas Verilerin Korunması:

Yetkisiz erişimlere karşı veri tabanı seviyesinde ek bir koruma katmanı sağlar.

Yapay zekâ ve makine öğrenimi ile desteklenen DAM araçları, gelecekte daha etkili hale gelecek ve hem büyük hem de küçük ölçekli işletmeler için temel bir güvenlik bileşeni olmaya devam edecektir.

DAM Nasıl Çalışır?

Durum tabanlı, bellek tabanlı ve log tabanlı farklı DAM mimarileri bulunmaktadır. Bununla beraber DAM çalışma süreci genellikle aşağıda verilen beş aşamadan oluşur.

Gerçek Zamanlı İzleme: DAM sistemleri, veri tabanlarına yapılan her tür erişimi izler. Bu erişimler kullanıcı sorguları, yönetici işlemleri veya uygulama bağlantıları gibi farklı kaynaklardan olabilir.

Davranış Analizi ve Anormallik Tespiti: Normal kullanıcı davranışlarını öğrenerek, olağandışı veya şüpheli aktiviteleri tespit eder. Örneğin, bir kullanıcı normalde erişmediği bir tabloya erişim sağlarsa veya beklenmeyen bir zaman diliminde işlem yaparsa, bu bir tehdit olarak işaretlenebilir.

Raporlama ve Alarm Sistemleri: İzleme sırasında elde edilen veriler analiz edilerek günlükler oluşturulur. Şüpheli aktiviteler anında güvenlik ekiplerine iletilir. Bu süreç, bir ihlali tespit etmek ve hızlı müdahale sağlamak için kritik öneme sahiptir.

Politika Uygulaması:
DAM, organizasyonların güvenlik politikalarını veri tabanı seviyesinde uygulamalarına olanak tanır. Örneğin, belirli kullanıcıların hassas verilere erişimi sınırlandırılabilir.

DAM Araçları

Farklı birçok DAM aracı bulunmaktadır. Önde gelen araçlardan bazıları aşağıda verildiği gibidir.

- IBM Guardium
- Imperva SecureSphere
- Oracle Audit Vault
- McAfee Database Activity Monitoring
- SolarWinds Database Performance Monitor
- Satori

Bunlar dışında açık kaynak kodlu DAM çözümleri de bulunmaktadır. Bu ürünler ticari ürünlere kıyasla maliyet avantajı sunarken belirli ihtiyaçları karşılayabilecek esneklik sağlar. Açık kaynak kodlu DAM ürünlerinden şu örnekler verilebilir:

1. Audit Vault ve Logging Çözümleri

Bu tür araçlar, veritabanı etkinliklerini izlemek ve raporlamak için açık kaynaklı çözümler sunar.

pgAudit: PostgreSQL için bir uzantıdır ve SQL işlemlerini detaylı bir şekilde kaydeder. Kullanıcı etkinliklerinin izlenmesini sağlar. Özellikle PostgreSQL kullanan işletmeler için uygundur.

MariaDB Audit Plugin: MariaDB ve MySQL için kullanılabilir. Tüm veri tabanı etkinliklerini günlük dosyalarına veya syslog gibi bir merkezi günlükleme sistemine gönderir.

2. SIEM Entegrasyonlu Çözümler

Birçok açık kaynaklı SIEM (Security Information and Event Management) ürünü, DAM işlevselliği sunacak şekilde özelleştirilebilir. Aşağıda bunlara örnekler verilmiştir.

Elasticsearch, Logstash ve Kibana (ELK Stack): ELK Stack, veri toplama, analiz, görselleştirme ve alarm üretimi için güçlü bir araçtır. DAM işlevlerini desteklemek için veritabanı günlüklerini toplayıp analiz edebilir.Daha kapsamlı bir güvenlik ve performans yönetim platformu oluşturmak isteyenler için uygundur.

Wazuh: Açık kaynaklı bir güvenlik izleme platformudur. Veritabanı loglarını izleme yeteneği ile DAM işlevi görebilir. Veritabanı loglarını ve erişim olaylarını izler ve anormallik tespit eder. SIEM tabanlı veri tabanı güvenliği çözümleri için uygundur.

3. Genel Amaçlı Log İzleme Araçları

Bazı genel amaçlı izleme araçları, veritabanı etkinliklerini izlemek için yapılandırılabilir. Aşağıda bunlara örnekler verilmiştir.

Osquery: Sistemler ve veri tabanları hakkında bilgi toplamak için kullanılabilen açık kaynaklı bir SQL tabanlı araçtır. Sistem genelinde etkinlikleri izlemek isteyenler için uygundur.

Zabbix: Sistemler ve uygulamaların izlenmesi için popüler bir açık kaynaklı araçtır. DAM işlevselliği, veri tabanı eklentileri ile sağlanabilir. Monitoring ve olay yönetimini tek bir platformda birleştirmek isteyen kullanıcılar için uygundur.

Sık Sorulan Sorular (S.S.S)

1.  DAM hangi tehditlere karşı koruma sağlar?

- DAM yetkisiz erişim, iç tehditler ve SQL enjeksiyonu tehditlerine karşı koruma sağlar.

2. DAM ile SIEM (Security Information and Event Management) arasındaki fark nedir?

- DAM özellikle veri tabanları için tasarlanmıştır ve derinlemesine SQL sorgusu izleme gibi özelleşmiş özelliklere sahiptir. SIEM ise genel bir güvenlik yönetim aracıdır ve ağ, sistem ve uygulama etkinliklerini geniş bir perspektifte izler. DAM, SIEM ile entegre çalışabilir ve veri tabanı günlüklerini SIEM'e iletebilir.

3. DAM performansı etkiler mi?

DAM çözümleri, veri tabanı performansını etkileyebilir. Ancak modern DAM araçları, bu etkiyi minimuma indirmek için optimize edilmiştir. Ajan tabanlı izleme genellikle daha fazla sistem kaynağı tüketirken, ağ tabanlı izleme daha az etkili olabilir.

Kaynak [1]

Yazar: Nazlıcan Kaya / BeyazNet Denetim Hizmetleri ve Teknolojileri K. Uzman