Veri Tabanı Aktivite İzleme (DAM): Kritik Tablolara Yapılan Sorguların Gerçek Zamanlı Denetimi ve KVKK Boyutu
Nisan 8, 2026
KVKK,Siber Güvenlik,Siber Savunma,Veri Güvenliği,ZeroTrust
Modern kurumsal yapılar için veri, en stratejik varlık haline gelmiş durumdadır. Müşteri bilgileri, finansal kayıtlar ve fikri mülkiyetler gibi hassas veriler genellikle merkezi veri tabanlarında depolanmaktadır. Bu durum, veri tabanlarını hem dış saldırganlar hem de yetkilerini kötüye kullanabilecek “iç tehditler” için birincil hedef haline getirir. Geleneksel ağ güvenliği çözümleri ve standart veri tabanı günlükleri (logs), karmaşık sorguları ve yetkili kullanıcı (DBA) hareketlerini izlemede yetersiz kalabilmektedir. Veri Tabanı Aktivite İzleme (Database Activity Monitoring – DAM), bu güvenlik açığını kapatmak amacıyla geliştirilmiş; veri tabanı üzerinde gerçekleşen tüm işlemleri gerçek zamanlı olarak izleyen, analiz eden ve denetleyen bir teknoloji disiplinidir. Özellikle Kişisel Verilerin Korunması Kanunu (KVKK) uyumluluğu açısından DAM, “kritik verilere kimin, ne zaman ve hangi sorguyla eriştiği” sorusuna teknik bir kanıt sunarak veri sorumlularının en güçlü savunma mekanizmasını oluşturur.
Konunun Temel Açıklaması
DAM, veri tabanı motorunun performansını etkilemeden, ağ trafiği veya işletim sistemi seviyesinde gerçekleşen veri tabanı sorgularını (SQL) yakalayan bir güvenlik çözümüdür. Standart veri tabanı denetim araçlarının (native auditing) aksine DAM, verinin içeriğine ve sorgunun bağlamına odaklanır. Sadece “kim giriş yaptı” bilgisini değil, “hangi hassas tabloyu sorguladı”, “kaç satır veri çekti” ve “bu işlem alışılagelmiş bir kullanıcı davranışı mı” gibi soruların yanıtlarını üretir. Bu sistemler, kritik tablolara yapılan erişimleri sürekli tarayarak, önceden tanımlanmış kural dışı hareketlerde anlık alarmlar üretir. KVKK’nın temel prensiplerinden olan veri güvenliği ve hesap verebilirlik ilkeleri, DAM sistemlerinin sunduğu bu detaylı denetim izleri (audit trails) ile teknik bir zemine oturtulmaktadır.
Çalışma Mantığı / Teknik Arka Plan
DAM sistemleri teknik olarak birkaç farklı yöntemle veri toplar. En yaygın yöntemler “Ağ İzleme” (Network Sniffing) ve “Ajan Tabanlı” (Agent-based) izlemedir. Ağ izleme yönteminde, veri tabanı sunucusuna gelen ağ trafiği bir “TAP” veya “SPAN” portu üzerinden kopyalanarak DAM cihazına iletilir. Bu yöntem veri tabanı performansına sıfır yük bindirir. Ajan tabanlı yöntemde ise, veri tabanı sunucusunun işletim sistemi düzeyine yerleştirilen küçük bir yazılım, bellek (RAM) veya yerel bağlantılar (bequeath/IPC) üzerinden geçen trafiği yakalar.
Yakalanan SQL sorguları, DAM motoru tarafından ayrıştırılır (parsing). Bu aşamada sistem; sorguyu yapan kullanıcıyı, istemci uygulama bilgisini, sorgulanan tablo ve sütun isimlerini belirler. Eğer bir sorgu, “Hassas Veri” olarak etiketlenmiş bir tabloya (örneğin; Musteri_TC_No) yönelikse ve bu sorgu alışılmışın dışında bir hacme sahipse (binlerce satırın bir anda çekilmesi gibi), sistem bunu bir “Veri Sızdırma” girişimi olarak işaretler. Teknik arka planda bu süreç, veri tabanı motorunun içine girmeden gerçekleştiği için yetkili kullanıcıların (sysadmin/DBA) kendi izlerini silme riskini de ortadan kaldırır.
Kullanım Senaryoları veya Saldırı Perspektifi
Saldırı perspektifinden bakıldığında, en tehlikeli senaryolardan biri “SQL Enjeksiyonu” (SQLi) ve “Yetki Kötüye Kullanımı”dır. Bir saldırgan web uygulaması üzerinden sızdığında veya bir iç tehdit (çalışan) yetkilerini kullanarak kritik bir tabloyu dışarı aktarmak istediğinde, DAM sistemi bu anormal SQL komutunu anında yakalar. Örneğin; normalde sadece tekil kayıt sorgulayan bir uygulamanın, SELECT * FROM Maas_Tablosu gibi bir komut çalıştırması DAM tarafında kritik bir ihlal tetikler. Ayrıca, mesai saatleri dışında yapılan yönetici erişimleri veya daha önce hiç kullanılmamış terminallerden gelen DBA bağlantıları, DAM sistemlerinin gerçek zamanlı engelleme (prevention) veya uyarı senaryolarını devreye sokar.
Riskler ve Etkileri
Veri tabanı aktivitelerinin izlenmemesi, kurumlar için “görünmez” veri ihlallerine davetiye çıkarır. Bir saldırganın aylarca veri tabanından küçük parçalar halinde veri sızdırması (low and slow attack), DAM sistemleri yoksa ancak ihlal gerçekleştikten ve veriler internete düştükten sonra fark edilebilir. Bu durumun etkisi; milyonlarca liralık KVKK idari para cezaları, ticari sırların kaybı ve telafisi imkansız bir kurumsal itibar zedelenmesidir. Teknik risk olarak, izlenmeyen bir veri tabanı üzerinde yapılan yetkisiz “UPDATE” veya “DELETE” işlemleri veri bütünlüğünü bozar ve iş sürekliliğini tehlikeye atar. DAM sistemleri, bu riskleri oluşmadan saptayarak organizasyonun dijital hafızasını koruma altına alır.
Tespit Yöntemleri
DAM sistemleri, karmaşık veri tabanı hareketlerini anlamlandırmak için şu tespit yöntemlerini kullanır:
- Kural Tabanlı Algılama: “Kritik tablolardan 100’den fazla kayıt çekilirse alarm ver” gibi statik kuralların uygulanması.
- Beyaz Liste (Whitelisting): Uygulamaların ve kullanıcıların yapabileceği “normal” sorguların tanımlanması, bunun dışındaki her şeyin sapma olarak görülmesi.
- Davranışsal Analiz (UBA): Bir kullanıcının geçmişteki sorgu alışkanlıklarının makine öğrenmesi ile modellenmesi ve alışılmadık zamanlarda veya hacimlerde yapılan sorguların saptanması.
- Hassas Veri Keşfi: Veri tabanı şemasının taranarak hangi tablo ve sütunların kişisel veri (KVKK kapsamında) içerdiğinin otomatik olarak etiketlenmesi ve bu alanlara odaklanılması.
Önleme ve Güvenlik Önlemleri
DAM sadece bir izleme aracı değil, aynı zamanda bir koruma kalkanıdır. En etkili güvenlik önlemleri şunlardır:
- Sanal Yama (Virtual Patching): Veri tabanı güncellenemese bile, bilinen zafiyetleri hedef alan sorguların DAM seviyesinde engellenmesi.
- Veri Maskeleme (Dynamic Data Masking): Yetkisiz kullanıcıların sorgu sonuçlarında hassas verilerin (örneğin kredi kartı numarasının yıldızlanarak) maskelenmiş olarak gösterilmesi.
- Sorgu Engelleme: Kritik politikalara aykırı (örneğin bir tablonun tamamen silinmesi gibi) SQL komutlarının veri tabanına ulaşmadan durdurulması.
- Görevler Ayrılığı (Separation of Duties): Veri tabanını yöneten kişi (DBA) ile bu yönetimi denetleyen kişinin (Güvenlik Analisti) rollerinin teknik olarak ayrılması.
Kurumsal Perspektif / Gerçek Hayat Kullanımı
Kurumsal yönetim ve KVKK uyumu açısından DAM, veri sorumlusunun “denetim” yükümlülüğünü en üst düzeyde yerine getirdiğinin kanıtıdır. KVKK Madde 12 uyarınca kurumlar, kişisel verilere erişimi sınırlamak ve bu erişimleri kayıt altına almak zorundadır. Bir sızıntı incelemesinde, Kişisel Verileri Koruma Kurulu (KVKK Kurulu), veri sorumlusundan “bu veriye kimin eriştiğinin loglarını” talep eder.
Gerçek hayatta, birçok kurum sadece “başarılı/başarısız giriş” loglarını tutarken, DAM kullanan kurumlar “X kullanıcısı Y tablosundaki şu kişisel verileri Z sorgusuyla okudu” şeklinde detaylı ve değiştirilemez bir rapor sunabilir. Bu şeffaflık, hem yasal uyumda avantaj sağlar hem de olası bir ihlalin kapsamını (hangi kullanıcıların etkilendiğini) dakikalar içinde belirlemeye yardımcı olur. Dolayısıyla DAM, büyük ölçekli veri işleyen kurumlar için bir lüks değil, yasal risk yönetiminin temel yapı taşıdır.
Sonuç
Sonuç olarak Veri Tabanı Aktivite İzleme (DAM), veri tabanlarının kalbinde gerçekleşen işlemleri görünür kılarak siber güvenliği “reaktif” bir yapıdan “proaktif” bir yapıya taşır. Kritik tablolara yapılan sorguların gerçek zamanlı denetimi, hem dış saldırılara hem de iç tehditlere karşı en etkili bariyerdir. Teknik görünürlük, KVKK gibi yasal düzenlemelerin gerektirdiği hesap verebilirlik ilkesiyle birleştiğinde, kurumun dijital varlıklarını ve itibarını koruyan kapsamlı bir güvenlik kalkanı oluşturur. Verinin her geçen gün daha değerli hale geldiği dijital çağda, veri tabanı hareketlerini izlememek, kurumsal hafızayı ve kullanıcı mahremiyetini savunmasız bırakmak anlamına gelecektir. Başarılı bir güvenlik stratejisi, verinin sadece nerede saklandığını değil, o veriye nasıl dokunulduğunu da anlık olarak bilmeyi gerektirir.
Tags :
#DAM,#DatabaseMonitoring,#DatabaseSecurity,#KVKK,#SiberSavunma,#SQLAudit,#VeriGüvenliği,#ZeroTrust
Share This :