Hoe controleer ik of onbekenden toegang hebben gehad tot onze database?

Vermoed je dat iemand zonder toestemming toegang heeft gehad tot jullie database? Dat is een serieuze situatie die snel en methodisch aangepakt moet worden. Onbevoegde toegang tot een database kan grote gevolgen hebben: van gestolen klantgegevens tot reputatieschade en juridische verplichtingen. In dit artikel beantwoorden we de meest gestelde vragen over het detecteren, analyseren en voorkomen van ongeautoriseerde databasetoegang, zodat je weet wat je moet doen en waar je op moet letten.

Hoe weet ik of iemand ongeoorloofd toegang heeft gehad tot onze database?

Je kunt onbevoegde toegang tot een database herkennen door te kijken naar onverklaarbare loginpogingen, onbekende gebruikersaccounts, ongebruikelijke query-patronen en wijzigingen in data die niemand binnen jouw organisatie heeft doorgevoerd. Controleer ook of er toegang is geweest buiten kantooruren of vanaf onbekende IP-adressen.

In de praktijk zijn er een aantal concrete signalen die wijzen op een mogelijke database-inbraak:

• Loginpogingen vanuit onbekende of buitenlandse IP-adressen
• Accounts die inloggen op tijdstippen waarop medewerkers normaal niet actief zijn
• Grote hoeveelheden data die in korte tijd worden opgevraagd of geëxporteerd
• Onbekende of nieuwe gebruikersaccounts in de database
• Wijzigingen in tabellen, rechten of configuratie-instellingen die niemand herkent
• Applicaties of diensten die plotseling anders presteren of onverwacht gedrag vertonen

Het lastige is dat een aanvaller die weet wat hij doet, weinig sporen achterlaat. Toch zijn de meeste inbraken wel degelijk terug te vinden in de logging, mits die goed is ingericht. Als je nu niet zeker weet of jullie logging actief is, is dat op zichzelf al een risicosignaal.

Welke sporen laat een database-inbraak achter?

Een database-inbraak laat vrijwel altijd sporen achter in de vorm van logregels, gewijzigde bestanden, nieuwe gebruikersrechten of ongebruikelijke netwerkactiviteit. De zichtbaarheid van die sporen hangt sterk af van hoe goed jullie logging en monitoring zijn ingericht op het moment van de inbraak.

De meest voorkomende sporen zijn:

• Authenticatielogs: mislukte en geslaagde inlogpogingen, inclusief tijdstip en IP-adres
• Query-logs: ongebruikelijke SELECT-, UPDATE- of DELETE-opdrachten, met name op tabellen met persoonsgegevens
• Rechtenwijzigingen: nieuwe gebruikers met hoge privileges, of bestaande accounts met uitgebreide rechten
• Exportactiviteit: grote data-exports of dumps die niet door een bekende applicatie zijn geïnitieerd
• Configuratiewijzigingen: aanpassingen aan firewall-regels, poorten of databaseinstellingen
• Verwijderde of gewijzigde logbestanden: een aanvaller die zijn sporen uitwist, laat daarmee juist een spoor achter

Houd er rekening mee dat geavanceerde aanvallers soms bewust wachten en traag te werk gaan om detectie te vermijden. Dat maakt het terugkijken over een langere periode, soms weken of maanden, noodzakelijk bij een grondig onderzoek.

Hoe analyseer ik de logs van mijn database op verdachte activiteit?

Om databaselogs te analyseren op verdachte activiteit, begin je met het verzamelen van authenticatielogs, query-logs en systeemgebeurtenissen. Zoek vervolgens naar afwijkingen ten opzichte van normaal gedrag: ongebruikelijke tijdstippen, onbekende IP-adressen, hoge datavolumes en onbekende gebruikers. Vergelijk dit met de activiteiten die jullie eigen medewerkers en systemen zouden moeten genereren.

Een praktische aanpak voor het analyseren van databaselogs op verdachte activiteit ziet er als volgt uit:

1. Verzamel alle relevante logs van de databaseserver, het besturingssysteem, de applicatielaag en het netwerk.
2. Stel een tijdlijn op van alle activiteiten, zodat je patronen en uitschieters kunt herkennen.
3. Filter op bekende risicopatronen zoals brute force-pogingen, massale SELECT-queries of toegang buiten werktijden.
4. Vergelijk met een baseline van normaal gedrag. Als je die baseline niet hebt, is dat een eerste verbeterpunt.
5. Controleer op laterale beweging: heeft de aanvaller na toegang tot de database ook andere systemen benaderd?

Veel organisaties gebruiken een SIEM-systeem (Security Information and Event Management) om logs centraal te verzamelen en automatisch te analyseren. Zonder zo’n systeem is handmatige analyse tijdrovend, maar nog altijd mogelijk met de juiste tools en expertise.

Wat is het verschil tussen een datalek en ongeautoriseerde databasetoegang?

Ongeautoriseerde databasetoegang betekent dat iemand zonder toestemming toegang heeft gekregen tot jullie database. Een datalek is specifieker: daarbij zijn persoonsgegevens daadwerkelijk ingezien, gekopieerd, gewijzigd of vernietigd door een onbevoegde partij. Ongeautoriseerde toegang kan leiden tot een datalek, maar dat hoeft niet altijd het geval te zijn.

Het onderscheid is juridisch relevant. Onder de AVG (Algemene Verordening Gegevensbescherming) ben je verplicht een datalek waarbij persoonsgegevens zijn betrokken, te melden bij de Autoriteit Persoonsgegevens, en in sommige gevallen ook bij de betrokkenen zelf. Die meldplicht geldt niet automatisch bij ongeautoriseerde toegang waarbij geen persoonsgegevens zijn geraakt.

Praktisch gezien betekent dit dat je bij een vermoeden van onbevoegde toegang altijd moet onderzoeken of er ook daadwerkelijk gegevens zijn buitgemaakt. Pas dan kun je bepalen of er een meldplicht geldt en welke stappen juridisch verplicht zijn. Raadpleeg bij twijfel een specialist, want de meldtermijn bij een datalek is slechts 72 uur.

Wanneer moet ik een cybersecurityspecialist inschakelen voor een database-onderzoek?

Schakel een cybersecurityspecialist in zodra je een concreet vermoeden hebt van onbevoegde toegang, als jullie zelf de technische expertise missen om logs grondig te analyseren, of als er mogelijk persoonsgegevens zijn gelekt. Wacht niet tot je zeker weet dat er iets mis is, want elke vertraging vergroot de schade en bemoeilijkt het forensisch onderzoek.

Er zijn situaties waarbij professionele hulp niet optioneel is:

• Je vindt sporen in de logs die je niet kunt verklaren
• Er zijn accounts of rechten gewijzigd zonder dat iemand dit heeft gedaan
• Jullie systemen vertonen onverklaarbaar gedrag of prestatieproblemen
• Er is een melding van een externe partij dat jullie data op straat ligt
• Jullie hebben geen actieve logging of monitoring ingericht
• Er zijn aanwijzingen dat de aanvaller nog actief is in jullie omgeving

Een specialist kan niet alleen het incident onderzoeken, maar ook helpen bij de juridische verplichtingen, communicatie met toezichthouders en het voorkomen van verdere schade. Bij een penetratietest wordt bovendien proactief gezocht naar kwetsbaarheden voordat een aanvaller ze uitbuit, wat een waardevolle aanvulling is op reactief incidentonderzoek.

Hoe voorkom ik in de toekomst onbevoegde toegang tot onze database?

Onbevoegde toegang tot een database voorkom je door een combinatie van technische maatregelen, goed toegangsbeheer en continue monitoring. Geen enkele maatregel biedt volledige garantie, maar de combinatie maakt het voor aanvallers aanzienlijk moeilijker en vergroot de kans dat een inbraakpoging tijdig wordt gedetecteerd.

De belangrijkste preventieve maatregelen zijn:

• Minimale rechten (least privilege): geef gebruikers en applicaties alleen de rechten die ze daadwerkelijk nodig hebben
• Sterke authenticatie: gebruik meerfactorauthenticatie voor alle databasetoegang, ook voor beheerders
• Netwerksegmentatie: zorg dat de database niet direct bereikbaar is vanaf het internet
• Actieve logging en monitoring: log alle databaseactiviteit en stel alerts in voor afwijkend gedrag
• Regelmatige updates en patches: houd databasesoftware en het onderliggende besturingssysteem actueel
• Versleuteling: versleutel gevoelige data in de database en tijdens transport
• Periodieke audits: controleer regelmatig wie toegang heeft en of dat nog klopt met de huidige situatie

Beveiliging is geen eenmalige actie maar een doorlopend proces. Regelmatige toetsing aan actuele wet- en regelgeving en het uitvoeren van security-tests helpen om kwetsbaarheden te ontdekken voordat anderen dat doen.

Hoe Q-Cyber helpt bij het detecteren en voorkomen van onbevoegde databasetoegang

Q-Cyber helpt organisaties om ongeautoriseerde toegang tot databases te detecteren, te onderzoeken en in de toekomst te voorkomen. Wij combineren technische expertise met pragmatisch advies, zonder afhankelijkheid van softwareleveranciers of vaste producten. Dat betekent dat we altijd het advies geven dat bij jullie situatie past.

Wat we voor je kunnen doen:

• Forensisch logonderzoek: we analyseren jullie databaselogs en andere systeemlogs om te achterhalen of er onbevoegde toegang heeft plaatsgevonden en wat de omvang is
• Penetratietesten: onze ethische hackers testen jullie databasebeveiliging actief en rapporteren concreet welke kwetsbaarheden aanwezig zijn en hoe die verholpen kunnen worden
• Vulnerability scans: we brengen technische zwakke plekken in jullie infrastructuur in kaart, inclusief de databaselaag
• Virtuele CISO via Continuous-Q: een team van specialisten dat structureel meekijkt met jullie cybersecurity, inclusief monitoring en beleidsvorming
• NIS2-consultancy: we helpen bij het voldoen aan de meldplicht en andere verplichtingen die voortvloeien uit een incident

Vermoed je dat er onbevoegde toegang is geweest tot jullie database, of wil je weten hoe goed jullie beveiliging op dit moment is? Neem contact op met Q-Cyber voor een vrijblijvend gesprek. We helpen je snel en concreet verder.

Gerelateerde artikelen

• Wat is OWASP in relatie tot pentesten?
• Hoe voer je database pentesten uit?
• Hoe test je IoT apparaten?
• Hoe definieer je pentest doelstellingen?
• Hoe kan ik testen of mijn website goed beveiligd is?
• Wat zijn de signalen dat mijn website gecompromitteerd is?
• Hoe test je cloud infrastructuur?
• Wat zijn de verschillen tussen interne en externe pentesten?
• Hoe controleer ik of onze API beveiligd is tegen aanvallen?
• Hoe automatiseer je pentesten?