דו"ח מבדק חדירות

דו"ח מבדק חדירות לדוגמא

ה- Penetration Testing היא דרך המאפשרת להעריך את רמת האבטחה של מערכות, אפליקציות, שירותי מובייל ותשתיות. בדיקת החדירות מתחילה במיפוי הנכסים הדיגיטלים של הארגון, כולל אינטגרציה עם מערכות צד ג', התנהגות משתמשים וכדומה.

דו"ח מבדק חדירות, המסופק ללקוח בסיומו של כל בדיקה מפרט את כל הממצאים וההמלצות לתיקון. כמו כן, המסמך מהווה אישור רשמי המקובל על כל רגולצייה בין לאומית שדורשת ביצוע מבד' חדירות כתנאי לעמידה ברגולצייה.

דוח בדיקת חדירות

דו"ח מבדק חדירות- הסברים מנהליים

החלק הראשון של הדו"ח כולל הסבר על פרטים מנהליים כמו:

  • מטרת הבדיקה- לזהות את סיכוני הסייבר העומדים בפני סביבת האפליקציה והתשתית של הלקוח, ולספק המלצות לתיקון החולשות.
  • מועד התחלה וסיום הבדיקה
  • הנכסים הנבדקים- פירוט של נכסי הלקוח הנבדקים בבחינה זו (אתרי אינטרנט, API, רשתות)
  • אנשי הקשר
  • המלצות כלליות
דוח מבדק חדירות סיכום מנהלי

דו"ח מבדק חדירות- מתדולוגיה

הדו"ח מסביר את מתודולוגיית הבדיקה- בדוגמא שלפנינו מדובר על בדיקת חדירות מסוג Gray-Black box, הנפוץ ביותר. 

במבדק ה-Gray Box בודקי החדירות של רדאנטרי מקבלים מידע מצומצם אודות הארגון ומערכות המידע. בחלק מהמקרים ניתנת גישה מוגבלת לרשת הארגונית והבדיקה יכולה להתבצע מחוץ או מתוך הארגון, תלוי לפי הסיכום הראשוני.

בדיקת ה- Black Box מתבצעת כבדיקה חיצונית, או לפחות כך היא מתחילה. במידה והבודקים מצליחים לחדור פנימה, הם יכולים להמשיך גם לתוך הארגון- עד לגבול שסוכם מראש.

השילוב של השניים משמעו העברת מידע חלקי לבודקים, אולם הגישה לבדיקה מתנהלת כתוקף חיצוני. 

בדיקות החוסן של רדאנטרי עומדות בסטנדרטים בין לאומיים שנקבעו על פי המובלים בתחום- OWAS, NIST, SANS.

דוח מבדק חדירות מתודולוגייה

הדו"ח כולל רשימה של התקפות שבוצעו בבדיקה, מחולקות על פי קטגוריית:

  • איסוף מידע- כל בדיקת חוסן מתחילה באיסוף מידע על הלקוח, המתבצע באמצעות סריקות עם כלים מתקדמים שמגלים על מה בנויים הרכיבים הדיגטליים. כלים אלה מחפשים לדוגמא את גרסאות ה-SSL הנתמכות, כך שבמידה ויש גרסא ישנה ופגיעה שהשרת תומך בה, ניתן לנצל זאת למתקפה אפליקטיבית.
  • קונפיגורציה- בדיקות החוסן בוחנות את הגדרות האתר והאם קיימות מערכות הגנה בסיסיות כמו חומות אש מותקנות.  
  • מנגנון הזדהות- האם תהליך כניסת הלוגין לתוך מערכת הלקוח מאובטחת ומגדרת כראוי.
  • מערכות ההגנה- האם הלקוח הטמיע מנגנוני הגנה כנגד מתקפת Brute Force והזרקות SQL. מנגנונים אלה אמורי לבחון התנהגות חשודה- כמו בקשות רבות המגיעות מכתובת IP אחת, ולהגיב להתנהגות חשודה זו, לדוגמא על ידי חסימה אוטומטית. 
  • הרשאות- בדיקת החדירות בוחנת מה ניתן לעשות אם הרשאות של משתמש רגיל והאם ניתן לגשת לאזורים ומידע רגישים בעזרת תהליך שנקרא אסקלציה.
דוח מבדק חדירות מתודולוגייה- סוגי התקפות שנבדקו
דוח מבדק חדירות מתודולוגייה- סוגי התקפות שנבדקות חלק 2

ממצאי בדיקת חדירות

הממצאים של בדיקת החדירות מחולקים לפי חומרת הממצא, כלומר כמה חמרוות יהיו ההשלכות במידה והחולשה תנוצל. כל ממצא כולל:

  • הסבר על החולשה וכיצד ניתן לנצל אותה
  • השלכות ניצול הממצא
  • ראיות- Proof of Concept- הוכחה בתצורת תצלום מתוך האפליקציה/ הרשת
  • המלצות תיקון
דוח מבדק חדירות חומרת ממצאים

דוגמא לממצא קריטי- הגנה לא מספקת נגד מתקפות אוטומטיות כמו Brute Force.

כדי לבצע מתקפת Brute Force מריצים קוד שמנסה להתחבר לאתר באמצעות כל הסיסמאות האפשריות. כשלא ידוע על דפוס סיסמאות, מתחילים מהסיסמאות הקצרות, וכאשר כל האפשרויות עבור סיסמה באורך מסוים מוצו עוברים לסיסמאות באורך גדול ב-1. 

כאשר כן, אם ידוע משהו על הסיסמה, למשל תאריך, אפשר להריץ את כל התאריכים האפשריים באופן סדרתי. ניתן גם להריץ את כל הסיסמאות הכי נפוצות. 

דוח מבדק חדירות ממצא חמור

המלצות לתיקון ממצא- 

  • הגבלת ניסיונות התחברות לחשבון
  • שימוש באימות דו שלבי
  • הטמעת CAPTCHA 
דוח מבדק חדירות ממצא חמור תיקונים

דוגמא לממצא בדרגת חומרה גבוהה– מחסור במכניזם המגביל את כמות ניסיונות השימוש בפונקציות התחברות, שליחת הודעות, ואימות.

חולשה זו יכולה להיות מנוצלת על ידי האקרים לביצוע:

  • מתקפת Brute Force- מעבר שיטתי של פרטי התחברות וסיסמאות כדי להתחבר למשתמש.
  • מתקפת DDOS- מתקפת מניעת שירות מציפה את השרת בכמות גדולה של בקשות הגורמת להקרסת השרת. כדי ליצור את העומס האקרים מחברים מכשירים שונים שנדבקו ב-Malware, ממחשבים ופלאפונים ועד למקררים ומערכות אבטחה ביתיות. מכשירים אלה יכולים לעבוד כרגיל כך שבעלי המכשיר אפילו לא מודעים לזה שהפלאפון שלהם צורף ל"צבא בוטים" בעל כורחו.
דוח מבדק חדירות ממצא בדרגה גבוהה

המלצות לתיקון החולשה- 

  • התקנת WAF- חומת אש לאפליקציות רשת ומהווה פילטר למשתמשים המבקשים לנצל את פגיעויות האתר למטרות זדוניות.
  • בדיקת כתובת ה-IP המקורית.
  • לא לשמור את כמות ניסיונות ההתחברות בעוגיות, משום שמשתמשים יכולים לגשת ולערוך את העוגיות.
דוח מבדק חדירות ממצא בדרגה גבוהה תיקונים

קבעו פגישת ייעוץ
עם מומחה בדיקות חדירות

לקביעת פגישה

דוגמא לממצא ברמת חומרה בינונית- גרסא ישנה של TLS

TLS הוא פרוטוקול קריפטוגרפי, המגן על נתונים מפני קריאה או שינוי בזמן מעבר ברשת המחשבים. השימוש הרווח בפרוטוקל זה הוא בהגנה על המידע העובר באימיילים ואתרי HTTPS. 

TLS 1.0 הוא הגרסא הראשונה של הפרוטוקול, שיצא ב-1999, וכעת כבר יצא משימוש בגלל חולשות אבטחה חמורות ומנגנון הצפנה חלש. 

המלצה לתיקון- חסימת האופציה לשימוש ב-TLS 1.0 והחלפתו בגרסא עדכנית יותר של 1.2 ומעלה. 

דוח בדיקת חדירות ממצא בדרגה בינונית

דוגמא לממצא ברמת חומרה נמוכה- האדר ביטחון הם פרמטרים המסייעים לדפדפן לנהל את התנהגות האתר, מעין דף הוראות של עשה ואל תעשה. הוספת האדר ביטחון משפר את העמידות מול מתקפות נפוצות. 

דוח מבדק חדירות ממצא בדרגה נמוכה