נתונים מלאים על מבדקי חדירות ל-2022-2021

עולם בדיקות החדירות עבר טלטלה בשנים האחרונות. מנישה לא מוכרת לטכניקה ידועה, מבדקי החוסן הפכו לאחת השיטות הפופלריות ביותר לחיזוק מערך אבטחת המידע של ארגונים ועסקים ברחבי העולם, כש-94% מארגונים שהשתתפו במחקר של CoreSecurity מודים כי בדיקות חדירות הם חשובות במידה כלשהי למערך אבטחת המידע שלהם. 

מה זה מבדק חדירות

ה- Penetration Testing היא דרך המאפשרת להעריך את רמת האבטחה של מערכות, אפליקציות, שירותי מובייל ותשתיות. בדיקת החדירות מתחילה במיפוי הנכסים הדיגיטלים של הארגון, כולל אינטגרציה עם מערכות צד ג', התנהגות משתמשים וכדומה. מטרת הבדיקה היא לאתר את החולשות והפגיעויות במערכת ולתת את הדגשים וההמלצות לתיקון שלהם, וזאת על ידי איסוף המידע.

בסוף התהליך מקבלים דו"ח מלא המפרט את כל פגיעויות המערכת, רמת חומרה, צילומי מסך של הממצאים שאותרו והמלצות לתיקון. לאחר תיקון הממצאים מצד הלקוח מבצעים בדיקה חוזרת (re-test) כדי לוודא שאין פערים נוספים.

לקריאה מעמיקה על כל סוגי מבדקי החדירות, עברו למאמר ה-PT המלא שלנו.

סיבות לעלייה בשימוש מבדקי חדירות

אחת הסיבות העיקריות לתופעה היא העבודה מרחוק, שנכנסה לחיינו בסערה לאחר מגפת הקורונה שהתפשטה בעולם וגרמה לסגרים גלובליים. גם כעת, לאחר דעיכת הקורונה, מקומות עבודה רבים אימצו לעצמם את השיטה ההיברידית לעבודה. הדבר מוביל לדאגה מתמדת בקרב צוותי ה-IT, בשל הקושי בניהול הרשתות הביתיות של העובדים והמכשירים המרובים המתחברים לרשת הארגונית. 

סיבה נוספת היא העלייה המדאיגה במתקפות הכופר. במחקר שפורסם השנה על ידי SOPHOS, חברה מובילה בתחום אספקת פתרונות EDR, נמצא כי 66% מהארגונים במחקר נפגעו מתוכנת כופר ב-2021, עלייה מ-37% מ-2020.

הדבר משקף את ההצלחה גוברת של מודל Ransomware-as-a Service אשר מרחיב משמעותית את טווח ההגעה של תוכנות כופר על ידי הפחתת רמת המיומנות הנדרשת לפריסת התקפה. מודל זה בעצם מאפשר למשתמשים אשר רכשו מנוי לנצל כלים של תוכנות כופר לשימוש עצמי, והמשקיעים בפיתוח התוכנה מקבלים אחוזים על כל כופר ששולם. כמו משתמשי ה-SaaS, גם משתמשי ה-RaaS לא צריכים להיות בעלי ידע או ניסיון כדי לנצל את יכולות הכלי הזה.

הפישינג הוא עדיין הסיבה המובילה להצלחת מתקפות כופר, עם עלייה של 28% אחוז מרבע הראשון של שנת 2021 עד ל-Q4 ב-2021, על פי המחקר של PhishLabs.

על פי מומחי אבטחת מידע שהשתתפו בסקר של Coresecurity בשנת 2022, 75% ענו שהם מבצעים בדיקות חדירות כדי לעמוד בתקינת סייבר בין לאומית, כמו GDPR ו-ISO 27001, עלייה של 5 אחוז משנה שעברה. תקינות בין לאומיות דורשות הוכחה לביצוע חיזוק מערך אבטחת המידע של הארגון על מידע רגיש כמו כרטיסי אשראי, תעודות זהות, פרטים מזהים בתחום הבריאות, העדפה מינית וכדומה. לכן מבדקי חדירות הם דרך מצוינת לא רק למפות את חולשות ההגנה ולתקנם, אלא גם מבוצעים כהוכחה לעמידה בתקינה. 

בנוסף, 75% מהמשתתפים ייחסו את השימוש במבדקי חדירות כחלק מתהליך סקר סיכונים ובחינה של מערך אבטחת המידע שלהם למציאת חולשות. 

מה בודקים ב-Penetration Tests?

במחקר שפורסם על ידי coresecurity, נמצא כי סביבת הווינדוס היא הסביבה עליה מבצעים הכי הרבה בדיקות חדירות בשנת 2022. למרות שיש מעט פגיעויות בווינדוס, שכן מיקרוסופט שומרים על תוכנת הדגל שלהם בהדיקות, החשש העיקרי נובע מהנוכחות המאסיבית שלה בכמעט כל ארגון מה שהופך אותה למטרה לניסיונות פריצה. 

אפליקציות מבוססות דפדפן, כמו אתר אינטרנט ו-API, הם במקום השני, עם 67% מהנשאלים במחקר שבחנו באמצעות מבדק חדירות את הסביבה האפליקטיבית. לאפליקציות מבוססות דפדפן יש מטבען פגיעויות אבטחה רבות, בשל הגישה שלהם לאינטרנט, ביניהם פגיעויות המאפשרות הזרקות SQL ו-XSS, כמו גם MITM ו-DDOS.

ממצאים של מבדקי חדירות

החברה VAADATA, חברה לביצוע בדיקות חדירה הממוקמת באירופה, ביצעה ניתוח של לקוחותיה בשנת 2021 ומצאה כי 29% ממבדקי החדירות מצאו חולשה קריטית, ו-44% מהבדיקות מצאו יותר מחולשה אחת חשובה. 

בכל מבדק חדירות, VAADATA מצאה בממוצע:

• 0.7 ממצאים קריטיים
• 1.3 ממצאים חשובים
• 1.5 ממצאים ברמה חומרה בינונית
• 2.9 ממצאים ברמת חומרה נמוכה
• 0.7 ממצאים ברמה של איסוף מידע

הממצאים שנמצאו בתדירות הגבוהה ביותר היו:

• חולשות XSS- מתקפת XSS היא הזרקת קוד לתוך שדות טופס של אתרים ואפליקציות- למשל טופס הרשמה, התחברות, השארת פרטים או חיפוש. 
• מיסקונפיגורציה של הרשאות שמאפשרת יצוע אסקלציה, השגת הרשאות וגישה לאזורים מוגבלים. 
• מחסור במנגנונים להגבלת בקשות- חולשה זו יכולה להיות מנוצלת על ידי האקרים לביצוע מתקפת Brute Force ו-DDOS.

למעבר למחקר המלא של CoreSecurity