earth-grid-select-language-button

מבדקי חדירות בשנת 2022- 94% מהארגונים משתמשים במבדקי חוסן

בדיקות חדירות נתונים 2022

נתונים מלאים על מבדקי חדירות ל-2022-2021

עולם בדיקות החדירות עבר טלטלה בשנים האחרונות. מנישה לא מוכרת לטכניקה ידועה, מבדקי החוסן הפכו לאחת השיטות הפופלריות ביותר לחיזוק מערך אבטחת המידע של ארגונים ועסקים ברחבי העולם, כש-94% מארגונים שהשתתפו במחקר של CoreSecurity מודים כי בדיקות חדירות הם חשובות במידה כלשהי למערך אבטחת המידע שלהם. 

חשיבות מבדקי חדירות לארגונים

מה זה מבדק חדירות

ה- Penetration Testing היא דרך המאפשרת להעריך את רמת האבטחה של מערכות, אפליקציות, שירותי מובייל ותשתיות. בדיקת החדירות מתחילה במיפוי הנכסים הדיגיטלים של הארגון, כולל אינטגרציה עם מערכות צד ג', התנהגות משתמשים וכדומה. מטרת הבדיקה היא לאתר את החולשות והפגיעויות במערכת ולתת את הדגשים וההמלצות לתיקון שלהם, וזאת על ידי איסוף המידע.

בסוף התהליך מקבלים דו"ח מלא המפרט את כל פגיעויות המערכת, רמת חומרה, צילומי מסך של הממצאים שאותרו והמלצות לתיקון. לאחר תיקון הממצאים מצד הלקוח מבצעים בדיקה חוזרת (re-test) כדי לוודא שאין פערים נוספים.

לקריאה מעמיקה על כל סוגי מבדקי החדירות, עברו למאמר ה-PT המלא שלנו.

סיבות לעלייה בשימוש מבדקי חדירות

אחת הסיבות העיקריות לתופעה היא העבודה מרחוק, שנכנסה לחיינו בסערה לאחר מגפת הקורונה שהתפשטה בעולם וגרמה לסגרים גלובליים. גם כעת, לאחר דעיכת הקורונה, מקומות עבודה רבים אימצו לעצמם את השיטה ההיברידית לעבודה. הדבר מוביל לדאגה מתמדת בקרב צוותי ה-IT, בשל הקושי בניהול הרשתות הביתיות של העובדים והמכשירים המרובים המתחברים לרשת הארגונית. 

איך העבודה מרחוק השפיעה על מערך אבטת המידע של ארגונכם?

סיבה נוספת היא העלייה המדאיגה במתקפות הכופר. במחקר שפורסם השנה על ידי SOPHOS, חברה מובילה בתחום אספקת פתרונות EDR, נמצא כי 66% מהארגונים במחקר נפגעו מתוכנת כופר ב-2021, עלייה מ-37% מ-2020.

הדבר משקף את ההצלחה גוברת של מודל Ransomware-as-a Service אשר מרחיב משמעותית את טווח ההגעה של תוכנות כופר על ידי הפחתת רמת המיומנות הנדרשת לפריסת התקפה. מודל זה בעצם מאפשר למשתמשים אשר רכשו מנוי לנצל כלים של תוכנות כופר לשימוש עצמי, והמשקיעים בפיתוח התוכנה מקבלים אחוזים על כל כופר ששולם. כמו משתמשי ה-SaaS, גם משתמשי ה-RaaS לא צריכים להיות בעלי ידע או ניסיון כדי לנצל את יכולות הכלי הזה.

הפישינג הוא עדיין הסיבה המובילה להצלחת מתקפות כופר, עם עלייה של 28% אחוז מרבע הראשון של שנת 2021 עד ל-Q4 ב-2021, על פי המחקר של PhishLabs.

העלייה בכמות אתרי הפישינג בין שנת 2021 ל-2020

על פי מומחי אבטחת מידע שהשתתפו בסקר של Coresecurity בשנת 2022, 75% ענו שהם מבצעים בדיקות חדירות כדי לעמוד בתקינת סייבר בין לאומית, כמו GDPR ו-ISO 27001, עלייה של 5 אחוז משנה שעברה. תקינות בין לאומיות דורשות הוכחה לביצוע חיזוק מערך אבטחת המידע של הארגון על מידע רגיש כמו כרטיסי אשראי, תעודות זהות, פרטים מזהים בתחום הבריאות, העדפה מינית וכדומה. לכן מבדקי חדירות הם דרך מצוינת לא רק למפות את חולשות ההגנה ולתקנם, אלא גם מבוצעים כהוכחה לעמידה בתקינה. 

בנוסף, 75% מהמשתתפים ייחסו את השימוש במבדקי חדירות כחלק מתהליך סקר סיכונים ובחינה של מערך אבטחת המידע שלהם למציאת חולשות. 

סיבות לביצוע מבדקי חדירות

מה בודקים ב-Penetration Tests?

במחקר שפורסם על ידי coresecurity, נמצא כי סביבת הווינדוס היא הסביבה עליה מבצעים הכי הרבה בדיקות חדירות בשנת 2022. למרות שיש מעט פגיעויות בווינדוס, שכן מיקרוסופט שומרים על תוכנת הדגל שלהם בהדיקות, החשש העיקרי נובע מהנוכחות המאסיבית שלה בכמעט כל ארגון מה שהופך אותה למטרה לניסיונות פריצה. 

אפליקציות מבוססות דפדפן, כמו אתר אינטרנט ו-API, הם במקום השני, עם 67% מהנשאלים במחקר שבחנו באמצעות מבדק חדירות את הסביבה האפליקטיבית. לאפליקציות מבוססות דפדפן יש מטבען פגיעויות אבטחה רבות, בשל הגישה שלהם לאינטרנט, ביניהם פגיעויות המאפשרות הזרקות SQL ו-XSS, כמו גם MITM ו-DDOS.

סביבות שמבצעים בהן מבדקי חדירות בשנת 2022. ווינדוס במקום הראשון.

ממצאים של מבדקי חדירות

החברה VAADATA, חברה לביצוע בדיקות חדירה הממוקמת באירופה, ביצעה ניתוח של לקוחותיה בשנת 2021 ומצאה כי 29% ממבדקי החדירות מצאו חולשה קריטית, ו-44% מהבדיקות מצאו יותר מחולשה אחת חשובה. 

בכל מבדק חדירות, VAADATA מצאה בממוצע:

  • 0.7 ממצאים קריטיים
  • 1.3 ממצאים חשובים
  • 1.5 ממצאים ברמה חומרה בינונית
  • 2.9 ממצאים ברמת חומרה נמוכה
  • 0.7 ממצאים ברמה של איסוף מידע
פילוג כל הממצאים שנמצאו במבדקי החדירות שבוצעו על ידי חברת VAADATA כ-11% מכל הממצאים היו קריטיים ודרשו תיקון מיידי.

הממצאים שנמצאו בתדירות הגבוהה ביותר היו:

  • חולשות XSS- מתקפת XSS היא הזרקת קוד לתוך שדות טופס של אתרים ואפליקציות- למשל טופס הרשמה, התחברות, השארת פרטים או חיפוש. 
  • מיסקונפיגורציה של הרשאות שמאפשרת יצוע אסקלציה, השגת הרשאות וגישה לאזורים מוגבלים. 
  • מחסור במנגנונים להגבלת בקשות- חולשה זו יכולה להיות מנוצלת על ידי האקרים לביצוע מתקפת Brute Force ו-DDOS.

למעבר למחקר המלא של CoreSecurity

שיתוף ב facebook
שיתוף ב twitter
שיתוף ב whatsapp
שיתוף ב linkedin

בואו לקבל דו"ח לדוגמא
של בדיקת חדירות

מבדק חדירות רדאנטרי

העדכונים האחרונים
בעולם הסייבר

חדשות סייבר

חדשות סייבר 04/12/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.

חדשות סייבר

חדשות סייבר 29/11/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.

בואו נאפיין את הפרויקט שלכם

בואו לקבל דו"ח לדוגמא
של בדיקת חדירות

מבדק חדירות רדאנטרי

העדכונים האחרונים
בעולם הסייבר

חדשות סייבר

חדשות סייבר 04/12/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.

חדשות סייבר

חדשות סייבר 29/11/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.