המדריך המלא למבדקי חדירות
כבר שנים שהמלחמה בין הכובעים השחורים (כינוי להאקרים זדוניים) לכובעים הלבנים (כינוי להאקרים אתיים) נמצא במרכז תשומת הלב הציבורית. וכמו בכל מלחמה, גם כאן הצדדים מצוידים בכלי נשק.
אחד מכלי ההגנה המשמעותיים ביותר שיש לחברות אבטחת מידע הם מבדקי החדירות- הדמייה של מתקפת סייבר ללא כוונת זדון. ואכן, 94% מארגונים שהשתתפו במחקר של CoreSecurity מודים כי בדיקות חדירות הן חשובות במידה כלשהי למערך אבטחת המידע שלהם.
מה זה בדיקת חדירות?
מבדקי החוסן היא דרך המאפשרת להעריך את רמת האבטחה של מערכות, אפליקציות, שירותי מובייל ותשתיות. בדיקת החדירות מתחילה במיפוי הנכסים הדיגיטלים של הארגון, כולל אינטגרציה עם מערכות צד ג', התנהגות משתמשים וכדומה. מטרת הבדיקה היא לאתר את החולשות והפגיעויות במערכת ולתת את הדגשים וההמלצות לתיקון שלהם, וזאת על ידי איסוף המידע.
בסוף התהליך מקבלים דו"ח מלא המפרט את כל פגיעויות המערכת, רמת חומרה, צילומי מסך של הממצאים שאותרו והמלצות לתיקון. לאחר תיקון הממצאים מצד הלקוח מבצעים בדיקה חוזרת (re-test) כדי לוודא שאין פערים נוספים.
סוגים של מבדקי חדירות
לכל סיר יש מכסה, לכל עיפרון יש קלמר ולכל ארגון יש בדיקת חדירה המתאימה לו. ההפרדה בין PT אחד לשני נועד למקד את מאמצי הבודקים כך שיתאימו לדרישות ולצרכים של הארגון. נדבר על שלושת סוגי מבדקי החדירה, ועל כל תת סוג:
- מבדק חדירה אפליקטיבי
- מבדק חדירה תשתיתי
- מבדק חדירה למובייל
מבדק חוסן אפליקטיבי
בדיקה זו מאתרת את החולשות באפליקציות מבוססות דפדפן (כמו אתר אינטרנט, גמייל וכדומה). ה-PT האפליקטיבי מזהה פרצות במערך האבטחה שיכולות להוביל לדליפת מידע אישי של לקוחות, ביצוע מתקפות מניעת שירות ושיבוש מהלך העבודה תקין. מקובל לחלק מבדקים אלה על פי 3 גישות שונות לביצוע הבדיקה:
- Gray Box
- White Box
- Black Box
Gray Box
ה-PT הנפוץ יותר, שבה הבודק מקבל מידע מצומצם אודות הארגון ומערכות המידע. בחלק מהמקרים ניתנת לבודק גישה מוגבלת לרשת הארגונית והבדיקה יכולה להתבצע מחוץ או מתוך הארגון, תלוי לפי הסיכום הראשוני והמידע הניתן לבודק.
ב-PT של מערכות Web, הבודק מקבל מידע מצומצם על המערכת. לדוגמא, ינתן רק סוג אחד של משתמש למערכת, ומעט מקוד האפליקציה. כך הבודק יכול למצוא פגיעויות גם על ידי קריאת הקוד וגם על ידי מבדק “חיצוני”.
היתרון ב- Gray Box testing הוא שהבודק גם מבצע בדיקות מצד ה"משתמש" של המערכת וגם בדיקות המדמות פעילות של גורם זדוני.
White Box
פרצות אבטחת מידע הנעשות על ידי תוקפים מתוך הארגון יכולות להוביל לאובדן עצום ברווחי החברה ואמינות הלקוחות. על פי סקר של Haystax, עובדים וספקים הם הגורם מספר אחת לפרצות אבטחת מידע, ורוב אנשי מקצוע הסייבר (56%) טוענים כי איומי הפנים נמצאים במגמת עלייה.
בבדיקות חוסן מסוג זה, הבודק מקבל את מלוא המידע אודות הארגון, לרבות פרטי מערכות המידע וההגנה, וזאת כדי לאפשר ביצוע בדיקה מקיפה ופרטנית ככל האפשר במטרה למצוא כמה שיותר פגיעויות.
בדיקה זו מאפשרת ניצול מירבי של הזמן ומאפשרת כיסוי נרחב יותר של תחום הארגון. בתחום התוכנה משמעות ה-Penetration testing היא שהבודק מקבל את כל קוד המקור של התוכנה, כולל איפיון ומידע מפורט, וזאת על מנת למצוא פגיעויות בקוד ובמנגנוני התוכנה הנראים מצד הפיתוח.
Black Box
אומרים שאין כמו מבחן המציאות, וזה בדיוק מה ש-Pen Test מסוג Black Box מנסה לדמות. בדיקה זאת מתבצעת כבדיקה חיצונית, או לפחות כך היא מתחילה. במידה והבודקים מצליחים לחדור פנימה, הם יכולים להמשיך גם לתוך הארגון- עד לגבול שסוכם מראש.
הבודק לא מקבל שום מידע פנימי על הארגון או מערכות ההגנה שלו, ולכן חלק גדול מהזמן מושקע במציאת מידע ודרכי גישה, וזאת על ידי סריקת המידע הנגיש לכולם באינטרנט. חיסרון נוסף הוא שכנראה הבדיקה לא תמצה את כל נקודות התורפה, ורק "תגרד" את פני השטח שכן גישת הבודק תלויה בכמות ואיכות נקודות פריצה קיימות הנגישות לכל האקר.
מבדק חדירות תשתיתי
בבדיקת חדירות תשתיתית בוחנים את החוסן של מכשירי הארגון, כאשר המיקוד הוא בציוד המחובר לרשת הפנימית שאינו בעל גישה מבחוץ (כדוגמת ראוטר, מדפסות, מחשבי הארגון ועוד). בעולם התשתיות ניתן לחלק את הבדיקות ל-2:
- בדיקה פנימית
- בדיקה חיצונית
מבדק חדירות פנימי
Pen Test פנימי הינו ניסיון לחדור ולקבל גישה למערכות המידע הארגוניות. הבדיקה נעשית מנקודת מבט של תוקף בעל גישה לרשת הפנימית או עובד עם גישה מוגבלת לרשת.
במחשבים שבהם יש הקשחה נאותה הפעולות שתוקף יכול לעשות הן מאוד מוגבלות. במהלך בדיקת חדירות פנימית, צוות הבודקים מנסה להעלות את ההרשאות (אסקלציה) ככל האפשר, ועל ידי כך לקבל גישה לכל ההתקנים אשר נכללים בבדיקה.
כהוכחה לבדיקה לרוב נשלחים ראיות המאששות את הממצאים, ראיות כגון:
- סיסמאות גישה ניהולית ולמסדי נתונים
- הודעות מייל ומסמכים סודיים
- תצלומי מסך
מבדק חדירות חיצוני
בבדיקה זו בוחנים את יכולת מערכות המחשוב של הארגון לעמוד בפני התקפות חיצוניות. תהליך זה כולל סריקה של מערכות המידע והרשת הנגישות מחוץ לארגון, מתוך כוונה לנסות ולאתר נקודות תורפה קיימות היכולות להוביל לחדירה או נזק לארגון. Pen Testing חיצוני יכול גם להמשיך כמבדק פנימי במידה ואכן בוצעה חדירה לרשת הפנימית, אך זאת כמובן לפי מה שמסוכם מראש.
בדרך כלל התקפות אלו מתרחשות ללא מידע מקדים על פנים הארגון, ומצב זה בא לדמות ניסיון תקיפה מנקודת מבט של תוקף חיצוני או ניסיון תקיפה “רנדומלי”.
מתדולוגיה של מבדק חדירות חיצוני:
- איסוף מידע חיצוני אודות הארגון ובדיקת הרלוונטיות שלו לגבי בדיקת החדירות.
- ביצוע סריקת פגיעויות לצורך זיהוי נקודות חולשה קיימות.
- ביצוע סקר סיכונים המתבסס על תוצאות הסריקה לצורך תעדוף ורלוונטיות הממצאים.
- ביצוע תהליך “פריצה בטוחה” על סמך הממצאים הקודמים.
- בדיקות התקני הרשת הנגישים מחוץ לארגון, כגון FW, נתבים, שרתי דואר וכו’.
מבדק חדירות למובייל
בדיקות חדירות לאפליקציות המובייל, או למכשיר מובייל ספציפי, הופך להיות חיוני ככל שחיי העבודה והבית מתערבבים. עובדים רבים משתמשים בסמארטפון שלהם לניהול שוטף של העבודה, ומדובר בחגיגה בשביל האקרים זדוניים, שכן המובייל הפך ליעד קל ופופלרי. יוצרי אפליקציה יפנו לבדיקות חדירות כדי לצמצם את הסכנה לפריצה לאפליקציה ממובייל נגוע, אך גם כדי להבטיח את ביטחונים של המשתמשים שהמכשיר שלהם לא ייפרץ.
בדיקת חדירות למובייל היא רלוונטית לכל בעל מקצוע אשר שומר מידע רגיש הנוגע ללקוחותיו ומוגדר כיעד להאקרים- עורכי דין, יועצים פיננסים, בכירים בארגונים פרטיים וכדומה.
חשיבות בדיקות חוסן
איומי הסייבר שארגונים עומדים בפניהם רק משתכללים, ותדירותם גוברת משנה לשנה. סקר שנערך על ידי Statista מגלה כי ברבעון השלישי של 2022, 15 מיליון "Data Records" הודלפו, עלייה של 37% לעומת שנה שעבר. הגרף למטה מראה את העלייה של חברות גלובליות שדיווחו על כך שחוו מתקפת סייבר מוצלחת בין השנים 2014-2016, תמונה שאמורה להדאיג כל בעל עסק, קטן או גדול.
אם אתם בעלי עסק קטן, יכול מאוד להיות שמדובר במכת מוות עבורכם. על פי הערכת ה-NSA, כ-60% מהעסקים הקטנים פושטים רגל לאחר תוך חצי שנה ממתקפת סייבר מוצלחת. להמשך קריאה על דרכי התמודדות, המשיכו למאמר המלא על איומי הסייבר שעומדים בפני עסקים קטנים.
גם ארגונים שההשלכות המיידיות הן מינוריות, כמו אובדן זמני של גישה למסמכים ולרשת, חוות אחרי זה השלכות ארוכות טווח. יותר משליש מארגונים אלה, לרוב ארגונים גדולים, מדווחים על השקעה כספית ביישום והטמעה של מערכות הגנה, גיוס או הפניית עובדים לטיפול בפריצה, ועלויות תיקום נוספות הן רק חלק מהדיווחים.
מבדקי חדירות הם לעיתים דרישה הכרחית לעמידה ברגולציות בינלאומיות בעולם הסייבר. על פי מומחי אבטחת מידע שהשתתפו בסקר של Coresecurity בשנת 2022, 75% ענו שהם מבצעים בדיקות חדירות כדי לעמוד בתקינת סייבר בין לאומית, כמו GDPR ו-ISO 27001, עלייה של 5 אחוז משנה שעברה. תקינות בין לאומיות דורשות הוכחה לביצוע חיזוק מערך אבטחת המידע של הארגון על מידע רגיש כמו כרטיסי אשראי, תעודות זהות, פרטים מזהים בתחום הבריאות, העדפה מינית וכדומה. לכן מבדקי חדירות הם דרך מצוינת לא רק למפות את חולשות ההגנה ולתקנם, אלא גם מבוצעים כהוכחה לעמידה בתקינה.
בנוסף, 75% מהמשתתפים ייחסו את השימוש במבדקי חדירות כחלק מתהליך סקר סיכונים ובחינה של מערך אבטחת המידע שלהם למציאת חולשות.
ייעוץ חברת אבטחת מידע לביצוע מבדקי חדירות
בשל החשיבות של השירות הזה חשוב להתייעץ עם חברת אבטחת מידע, המתמחות בביצוע מבדקי חוסן תשתיתיים, אפליקטיביים ומבדקים למובייל, כמו כן בדיקות פישינג לארגונים. לעיתים יש גם הגבלות רגולטוריות שמחייבות ארגונים לשכור את שירותיה של חברת אבטחת מידע חיצונית על מנת שלא יהיו התנגשויות פיקוחיות מול אלה המבצעים את התחזוקה השוטפת של מערך הסייבר.
