Red Teaming vs Pen Testing
רבים מתבלבלים בין מבדקי חדירות ל-red teaming, טקטיקות שלעיתים נאמרות באותו משפט אך בעלות אופי שוני. אז מה ההבדלים בין השניים, ולמה כל הזמן מתבלבלים ביניהם?
מה זה מבדק חדירות?
ה- Penetration Testing היא דרך המאפשרת להעריך את רמת האבטחה של מערכות, אפליקציות, שירותי מובייל ותשתיות. בדיקת החדירות מתחילה במיפוי הנכסים הדיגיטלים של הארגון, כולל אינטגרציה עם מערכות צד ג', התנהגות משתמשים וכדומה. מטרת הבדיקה היא לאתר את החולשות והפגיעויות במערכת ולתת את הדגשים וההמלצות לתיקון שלהם, וזאת על ידי איסוף המידע.
בסוף התהליך מקבלים דו"ח מלא המפרט את כל פגיעויות המערכת, רמת חומרה, צילומי מסך של הממצאים שאותרו והמלצות לתיקון. לאחר תיקון הממצאים מצד הלקוח מבצעים בדיקה חוזרת (re-test) כדי לוודא שאין פערים נוספים.
סוגי מבדקי חדירות
מבדק חדירה אפליקטיבי– בדיקה זו מאתרת את החולשות באפליקציות מבוססות דפדפן (כמו אתר אינטרנט, גמייל וכדומה). ה-PT האפליקטיבי מזהה פרצות במערך האבטחה שיכולות להוביל לדליפת מידע אישי של לקוחות, ביצוע מתקפות מניעת שירות ושיבוש מהלך העבודה תקין.
מבדק חדירה תשתיתי- בוחנים את החוסן של מכשירי הארגון שלכם, כאשר המיקוד הוא בציוד המחובר לרשת הפנימית שאינו בעל גישה מבחוץ (כדוגמת ראוטר, מדפסות, מחשבי הארגון ועוד)
מבדק חדירה למובייל- בדיקת חדירות למובייל היא רלוונטית גם לכל בעל מקצוע אשר שומר מידע רגיש הנוגע ללקוחותיו ומוגדר כיעד להאקרים- עורכי דין, יועצים פיננסים וכדומה.
מה זה צוות אדום?
Red Teaming היא הערכה מקיפה של יכולות ההגנה של הלקוח, הדורשת ראייה רחבה והוליסטית מנקודת מבטו של יריב.
תהליך הערכה זה נועד לענות על הצרכים של ארגונים מורכבים המטפלים במגוון נכסים רגישים באמצעים טכניים, פיזיים או מבוססי תהליכים. המטרה של ביצוע Red Teaming היא להדגים כיצד תוקפים בעולם האמיתי יכולים לשלב טקטיקות שעל פניו לא קשורים, כדי להשיג את מטרתם.
שירות זה הוא נדיר יותר, שכן Red Teaming דורש משאבים מרובים ולכן עולה משמעותית יותר ממבדקי חדירות.
תהליך ה- Red Teaming
כל הערכה כזו מתחילה בבקשה מהלקוח לקבל מידע מדויק האם אויב יכול לחדור לנכסים הארגוניים ולהשיג גישה למידע רגיש.
לאחר מכן צוות ה- Red Teaming מאתר נכסים דיגיטליים ופיזיים הכוללים רשתות, נכסים אפליקטיביים וכמובן מתקנים פיזים.
הצוות מנסה להשיג גישה בכל דרך אפשרית לנכסים האלה- וכל האמצעים כשרים למטרה. מבדקי חדירות, פישינג, הסתננות פיזית למתקנים. כל עוד הטקטיקות לא עוברות את הגבול המוסכם בין הלקוח לצוות, ניתן לעשות הכל על מנת להשיג דרך גישה.
ברגע שיש גישה פנימית הצוות ומחפש ומזהה יוזרים בעלי הרשאות גבוהות, ומבצע אסקלציה- העלאת ההרשאות שהצליח להשיג כך שיוכל להתקדם ולהשיג עוד מידע.
המטרה של הצוות היא להשיג את "המפתחות לטירה" בעצם להגיע לגרעין האופרציה של החברה- אם מדובר בארגון המתעסק בייצור מוצרים ובעל מתקני SCADA הצוות האדום ישאף להשיג את הגישה לאותם מערכות שמשביתות את העבודה.
טקטיקות של Red Teaming
כמה מהדרכים הנפוצות ביותר שמשתמשים ב- Red Teaming על מנת לבצע את ההערכה והחדירה לנכסים הם:
הנדסה חברתית– הנדסה חברתית היא מונח רחב המתאר טקטיקות של מניפולציה באינטראקציה אנושית על מנת להשיג מידע רגיש או גישה מהקורבן. מטרת הונאות אלה הוא לרוב לפתות משתמשים לחשוף נתונים, להפיץ Malware או לתת גישה למערכות מוגבלות. התקפות יכולות להתרחש באינטרנט, באופן אישי ובאמצעות אינטראקציות אחרות.
הונאות המבוססות על הנדסה חברתית בנויות סביב איך אנשים חושבים ופועלים. ככאלה, התקפות הנדסה חברתית שימושיות במיוחד למניפולציה של התנהגות המשתמש. ברגע שתוקף מבין מה מניע את פעולות המשתמש, הוא יכול להונות ולתמרן את המשתמש ביעילות.
ניצול חולשות רשת. הרשת הארגונית היא אבן היסוד הבסיסית ביותר במרחב הסייבר, וחשיבותה מתבטאת בפופלריות שלה כמטרה בקרב קהילת ההאקרים. פגיעות ברשת הארגונית היא כל חולשה בתוכנה, חומרה או בתהליך העבודה שיכול להוביל לפריצת הרשת. ניתן לחלק את חולשות הרשת לתוכנה, חומרה וחולשה בגורם האנושי.
ניצול של חולשה במתקנים פיזיים- השגת גישה למתקן מאובטח היא לעתים קרובות קלה כמו לעקוב אחר מישהו דרך דלת. לעיתים הצוות מתחזה לתמיכה טכנית או גורמי מקצוע אחרים על מנת להשיג גישה לחדרי שרתים וכדומה.
ניצול פגיעויות של יישומי אינטרנט – ממשק אינטרנטי שדרכו ניתן לנהל קשר מול הלקוחות ועובדי הארגון הוא חיוני להמשך קיום הארגון, אולם ה-Open Web Applications יכולים להוות דלת כניסה לגורמים זדוניים המעוניינים לשבש את פעילות הארגון. קראו עוד על חמשת איומי הסייבר הקריטיים ביותר על יישומי אינטרנט, ואיך תוכלו להתגונן מפניהם.
