המדריך המלא למבדקי חדירות- כל מה שאתם צריכים לדעת

סוגי מבדקי חדירות

הכירו את 3 מבדקי החדירות שיגנו על הארגון שלכם

כבר שנים שהמלחמה בין הכובעים השחורים (כינוי להאקרים זדוניים) לכובעים הלבנים (כינוי להאקרים אתיים) נמצא במרכז תשומת הלב הציבורית. וכמו בכל מלחמה, גם כאן הצדדים מצוידים בכלי נשק.

אחד מכלי ההגנה המשמעותיים ביותר שיש לנו הם מבדקי החדירות, המדמות מתקפת סייבר רק ללא כוונת הזדון מאחוריה.

סוגי האקרים- האקר כובע לבן שמבצע מבדקי חדירות

 

 

מה זה בדיקת חדירות?

 

ה- Penetration Testing היא דרך המאפשרת להעריך את רמת האבטחה של מערכות, אפליקציות, שירותי מובייל ותשתיות. בדיקת החדירות מתחילה במיפוי הנכסים הדיגיטלים של הארגון, כולל אינטגרציה עם מערכות צד ג', התנהגות משתמשים וכדומה. מטרת הבדיקה היא לאתר את החולשות והפגיעויות במערכת ולתת את הדגשים וההמלצות לתיקון שלהם, וזאת על ידי איסוף המידע.

בסוף התהליך מקבלים דו"ח מלא המפרט את כל פגיעויות המערכת, רמת חומרה, צילומי מסך של הממצאים שאותרו והמלצות לתיקון. לאחר תיקון הממצאים מצד הלקוח מבצעים בדיקה חוזרת (re-test) כדי לוודא שאין פערים נוספים.
 
ואכן הנתונים מדברים בעד עצמם- 45% מהארגונים בקנדה ביצעו בדיקת חדירות בשנת 2020 כדי לצמצם את הסיכוי ליפול קורבן לתקיפת סייבר.
Source CIRA

שלושת סוגי בדיקות החוסן

לכל סיר יש מכסה, לכל עיפרון יש קלמר ולכל ארגון יש בדיקת חדירה המתאימה לו. ההפרדה בין PT אחד לשני נועד למקד את מאמצי הבודקים כך שיתאימו לדרישות ולצרכים של הארגון. נדבר על שלושת סוגי מבדקי החדירה, ועל כל תת סוג:

  • מבדק חדירה אפליקטיבי
  • מבדק חדירה תשתיתי
  • מבדק חדירה למובייל
 

מבדק חוסן אפליקטיבי

כשזהבה נכנסה לבית הלא נכון ביער, היא לא ציפתה שהביקורת שלה על מיטות הדובים ישמשו לשיפור המתקנים. כאשר ארגון שוכר את שירותיו של צוות מומחים, כדאי להיות בטוחים שאתם מקבלים בדיוק את מה שאתם צריכים. בדיקות חדירות אפליקטיביות מתחלקות לרוב לשלושה סוגים:

  • Gray Box
  • White Box
  • Black Box

Gray Box

מבדק החוסן הנפוץ יותר, שבה הבודק מקבל מידע מצומצם אודות הארגון ומערכות המידע. בחלק מהמקרים ניתנת לבודק גישה מוגבלת לרשת הארגונית והבדיקה יכולה להתבצע מחוץ או מתוך הארגון, תלוי לפי הסיכום הראשוני והמידע הניתן לבודק.

בבדיקות החוסן של מערכות Web, הבודק מקבל מידע מצומצם על המערכת. לדוגמא, ינתן רק סוג אחד של משתמש למערכת, ומעט מקוד האפליקציה. כך הבודק יכול למצוא פגיעויות גם על ידי קריאת הקוד וגם על ידי מבדק “חיצוני”.

היתרון ב- Gray Box testing הוא שהבודק גם מבצע בדיקות מצד ה"משתמש" של המערכת וגם בדיקות המדמות פעילות של גורם זדוני.

White Box

יוליוס קיסר היה טוען שהדקירות הכי כואבות הן אלה המגיעות מהגב, ואכן פרצות אבטחת מידע הנעשות על ידי תוקפים מתוך הארגון יכולות להוביל לאובדן עצום ברווחי החברה ואמינות הלקוחות. רק תשאלו את חברת הענק CISCO, שעד היום נמצאת במאבק משפטי נגד עובד לשעבר שפגע בתשתית הענן שלהם בכוונה תחילה על ידי החדרת תוכנה זדונית.

בבדיקות חוסן מסוג זה, הבודק מקבל את מלוא המידע אודות הארגון, לרבות פרטי מערכות המידע וההגנה, וזאת כדי לאפשר ביצוע בדיקה מקיפה ופרטנית ככל האפשר במטרה למצוא כמה שיותר פגיעויות.

בדיקה זו מאפשרת ניצול מירבי של הזמן ומאפשרת כיסוי נרחב יותר של תחום הארגון. בתחום התוכנה משמעות ה-Penetration testing היא שהבודק מקבל את כל קוד המקור של התוכנה, כולל איפיון ומידע מפורט, וזאת על מנת למצוא פגיעויות בקוד ובמנגנוני התוכנה הנראים מצד הפיתוח.

התפלגות אירועי אבטחת מידע בארגונים שהתאפשרו בזכות גורמים פנימיים

 

 

Black Box

אומרים שאין כמו מבחן המציאות, וזה בדיוק מה ש-Pen Test מסוג Black Box מנסה לדמות. בדיקה זאת מתבצעת כבדיקה חיצונית, או לפחות כך היא מתחילה. במידה והבודקים מצליחים לחדור פנימה, הם יכולים להמשיך גם לתוך הארגון- עד לגבול שסוכם מראש.

הבודק לא מקבל שום מידע פנימי על הארגון או מערכות ההגנה שלו, ולכן חלק גדול מהזמן מושקע במציאת מידע ודרכי גישה, וזאת על ידי סריקת המידע הנגיש לכולם באינטרנט. חיסרון נוסף הוא שכנראה הבדיקה לא תמצה את כל נקודות התורפה, ורק "תגרד" את פני השטח שכן גישת הבודק תלויה בכמות ואיכות נקודות פריצה קיימות הנגישות לכל האקר.

 

מבדק חדירות תשתיתי

בבדיקת חדירות תשתיתית אנחנו בוחנים את החוסן של מכשירי הארגון שלכם, כאשר המיקוד הוא בציוד המחובר לרשת הפנימית שאינו בעל גישה מבחוץ (כדוגמת ראוטר, מדפסות, מחשבי הארגון ועוד). בעולם התשתיות ניתן לחלק את הבדיקות ל-2:

  • בדיקה פנימית
  • בדיקה חיצונית

 

מבדק חדירות פנימי

פעמים רבות ארגונים לא מייחסים חשיבות רבה להתקפות פנים ארגוניות, אך הנזק העלול להיגרם הינו עצום ויש לקחת זאת ברצינות רבה. Pen Test פנימי הינו ניסיון לחדור ולקבל גישה למערכות המידע הארגוניות, וזה נעשה מנקודת מבט של תוקף בעל גישה לרשת הפנימית או עובד עם גישה מוגבלת לרשת.

במחשבים שבהם יש הקשחה נאותה הפעולות שתוקף יכול לעשות הן מאוד מוגבלות. במהלך בדיקת חדירות פנימית, צוות הבודקים מנסה להעלות את ההרשאות שלנו (אסקלציה) ככל האפשר, ועל ידי כך לקבל גישה לכל ההתקנים אשר נכללים בבדיקה.

כהוכחה לבדיקה לרוב נשלחים ראיות המאששות את הממצאים, ראיות כגון:

  • סיסמאות גישה ניהולית ולמסדי נתונים
  • הודעות מייל ומסמכים סודיים
  • תצלומי מסך

 

מבדק חדירות חיצוני

בבדיקה זו בוחנים את יכולת מערכות המחשוב של הארגון לעמוד בפני התקפות חיצוניות. תהליך זה כולל סריקה של מערכות המידע והרשת הנגישות מחוץ לארגון, מתוך כוונה לנסות ולאתר נקודות תורפה קיימות היכולות להוביל לחדירה או נזק לארגון. Pen Testing חיצוני יכול גם להמשיך כמבדק פנימי במידה ואכן בוצעה חדירה לרשת הפנימית, אך זאת כמובן לפי מה שמסוכם מראש.

בדרך כלל התקפות אלו מתרחשות ללא מידע מקדים על פנים הארגון, ומצב זה בא לדמות ניסיון תקיפה מכוון של תוקף חיצוני או ניסיון תקיפה “רנדומלי” שתוקף את הארגון לפי המתדולוגיה הבאה:

  • איסוף מידע חיצוני אודות הארגון ובדיקת הרלוונטיות שלו לגבי בדיקת החדירות.
  • ביצוע סריקת פגיעויות לצורך זיהוי נקודות חולשה קיימות.
  • ביצוע סקר סיכונים המתבסס על תוצאות הסריקה לצורך תעדוף ורלוונטיות הממצאים.
  • ביצוע תהליך “פריצה בטוחה” על סמך הממצאים הקודמים.
  • בדיקות התקני הרשת הנגישים מחוץ לארגון, כגון FW, נתבים, שרתי דואר וכו’.

מבדק חדירות תשתיתי חיצוני- מדמה האקר חיצוני

 
 
Resources: Flaticon.com

מבדק חדירות למובייל

בדיקות חדירות לאפליקציות המובייל, או למכשיר מובייל ספציפי, הופך להיות חיוני יותר ויותר ככל שחיי העבודה והבית מתערבבים. עובדים רבים משתמשים בסמארטפון שלהם לניהול שוטף של העבודה, ומדובר בחגיגי בשביל האקרים זדוניים, שכן המובייל הפך ליעד קל ופופלרי. יוצרי אפליקציה יפנו לבדיקת חדירות כדי לצמצם את הסכנה לפריצה לאפליקציה ממובייל נגוע, אך גם כדי להבטיח את ביטחונים של המשתמשים שהמכשיר שלהם לא ייפרץ במידה ויהיה תוכנה זדונית בקוד.

בדיקת חדירות למובייל היא רלוונטית גם לכל בעל מקצוע אשר שומר מידע רגיש הנוגע ללקוחותיו ומוגדר כיעד להאקרים- עורכי דין, יועצים פיננסים וכדומה.

 

חשיבות בדיקות חוסן

אף מאמר אינו שלם בלי נתונים וגרפים שמחדירים בנו פחד ויוצרים כאב ראש, אולם הפעם החשש מוצדק. איומי הסייבר שארגונים עומדים בפניהם רק משתכללים,  ותדירותם גוברת משנה לשנה. סקר נרחב שנערך באנגליה על ידי הממשל הבריטי העלה נתונים מדאיגים על תקיפות סייבר המתרחשות בתדירות גבוהה- לפחות פעם בחודש אצל 50% מכלל החברות בסקטור הפרטי.

How often organisations have reported cyber breaches

 
Source: gov.UK

אם אתם בעלי עסק קטן, יכול מאוד להיות שמדובר במכת מוות עבורכם. על פי הערכת ה-NSA, כ-60% מהעסקים הקטנים פושטים רגל לאחר תוך חצי שנה ממתקפת סייבר מוצלחת. להמשך קריאה על דרכי התמודדות לעסקים וארגונים קטנים, המשיכו למאמר המלא.

גם ארגונים שההשלכות המיידיות הן מינוריות, כמו אובדן זמני של גישה למסמכים ולרשת, חוות אחרי זה השלכות ארוכות טווח. יותר משליש מארגונים אלה, לרוב ארגונים גדולים, מדווחים על השקעה כספית ביישום והטמעה של מערכות הגנה, גיוס או הפניית עובדים לטיפול בפריצה, ועלויות תיקום נוספות הן רק חלק מהדיווחים.

השלכות של ארגונים שחוו מתקפת סייבר

 
Source: gov.UK

לכן חשוב להתייעץ עם חברת אבטחת מידע, המתמחות בביצוע מבדקי חוסן תשתיתיים, אפליקטיביים ומבדקים למובייל, כמו כן בדיקות פישינג לארגונים.

שיתוף ב facebook
שיתוף ב twitter
שיתוף ב whatsapp
שיתוף ב linkedin

בואו לקבל דו"ח לדוגמא
של בדיקת חדירות

מבדק חדירות רדאנטרי

העדכונים האחרונים
בעולם הסייבר

חדשות סייבר

חדשות סייבר 7/8/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.

חדשות סייבר

חדשות סייבר 31/7/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.

תקן ISO27001

המדריך המלא לעמידה בתקן ה-ISO 27001

ה- ISO 27001 הוא אחד מתקני אבטחת המידע המחמירים והמקיפים ביותר. גלו הכל על הרגולצייה שכל ארגון צריך לדעת עליו, והקלו על עצמכם בתהליך העמידה.

בואו נאפיין את הפרויקט שלכם

בואו לקבל דו"ח לדוגמא
של בדיקת חדירות

מבדק חדירות רדאנטרי

העדכונים האחרונים
בעולם הסייבר

חדשות סייבר

חדשות סייבר 7/8/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.

חדשות סייבר

חדשות סייבר 31/7/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.

תקן ISO27001

המדריך המלא לעמידה בתקן ה-ISO 27001

ה- ISO 27001 הוא אחד מתקני אבטחת המידע המחמירים והמקיפים ביותר. גלו הכל על הרגולצייה שכל ארגון צריך לדעת עליו, והקלו על עצמכם בתהליך העמידה.