בדיקות חדירות- הכובעים הלבנים לשירותכם

השעה שעת לילה מאוחרת, והקול היחיד שניתן לשמוע הוא קולם של מקשי מקלדת נלחצים שוב ושוב, מנהלים מתקפה חסרת תקדים שיש אומרים הייתה מביישת את הפלישה לנורמנדי. אולם התוקף לא היה מעריך את ההשוואה הזו, הוא רואה את עצמו יותר כמו רב מרגלים מתוחכם המחפש את נקודות החולשה של האויב. ואכן, לאחר שעות רבות מצליח  המסתנן למצוא את דרכו אל תוך המבצר, ולרגע קט נדם קול הקלדת המקשים והוחלף בחיוך משועשע שהיה ניתן לשמוע אותו למרחקים. 

אם חשבתם שהסיפור מדבר על האקר זדוני המנסה לגנוב את מידע רגיש, תחשבו שוב. כבר שנים שהמלחמה בין הכובעים השחורים (כינוי להאקרים זדוניים) לכובעים הלבנים (כינוי להאקרים אתיים) נמצא במרכז תשומת הלב הציבורית. וכמו בכל מלחמה, גם כאן הצדדים מצוידים בכלי נשק. והתשובה שלנו להתקפות ההאקרים היא בדיקת החדירות. 

איך זה עובד?

ה- Penetration Testing, או Pen Testing בקיצור, היא דרך המאפשרת להעריך את רמת האבטחה של מערכות, אפליקציות, שירותי מובייל ותשתיות. 

מטרת הבדיקה היא לאתר את החולשות והפגיעויות במערכת ולתת את הדגשים וההמלצות לתיקון שלהם.
בסוף התהליך מקבלים דו"ח מלא המפרט את כל פגיעויות המערכת, רמת חומרה, צילומי מסך של הממצאים שאותרו והמלצות לתיקון. לאחר תיקון הממצאים מצד הלקוח מבצעים בדיקה חוזרת (re-test) כדי לוודא שאין פערים נוספים.

זהבה ושלושת המבדקים האפליקטיביים

כשזהבה נכנסה לבית הלא נכון ביער, היא לא ציפתה שהביקורת שלה על מיטות הדובים ישמשו לשיפור המתקנים. כאשר ארגון שוכר את שירותיו של צוות מומחים, כדאי להיות בטוחים שאתם מקבלים בדיוק את מה שאתם צריכים. בדיקות חדירות אפליקטיביות מתחלקות לרוב לשלושה סוגים:
  • Gray Box
  • White Box
  • Black Box

Gray Box

הבדיקה הנפוצה יותר, שבה הבודק מקבל מידע מצומצם אודות הארגון ומערכות המידע. בחלק מהמקרים ניתנת לבודק גישה מוגבלת לרשת הארגונית והבדיקה יכולה להתבצע מחוץ או מתוך הארגון, תלוי לפי הסיכום הראשוני והמידע הניתן לבודק.

בבדיקות של מערכות Web, הבודק מקבל מידע מצומצם על המערכת. לדוגמא, ינתן רק סוג אחד של משתמש למערכת, ומעט מקוד האפליקציה. כך הבודק יכול למצוא פגיעויות גם על ידי קריאת הקוד וגם על ידי מבדק “חיצוני”.

היתרון ב- Gray Box testing הוא שהבודק גם מבצע בדיקות מצד ה"משתמש" של המערכת וגם בדיקות המדמות פעילות של גורם זדוני.

White Box

יוליוס קיסר היה טוען שהדקירות הכי כואבות הן אלה המגיעות מהגב, ואכן פרצות אבטחת מידע הנעשות על ידי תוקפים מתוך הארגון יכולות להוביל לאובדן עצום ברווחי החברה ואמינות הלקוחות. רק תשאלו את חברת הענק CISCO, שעד היום נמצאת במאבק משפטי נגד עובד לשעבר שפגע בתשתית הענן שלהם בכוונה תחילה על ידי החדרת תוכנה זדונית. 

בבדיקות חוסן מסוג זה, הבודק מקבל את מלוא המידע אודות הארגון, לרבות פרטי מערכות המידע וההגנה, וזאת כדי לאפשר ביצוע בדיקה מקיפה ופרטנית ככל האפשר במטרה למצוא כמה שיותר פגיעויות. 

בדיקה זו מאפשרת ניצול מירבי של הזמן ומאפשרת כיסוי נרחב יותר של תחום הארגוןבתחום התוכנה משמעות הבידקה היא שהבודק מקבל את כל קוד המקור של התוכנה, כולל איפיון ומידע מפורט, וזאת על מנת למצוא פגיעויות בקוד ובמנגנוני התוכנה הנראים מצד הפיתוח.

התפלגות אירועי אבטחת המידע שנעשו על ידי גורמים פנימיים
התפלגות אירועי אבטחת המידע שנעשו על ידי גורמים פנימיים

Black Box

אומרים שאין כמו מבחן המציאות, וזה בדיוק מה ש-Pen Test מסוג Black Box מנסה לדמות. בדיקה זאת מתבצעת כבדיקה חיצונית, או לפחות כך היא מתחילה. במידה והבודקים מצליחים לחדור פנימה, הם יכולים להמשיך גם לתוך הארגון- עד לגבול שסוכם מראש. 

הבודק לא מקבל שום מידע פנימי על הארגון או מערכות ההגנה שלו, ולכן חלק גדול מהזמן מושקע במציאת מידע ודרכי גישה, וזאת על ידי סריקת המידע הנגיש לכולם באינטרנט. חיסרון נוסף הוא שכנראה הבדיקה לא תמצה את כל נקודות התורפה, ורק "תגרד" את פני השטח שכן גישת הבודק תלויה בכמות ואיכות נקודות פריצה קיימות הנגישות לכל האקר. 

בדיקת חדירות תשתיתית

בבדיקת חדירה תשתיתית, אנחנו בוחנים את החוסן של מכשירי הארגון שלכם, כאשר המיקוד הוא בציוד המחובר לרשת הפנימית שאינו בעל גישה מבחוץ (כדוגמת ראוטר, מדפסות, מחשבי הארגון ועוד). בעולם התשתיות ניתן לחלק את הבדיקות ל-2:

  • בדיקה פנימית
  • בדיקה חיצונית

בדיקה פנימית

פעמים רבות ארגונים לא מייחסים חשיבות רבה להתקפות פנים ארגוניות, אך הנזק העלול להיגרם הינו עצום ויש לקחת זאת ברצינות רבה. Pen Test פנימי הינו ניסיון לחדור ולקבל גישה למערכות המידע הארגוניות, וזה נעשה מנקודת מבט של תוקף בעל גישה לרשת הפנימית או עובד עם גישה מוגבלת לרשת.

במחשבים שבהם יש הקשחה נאותה הפעולות שתוקף יכול לעשות הן מאוד מוגבלות. במהלך בדיקת חדירות פנימית, צוות הבודקים מנסה להעלות את ההרשאות שלנו (אסקלציה) ככל האפשר, ועל ידי כך לקבל גישה לכל ההתקנים אשר נכללים בבדיקה.

כהוכחה לבדיקה לרוב נשלחים ראיות המאששות את הממצאים, ראיות כגון: 

  • סיסמאות גישה ניהולית ולמסדי נתונים
  • הודעות מייל ומסמכים סודיים
  • תצלומי מסך

בדיקה חיצונית

בבדיקה זו בוחנים את יכולת מערכות המחשוב של הארגון לעמוד בפני התקפות חיצוניות. תהליך זה כולל סריקה של מערכות המידע והרשת הנגישות מחוץ לארגון, מתוך כוונה לנסות ולאתר נקודות תורפה קיימות היכולות להוביל לחדירה או נזק לארגון. Pen Testing חיצוני יכול גם להמשיך כמבדק פנימי במידה ואכן בוצעה חדירה לרשת הפנימית, אך זאת כמובן לפי מה שמסוכם מראש.

בדרך כלל התקפות אלו מתרחשות ללא מידע מקדים על פנים הארגון, ומצב זה בא לדמות ניסיון תקיפה מכוון של תוקף חיצוני או ניסיון תקיפה “רנדומלי” שתוקף את הארגון לפי המתדולוגיה הבאה:

  • איסוף מידע חיצוני אודות הארגון ובדיקת הרלוונטיות שלו לגבי בדיקת החדירות.
  • ביצוע סריקת פגיעויות לצורך זיהוי נקודות חולשה קיימות.
  • ביצוע סקר סיכונים המתבסס על תוצאות הסריקה לצורך תעדוף ורלוונטיות הממצאים.
  • ביצוע תהליך “פריצה בטוחה” על סמך הממצאים הקודמים.
  • בדיקות התקני הרשת הנגישים מחוץ לארגון, כגון FW, נתבים, שרתי דואר וכו’.

 86% מהארגונים הקטנים עד בינונים אינם מוכנים למתקפת סייבר.