בדיקות חדירות – קצת רקע

בדיקת חדירות  Penetration Test

באמצעות בדיקות חדירה ניתן להעריך את רמת האבטחה של מערכות, אפליקציות, שירותי מוביל ותשתיות.
מטרת הבדיקה היא לאתר את החולשות והפגיעויות במערכת ולתת את הדגשים וההמלצות לתיקון שלהם.
בסוף התהליך מקבלים דו"ח מלא המפרט את כל פגיעויות המערכת, רמת חומרה, צילומי מסך של הממצאים שאותרו והמלצות לתיקון. לאחר תיקון הממצאים מצד הלקוח מבצעים בדיקה חוזרת (re-test) כדי וללדא שאי פערים נוספים.

בדיקות חדירות מתחלקות לרוב לשלושה סוגים:
 

  • Gray Box
  • White Box
  • Black Box

סוגי מבדקים

Gray Box

הבדיקה הנפוצה יותר, שבה הבודק מקבל מידע מצומצם אודות הארגון
ומערכות המידע בחלק מהמקרים ניתנת לבודק גישה מוגבלת לרשת הארגונית והבדיקה
יכולה להתבצע מחוץ או מתוך הארגון, תלוי לפי מה שסוכם מראש ומה כמות המידע
שהבודק יקבל.

בבדיקות של מערכות Web הבודק מקבל מידע מצומצם על המערכת, לדוגמא; יקבל רק סוג אחד של משתמש למערכת, ומעט מקוד האפליקציה כדי לנסות למצוא פגיעויות גם על ידי קריאת הקוד וגם על ידי מבדק “חיצוני”.

היתרון בבדיקה זאת הוא שהבודק גם מבצע בדיקות מצד ה"משתמש" של המערכת וגם בדיקות המדמות פעילות של גורם זדוני.

White Box

בדיקה זאת מתבצעת בדרך כלל
כבדיקה פנימית, הבודק מקבל את מלוא המידע אודות הארגון ופרטי מערכות המידע,
מערכות ההגנה, כדי לאפשר לו בדיקה מקיפה ופרטנית ככל האפשר במטרה למצוא
כמה שיותר פגיעויות. לבודק ניתנת גישה מלאה לרשת ואין לו צורך לסלול את
דרכו אליה, הבדיקה יכולה לדמות מצב של תוקף מתוך הארגון (לדוגמה עובד
ממורמר שרוצה לנקום) שכבר נגיש לרשת ולמשאבי החברה, בדיקה זו בדרך כלל
מאפשרת ניצול מירבי של הזמן ומאפשרת כיסוי נרחב יותר של תחום הארגון אולם
אינה מדמה מצב מציאותי של תוקף שלא שייך לארגון.

בתחום התוכנה משמעות הבידקה
היא שהבודק מקבל את כל קוד המקור של התוכנה כולל איפיון ומידע מפורט כדי
למצוא פגיעויות בקוד ובמנגנוני התוכנה הנראים מצד הפיתוח.

Black Box

בדיקה זאת מתבצעת בדרך כלל כבדיקה חיצונית, לפחות כך היא מתחילה ובמידה והבודק מצליח לחדור פנימה, היא יכולה להמשיך גם לתוך הארגון, כמובן שהכול תלוי במהי מטרת הבדיקה ומה הגבול שסוכם מראש שבמידה ומגיעים ליעד ניתן לעצור. בדיקה זו מתבססת על סמך זה שהבודק אינו מקבל שום פרט או מידע מקדים על הארגון או על המערכות הקיימות בארגון, בדיקה זו בעצם מדמה מצב מציאותי ביותר ובו “האקר” רוצה לפרוץ לארגון כאשר אין לו שייכות לארגון כלל ואין לו מידע פנימי. בדיקה זו בדרך כלל ארוכה יותר היות וחלק גדול מהבדיקה הינו איסוף מידע, קיים חיסרון נוסף והוא שסביר להניח שבדיקה זו לא תכסה את כל המערכות “והשטחים” הקיימים בארגון.

בבדיקות תוכנה ובדיקות WEB Application בדיקה מסוג Black Box משמעותה בדיקת האפליקצייה כאשר אין שום מידע מקדים עליה ואין לבודק גישה לקוד התוכנה או לאפיון שלה לצורך מציאת פגיעויות בקוד עצמו.


מבדקי חדירה תשתיתיים

בעולם התשתיות ניתן לחלק את הבדיקות לפי: בדיקה חיצונית, בדיקה פנימית ובדיקה משולבת.

מבדק חדירה פנימי

מבדק חדירה פנימי הינו ניסיון לחדור ולקבל גישה למערכות המידע הארגוניות מנקודת מבט של תוקף שברשותו גישה לרשת הפנימית או עובד עם גישה מוגבלת לרשת. הרבה פעמים ארגונים לא מייחסים חשיבות רבה להתקפות פנים ארגוניות אך הנזק העלול להיגרם הינו עצום ויש לקחת זאת ברצינות רבה.

במהלך בדיקת חדירות פנימית אנו מנסים להעלות את ההרשאות שלנו (אסקלציה) ככל האפשר כדי לקבל גישה לכל ההתקנים אשר נכללים בבדיקה.

כהוכחת הבדיקה ואימות הנתונים אנו נציין בדוח בין השאר את הפרטים הבאים שימצאו במהלך הבדיקה:

• סיסמאות גישה ניהוליות

• סיסמאות גישה למסדי נתונים

• תצלומי מסך

• הודעות מייל סודיות

• מסמכים סודיים וכו’

מבדק חדירות פנימי מתנהל לפי הסטנדרטים הרגילים של מבדקי חדירות:

• איסוף מידע על הרשת הפנימית

• סריקת פגיעויות

• זיהוי חולשות רלוונטיות

• ביצוע ניסיונות תקיפה

• הכנת דו”ח כולל

הדו”ח המסכם את המבדק אינו כולל רק פירוט טכני וגם בן אדם שאינו מתמצא במושגים הטכניים של אבטחת מידע יכול להביו את התוצאות.

מבדק חדירה חיצוני

מבדק חדירה חיצוני  – זהו מבדק שבו נבדקת יכולת מערכות המחשוב של הארגון לעמוד בפני התקפות חיצוניות, בדרך כלל התקפות אלו מתרחשות ללא מידע מקדים על פנים הארגון, מצב זה בא לדמות ניסיון תקיפה מכוון של תוקף חיצוני או ניסיון תקיפה “רנדומלי” שתוקף את הארגון.

בתהליך זה אנו סורקים את מערכות המידע והרשת הנגישות לנו מחוץ לארגון בכוונה לנסות ולאתר נקודות תורפה קיימות המובילות לחדירה או נזק לארגון.

מבדק חיצוני יכול גם להמשיך כמבדק פנימי במידה ואכן בוצעה חדירה לרשת הפנימית אך זאת כמובן לפי מה שמסוכם מראש.

במבדק זה אנו מדמים מצב מציאותי של הפעולות שסביר להניח אותן ינסה לבצע התוקף לפי המתודולוגיה הבאה:

• איסוף מידע חיצוני אודות הארגון ובדיקת הרלוונטיות שלו לגבי בדיקת החדירות.

• ביצוע סריקת פגיעויות לצורך זיהוי נקודות חולשה קיימות.

• ביצוע סקר סיכונים המתבסס על תוצאות הסריקה לצורך תעדוף ורלוונטיות הממצאים.

• ביצוע תהליך “פריצה בטוחה” על סמך הממצאים הקודמים.

• בדיקות התקני הרשת הנגישים מחוץ לארגון, כגון FW, נתבים, שרתי דואר וכו’.

• הכנת דו”ח מקיף.

הנדסה חברתית

סוג בדיקה נוסף הוא הנדסה חברתית. בבדיקה זאת אנו מנצלים את השימוש בטכניקות "מתעתעות" כדי לתמרן אנשים לתת לנו חשיפה/גישה לנתונים הרגישים של החברה.

אנחנו ברד אנטרי מציעים שלשה שירותי הנדסה חברתית מרכזיים לבחינת המודעות של החברה לאבטחת מידע:
– אימייל פישינג
– מניפולציה טלפונית
– הנדסה חברתית באתר הלקוח – גישה פיזית למתקנים.