בדיקת חדירות לחברות, מבדקי חוסן לאתרים ואפליקציות – Penetration Test

מטרתו של מבדק חדירות – Penetration Test, הינה לבחון את עמידות המערכות בהיבט ההתקפי של גורמים מבחוץ ומבפנים. מבדקי חדירות, המכונים גם מבדקי חוסן, נדרשים על מנת לזהות נקודות חולשה ופרצות במערכות הארגוניות ובאפליקציות. בדיקות החדירות נדרשות על מנת לחשוף פרצות ולסגור אותן, כחלק ממסקנות של סקר סיכונים שבוצע בחברה, מתוך דרישות במכרז, או עקב דרישה רגולטורית, דוגמת: GDPR, תקנות הגנת הפרטיות של משרד המשפטים הישראלי ו/או תקני אבטחת מידע וסייבר.

 

הנכס המרכזי של רוב הארגונים הוא מידע דיגיטלי. מידע, להבדיל מנכס פיזי, אי אפשר להחליף.

 

מבדקי חדירות – מבדק אוטומטי מול מבדק ידני

חברות סייבר מבצעות סוגים שונים של מבדקי חדירות וחשוב להבחין ביניהם:

בדיקות חדירות אוטומטיות
vulnerability scanning

שימוש בכלי סריקה ותקיפה שמטרתם לזהות חולשות, היעדרם של עדכוני אבטחה, פרוטוקולים לא מוצפנים, שימוש במערכות הגנה חלשות או לא מעודכנות וכיו”ב. מבדקי חוסן אלו מהווים לתפיסתנו, אך ורק שלב מקדים וראשוני לביצוע החלק המשמעותי ביותר לחשיפת חולשות אבטחת המידע בתשתית המחשוב הארגונית או בקוד האפליקציה.
מבדקי חדירות ידניים
הליך בדיקת חוסן יסודי וידני של צוות ‘האקרים אתיים’, שבוחן באופן יצירתי את היכולת לחדור לארגון, להשיג הרשאות מנהל, להגיע למידע רגיש וכדומה, שמתבצע ברובו לאחר הסריקות האוטומטיות.
התוצר המעשי של מבדקים אלו מעניק ערך מוסף משמעותי לארגון, מכיוון שהוא מדמה פעילות אקטיבית של גורמי פשיעת סייבר ותרחישים של ריגול תעשייתי.

לקבלת ייעוץ ראשוני בנושא מבדקי חדירות וחוסן צרו עמנו קשר 03-6259898

 

הדמיית תקיפות סייבר

במסגרת בדיקות החוסן ידמה צוות מומחי אבטחת המידע והגנת סייבר של פורס מאז’ור:

  • תקיפה אקראית של מערכות הארגון על ידי האקרים מבחוץ.
  • תקיפה מכוונת מטרה של האקרים / מתחרה עסקי, המבקשים לתקוף באופן ספציפי את החברה, לשבש את פעילותה או להשתלט על נכסיה, סודותיה המסחריים ומאגרי המידע שברשותה.
  • תקיפה על ידי ‘האויב שבפנים‘, קרי עובד בחברה המבצע פעולות זדוניות במכוון, ‘סוכן משוטה’, אשר מופעל ללא ידיעתו, או אורח אקראי במשרדים, שהגיע באמתלה כלשהי במטרה לגנוב מידע, או להחדיר למערכות החברה נוזקות ותוכנות ריגול.

 

מבדקי חדירות לאתרים ואפליקציות

באופן דומה מתבצע גם מבדק חדירה אפליקטיבי, שמטרתו לבחון חולשות ופרצות באתרי אינטרנט או באפליקציות ווב ואפליקציות מובייל (תוכנות / יישומים / יישומונים) בשני אספקטים:

  • תקיפה בידי משתמש, לדוגמא: עובדים שמדווחים על ביצוע פעולות מסחר שונות באמצעות אפליקציה ארגונית.
  • תקיפה על ידי האקר חיצוני, למשל במטרה לגנוב פרטי לקוחות, לשבש נתונים וכדומה.

 

מבדק חדירות פנימי

מבדק חדירות פנימי יבחן את מידת החשיפה של הארגון מנקודת מבט פנימית דוגמת – עובד בחברה, ספק חיצוני אשר מגיע למשרדים או אורח אקראי, באמצעות התחברות למערכות מתוך הארגון ובחינת מעגלי המניעה, ההתראה ומנגנוני האבטחה.
לדוגמא: קבלת הרשאת עובד סטנדרטית (שם משתמש וסיסמא) למערכת פנימית של החברה, בניסיון לנצל את ההרשאה לצורך השגת הרשאות מנהל.

מבדק חדירות חיצוני

מבדק חדירות חיצוני בוחן את עמידות מערכות המחשוב של החברה ומערכות אבטחת המידע, בפני מתקפה שמקורה מחוץ לחברה ובכלל זה: ניצול הגדרות שגויות של כלי ההגנה ועקיפתן, בחינת האפשרות כי כלי ההגנה אינם מעודכנים ומאפשרים חדירה שהיצרן כבר חסם זה מכבר, ניצול הגדרות חלשות של התחברות מרחוק, בדיקת יכולות כלי ההגנה לעצור מתקפות ברוטליות Brute-force (מתקפת כוח-גס) – על סיסמאות המשתמשים, איתור נקודות חולשה המאפשרות להחדיר סוס טרויאני, חדירה למאגרים רגישים, ניסיונות העמסה (DDoS) ועוד.

מבדק חדירות משולב תרגיל תקיפת סייבר

בדיקות החדירות מתבצעים בתיאום ובשיתוף פעולה בין צוות מומחי אבטחת המידע של פורס מאז’ור לבין מחלקת המחשוב / אבטחת המידע של החברה הנבדקת. לעיתים ולפי דרישה, על מנת לתרגל את צוותיי המחשוב והנהלת החברה בתגובה למתקפת סייבר בזמן אמת, תוך קבלת משוב בסיום התרגיל. כמובן שעל פי דרישה, ניתן גם לבצע מבחן חדירות בפורמט סמיות-כפולה (מבחן עיוור כפול), במסגרתו נבחנת המוכנות של צוות התגובה המהירה של החברה לאירועי סייבר. 

מבדק חדירות – גישות

קיימות גישות שונות לביצוע מבדקי חדירות – גישות אלו מתארות את רמת הידע המוקדם שיש לצוות הבדיקות לפני ביצוען, כאשר מבדק חדירות בגישת ‘קופסא לבנה‘ מייצג מצב שבו כל המידע האפשרי, כולל קוד האתר / אפליקצייה למשל, מצוי בידי הצוות ומבדק בשיטת ‘קופסא שחורה‘ משמעותו שלצוות אין כל ידע אודות הארגון, מערכותיו ו/או קוד התוכנה.

צוות הגנת הסייבר של פורס מאז’ור ערוך לביצוע מבדקי חדירות בכל הגישות, אך במרבית המקרים, במבדקי תשתיות במגזר העסקי (קרי, חברות אשר אינן עוסקות בתחום הביטחוני, מו”פ וכדומה) אנו ממליצים על גישת ‘קופסא אפורה‘.
המלצה זו נובעת מהנחת היסוד שהמידע הבסיסי אודות החברה ייאסף על ידי תוקפים פוטנציאלים בקלות יחסית, ולפיכך הארכת התהליך והמורכבות הנדרשת לצורך איסוף נתונים אלו, מתייתרת במרבית המקרים.

 

 

תגיות: מבדקי חדירות אתר אינטרנט, מבדק חדירות לאתרים, מבחן חדירות תשתית IT, בדיקת חדירות תשתיתי, אתר סחר אלקטרוני, מבחן חוסן אפליקציה, penetration testing, pen-test, penetration scan, penetration test, pt, PenTest

למידע נוסף התקשרו או מלאו את הטופס



סיפורי לקוחות

בין לקוחותינו

רכבת ישראל
מרכז השלטון המקומי
משרד התחבורה
רשות ניירות ערך
3M
בון תור
מנורה מבטחים
אוניברסיטת תל אביב
זרעים גדרה
חישתיל
שלמה כהן עו
סופר פארם