יצירת קשר
Call
Call
Mail

בדיקת חדירות | מבדקי חוסן לתשתיות ואפליקציות – Penetration Test

בדיקות החדירות מתבצעות על ידי בוגרי יחידות סייבר ומודיעין ומומחי אבטחת מידע, בעל ניסיון רב שנים ביישום המתודולוגיות בסטנדרטים המקובלים, תוך דגש על הפעלת חשיבה יצירתית לצורך ניצול מקסימלי של החולשות הנחשפות.

מטרתו של מבדק חדירות – Penetration Test, הינה לבחון את עמידות תשתיות המחשוב והאפליקציות בהיבט ההתקפי חיצוני והפנימי. מבדקי חדירות, המכונים גם מבדקי חוסן, נדרשים על מנת לזהות נקודות חולשה ופרצות במערכות הארגוניות ובאפליקציות, פרצות אשר עשויות להיות מנוצלות על ידי גורמים זדוניים, ולסגור אותן. זאת כחלק ממסקנות של סקר סיכונים שבוצע בחברה, מתוך דרישות במכרז, או עקב דרישה רגולטורית, דוגמת: GDPR, תקנות הגנת הפרטיות ותקני אבטחת מידע וסייבר.

 

מבדקי חדירות – מבדק אוטומטי מול מבדק ידני

חברות סייבר מבצעות סוגים שונים של מבדקי חדירות וחשוב להבחין ביניהם:


בדיקות חדירות אוטומטיות
Vulnerability Scan

שימוש בכלי סריקה ותקיפה שמטרתם לזהות חולשות, היעדרם של עדכוני אבטחה, פרוטוקולים לא מוצפנים, שימוש במערכות הגנה חלשות או לא מעודכנות וכיו”ב. מבדקי חוסן אלו מהווים לתפיסתנו, אך ורק שלב מקדים וראשוני לביצוע החלק המשמעותי ביותר לחשיפת חולשות אבטחת המידע בתשתית המחשוב הארגונית או בקוד האפליקציה.

בדיקות חדירות ידניות

הליך בדיקת חוסן יסודי וידני של צוות ‘האקרים אתיים’, שבוחן באופן יצירתי את היכולת לחדור לארגון, להשיג הרשאות מנהל, להגיע למידע רגיש וכדומה, שמתבצע ברובו לאחר הסריקות האוטומטיות. התוצר המעשי של מבדקים אלו מעניק ערך מוסף משמעותי לארגון, מכיוון שהוא מדמה פעילות אקטיבית של גורמי פשיעת סייבר ותרחישים של ריגול תעשייתי.

 

לקבלת ייעוץ בנושא מבדקי חדירות וחוסן צרו עמנו קשר 03-6259898

 

הדמיית מתקפת סייבר

במסגרת בדיקות החוסן ידמה צוות מומחי ה- Penetration Testing של פורס מאז’ור:

  • תקיפה אקראית של מערכות הארגון על ידי האקרים מבחוץ.
  • תקיפה מכוונת מטרה של האקרים / מתחרה עסקי, המבקשים לתקוף באופן ספציפי את החברה, לשבש את פעילותה או להשתלט על נכסיה, סודותיה המסחריים ומאגרי המידע שברשותה.
  • תקיפה על ידי ‘האויב שבפנים‘, קרי עובד בחברה המבצע פעולות זדוניות במכוון, ‘סוכן משוטה’, אשר מופעל ללא ידיעתו, או אורח אקראי במשרדים, שהגיע באמתלה כלשהי במטרה לגנוב מידע, או להחדיר למערכות החברה נוזקות ותוכנות ריגול.

 

מבדקי חדירות לאתרים ואפליקציות

באופן דומה מתבצע גם מבדק חדירה אפליקטיבי, שמטרתו לבחון חולשות ופרצות באתרי אינטרנט או באפליקציות ווב ואפליקציות מובייל במערכות ההפעלה iOS ו-Android בשני אספקטים:

  • תקיפה בידי משתמש, לדוגמא: עובדים שמדווחים על ביצוע פעולות מסחר שונות באמצעות אפליקציה ארגונית.
  • תקיפה על ידי האקר חיצוני, למשל במטרה לגנוב פרטי לקוחות, לשבש נתונים וכדומה.

 

מבדק חדירות פנימי

מבדק חדירות פנימי יבחן את מידת החשיפה של הארגון מנקודת מבט פנימית דוגמת – עובד בחברה, ספק חיצוני אשר מגיע למשרדים או אורח אקראי, באמצעות התחברות למערכות מתוך הארגון ובחינת מעגלי המניעה, ההתראה ומנגנוני האבטחה.
לדוגמא: קבלת הרשאת עובד סטנדרטית (שם משתמש וסיסמא) למערכת פנימית של החברה, בניסיון לנצל את ההרשאה לצורך השגת הרשאות מנהל.

מבדק חדירות חיצוני

מבדק חדירות חיצוני בוחן את עמידות מערכות המחשוב של החברה ומערכות אבטחת המידע, בפני מתקפה שמקורה מחוץ לחברה ובכלל זה: ניצול הגדרות שגויות של כלי ההגנה ועקיפתן, בחינת האפשרות כי כלי ההגנה אינם מעודכנים ומאפשרים חדירה שהיצרן כבר חסם זה מכבר, ניצול הגדרות חלשות של התחברות מרחוק, בדיקת יכולות כלי ההגנה לעצור מתקפות ברוטליות Brute-force (מתקפת כוח-גס) – על סיסמאות המשתמשים, איתור נקודות חולשה המאפשרות להחדיר סוס טרויאני, חדירה למאגרים רגישים, ניסיונות העמסה (DDoS) ועוד.

מבדק חדירות משולב תרגיל תקיפת סייבר

בדיקות החדירות מתבצעים בתיאום ובשיתוף פעולה בין צוות מומחי אבטחת המידע של פורס מאז’ור לבין מחלקת המחשוב / אבטחת המידע של החברה הנבדקת. לעיתים ולפי דרישה, על מנת לתרגל את צוותיי המחשוב והנהלת החברה בתגובה למתקפת סייבר בזמן אמת, תוך קבלת משוב בסיום התרגיל. כמובן שעל פי דרישה, ניתן גם לבצע מבחן חדירות בפורמט סמיות-כפולה (מבחן עיוור כפול), במסגרתו נבחנת המוכנות של צוות התגובה המהירה של החברה לאירועי סייבר. 

מבדק חדירות – גישות

קיימות גישות שונות לביצוע מבדקי חדירות – גישות אלו מתארות את רמת הידע המוקדם שיש לצוות הבדיקות לפני ביצוען, כאשר מבדק חדירות בגישת ‘קופסה לבנה‘ מייצג מצב שבו כל המידע האפשרי, כולל קוד האתר / אפליקצייה למשל, מצוי בידי הצוות ומבדק בשיטת ‘קופסה שחורה‘ משמעותו שלצוות אין כל ידע אודות הארגון, מערכותיו ו/או קוד התוכנה.

צוות הגנת הסייבר של פורס מאז’ור ערוך לביצוע מבדקי חדירות בכל הגישות, אך במרבית המקרים, במבדקי תשתיות במגזר העסקי (קרי, חברות אשר אינן עוסקות בתחום הביטחוני, מו”פ וכדומה) אנו ממליצים על גישת ‘קופסה אפורה‘.
המלצה זו נובעת מהנחת היסוד שהמידע הבסיסי אודות החברה ייאסף על ידי תוקפים פוטנציאלים בקלות יחסית, ולפיכך הארכת התהליך והמורכבות הנדרשת לצורך איסוף נתונים אלו, מתייתרת במרבית המקרים.

 

הנכס המרכזי של רוב הארגונים הוא מידע דיגיטלי. מידע, להבדיל מנכס פיזי, אי אפשר להחליף.

 

 

תגיות: בדיקת חדירות IBM AS\400, מבדקי חדירות אתר אינטרנט, מבדק חדירות לאתרים, מבחן חדירות תשתית IT, בדיקת חדירות תשתיתי, אתר סחר אלקטרוני, PenTest Android application, Penetration Test for iOS app, מבחן חוסן אפליקציה, penetration testing, pen-test, penetration scan, penetration test, pt, PenTest

בין לקוחותינו

רכבת ישראל
AIG LOGO
משרד התחבורה
3M
מחלקת חקירות ומודיעין ברשות ניירות ערך
סופר פארם
בזק בינלאומי
חישתיל
שופרסל
זרעים גדרה
מרכז השלטון המקומי
AON
attenti logo
E&Y
Hertz logo
Cannbit Ltd
איסכור
מנורה חברה לביטוח
סטימצקי
Migda מגדל חברה לביטוח
אפקון
אוניברסיטת תל אביב
sweetwood capital
polypid
KIMAIA
הרצוג פוקס נאמן
grant thornton
הרשות להגנת הפרטיות
Microsoft digital crimes unit

יצירת קשר

כתובתנו: אפעל 6, פתח תקוה
טלפון: 03-6259898