יצירת קשר
Call
Call
Mail

בדיקת חדירות | מבדקי חוסן לתשתיות ואפליקציות – Penetration Test

בדיקות חדירות מתבצעות על ידי בוגרי יחידות סייבר ומודיעין ומומחי אבטחת מידע, בעל ניסיון רב שנים ביישום המתודולוגיות בסטנדרטים המקובלים, תוך דגש על הפעלת חשיבה יצירתית לצורך ניצול מקסימלי של החולשות הנחשפות.

מהי בדיקת חדירות?

מטרתו של מבדק חדירות – Penetration Test – היא לבחון את עמידות תשתיות המחשוב והאפליקציות בפני מתקפות חיצוניות ופנימיות. יש צורך בבדיקות חדירות, המכונות גם מבדקי חוסן, על מנת לזהות נקודות חולשה ופרצות במערכות הארגוניות ובאפליקציות – פרצות אשר עשויות להיות מנוצלות על ידי גורמים זדוניים. לאחר זיהוי החולשות והפרצות, יש לפעול על מנת לסגור אותן. זאת, כחלק ממסקנות של סקר סיכונים שבוצע בחברה, מתוך דרישות במכרז, או עקב דרישה רגולטורית כמו GDPR, תקנות הגנת הפרטיות ותקני אבטחת מידע וסייבר.

מבדקי חדירות – אוטומטי מול ידני

חברות סייבר מבצעות סוגים שונים של מבדקי חדירות וחשוב להבחין ביניהם:

בדיקות חדירות אוטומטיותVulnerability Scan

בדיקת חדירות אוטומטית כוללת שימוש בכלי סריקה ותקיפה שמטרתם לזהות חולשות, היעדרם של עדכוני אבטחה, פרוטוקולים לא מוצפנים, שימוש במערכות הגנה חלשות או לא מעודכנות וכו'. מבדקי חוסן אלו מהווים לתפיסתנו שלב מקדים וראשוני בלבד לביצוע החלק המשמעותי ביותר לחשיפת חולשות אבטחת המידע בתשתית המחשוב הארגונית או בקוד האפליקציה.

בדיקות חדירות ידניות

בדיקת חוסן יסודי וידני של צוות "האקרים אתיים", הבוחנת באופן יצירתי את היכולת לחדור לארגון, להשיג הרשאות מנהל, להגיע למידע רגיש וכדומה. בדיקה זו מבוצעת לאחר בדיקת החדירות האוטומטית. התוצר המעשי של מבדקים אלו מעניק ערך מוסף משמעותי לארגון, מכיוון שהוא מדמה פעילות אקטיבית של גורמי פשיעת סייבר ותרחישים של ריגול תעשייתי.

 

לקבלת ייעוץ בנושא מבדקי חדירות וחוסן צרו עמנו קשר 03-6259898

 

הדמיית מתקפת סייבר

במסגרת בדיקות החוסן ידמה צוות מומחי ה-Penetration Testing של פורס מאז'ור:

  • תקיפה אקראית של מערכות הארגון על ידי האקרים מבחוץ.
  • תקיפה מכוונת מטרה של האקרים / מתחרה עסקי, המעוניינים לתקוף באופן ספציפי את החברה, לשבש את פעילותה או להשתלט על נכסיה, סודותיה המסחריים ומאגרי המידע שברשותה.
  • תקיפה על ידי 'האויב שבפנים': כלומר, עובד בחברה המבצע פעולות זדוניות במכוון, 'סוכן משוטה', אשר מופעל ללא ידיעתו, או אורח אקראי במשרדים, שהגיע בתירוץ כלשהו, אבל מטרתו האמיתית היא לגנוב מידע, או להחדיר למערכות החברה נוזקות ותוכנות ריגול.

מבדקי חדירות לאתרים ואפליקציות

באופן דומה מתבצע גם מבדק חדירה אפליקטיבי, שמטרתו לבחון חולשות ופרצות באתרי אינטרנט או באפליקציות ווב ואפליקציות מובייל במערכות ההפעלה iOS ו-Android בשני אספקטים:

  • תקיפה בידי משתמש, לדוגמא: עובדים שמדווחים על ביצוע פעולות מסחר שונות באמצעות אפליקציה ארגונית.
  • תקיפה על ידי האקר חיצוני, למשל במטרה לגנוב פרטי לקוחות, לשבש נתונים וכדומה.

מבדק חדירות פנימי

מבדק חדירות פנימי יבחן את מידת החשיפה של הארגון מנקודת מבט פנימית דוגמת – עובד בחברה, ספק חיצוני אשר מגיע למשרדים או אורח אקראי, באמצעות התחברות למערכות מתוך הארגון ובחינת מעגלי המניעה, ההתראה ומנגנוני האבטחה.

למשל, במהלך המבדק תבוצע קבלת הרשאת עובד סטנדרטית (שם משתמש וסיסמא) למערכת פנימית של החברה, בניסיון לנצל את ההרשאה לצורך השגת הרשאות מנהל.

מבדק חדירות חיצוני

מבדק חדירות חיצוני בוחן את עמידות מערכות המחשוב של החברה ומערכות אבטחת המידע, בפני מתקפה שמקורה מחוץ לחברה ובכלל זה: ניצול הגדרות שגויות של כלי ההגנה ועקיפתן, בחינת האפשרות כי כלי ההגנה אינם מעודכנים ומאפשרים חדירה שהיצרן חסם, ניצול הגדרות חלשות של התחברות מרחוק, בדיקת יכולות כלי ההגנה לעצור מתקפות Brute-force (מתקפת כוח-גס) – על סיסמאות המשתמשים, איתור נקודות חולשה המאפשרות להחדיר סוס טרויאני, חדירה למאגרים רגישים, התקפת מניעת שירות (DDoS) ועוד.

מבדק חדירות משולב תרגיל תקיפת סייבר

בדיקות החדירות מתבצעים בתיאום ובשיתוף פעולה בין צוות מומחי אבטחת המידע של פורס מאז'ור לבין מחלקת המחשוב / אבטחת המידע של החברה הנבדקת. המטרה של מבדק זה היא לתרגל את צוותיי המחשוב והנהלת החברה בתגובה למתקפת סייבר בזמן אמת, תוך קבלת משוב בסיום התרגיל. על פי דרישה, ניתן גם לבצע מבחן חדירות בפורמט סמיות-כפולה (מבחן עיוור כפול), במסגרתו נבחנת המוכנות של צוות התגובה המהירה של החברה לאירועי סייבר. 

מבדק חדירות – גישות

קיימות גישות שונות לביצוע מבדקי חדירות – גישות אלו מתארות את רמת הידע המוקדם שיש לצוות הבדיקות לפני ביצוען, כאשר מבדק חדירות בגישת 'קופסה לבנה' מייצג מצב שבו כל המידע האפשרי, כולל קוד האתר / אפליקצייה למשל, מצוי בידי הצוות ומבדק בשיטת 'קופסה שחורה' משמעותו שלצוות אין כל ידע אודות הארגון, מערכותיו ו/או קוד התוכנה.

צוות הגנת הסייבר של פורס מאז'ור ערוך לביצוע מבדקי חדירות בכל הגישות, אך במרבית המקרים, במבדקי תשתיות במגזר העסקי (קרי, חברות אשר אינן עוסקות בתחום הביטחוני, מו"פ וכדומה) אנו ממליצים על גישת 'קופסה אפורה'.

המלצה זו נובעת מהנחת היסוד שהמידע הבסיסי אודות החברה ייאסף על ידי תוקפים פוטנציאלים בקלות יחסית, ולפיכך אפשר וכדאי להימנע מבזבוז הזמן והמשאבים הנדרשים לצורך איסוף נתונים אלו.

 

הנכס המרכזי של רוב הארגונים הוא מידע דיגיטלי. מידע, להבדיל מנכס פיזי, אי אפשר להחליף.

 

בין לקוחותינו

רכבת ישראל
AIG LOGO
משרד התחבורה
3M
מחלקת חקירות ומודיעין ברשות ניירות ערך
סופר פארם
בזק בינלאומי
חישתיל
שופרסל
זרעים גדרה
מרכז השלטון המקומי
AON
attenti logo
E&Y
Hertz logo
Cannbit Ltd
איסכור
מנורה חברה לביטוח
סטימצקי
Migda מגדל חברה לביטוח
אפקון
אוניברסיטת תל אביב
sweetwood capital
polypid
KIMAIA
הרצוג פוקס נאמן
grant thornton
הרשות להגנת הפרטיות
Microsoft digital crimes unit
משרד המשפטים

יצירת קשר

כתובתנו: דרך החורש 4, יהוד
טלפון: 03-6259898

    This form is protected by reCAPTCHA and therefore
    the Google Privacy Policy and Terms of Service apply