מבדקי חדירות: בדיקת חוסן לתשתיות ואפליקציות – מבדקי חדירה
מבדקי חדירה (או מבדקי חדירות) הם חלק משירותי אבטחת מידע לעסקים המוצעים על ידי פורס מאז'ור. הבדיקות מתבצעות על ידי בוגרי יחידות סייבר ומודיעין ומומחי אבטחת מידע, בעל ניסיון רב שנים ביישום המתודולוגיות בסטנדרטים המקובלים, תוך דגש על הפעלת חשיבה יצירתית לצורך ניצול מקסימלי של החולשות הנחשפות.
מהם מבדקי חדירה?
מטרתו של מבדק חדירות – Penetration Test – היא לבחון את עמידות תשתיות המחשוב והאפליקציות בפני מתקפות חיצוניות ופנימיות. יש צורך בבדיקות חדירות, המכונות גם מבדקי חוסן, על מנת לזהות נקודות חולשה ופרצות במערכות הארגוניות ובאפליקציות – פרצות אשר עשויות להיות מנוצלות על ידי גורמים זדוניים. לאחר זיהוי החולשות והפרצות, יש לפעול על מנת לסגור אותן. זאת, כחלק ממסקנות של סקר סיכונים שבוצע בחברה, מתוך דרישות במכרז, או עקב דרישה רגולטורית כמו GDPR, תקנות הגנת הפרטיות ותקני אבטחת מידע וסייבר.
מבדק חדירות: אוטומטי מול ידני
חברות סייבר מבצעות סוגים שונים של מבדקי חדירה וחשוב להבחין ביניהם:
בדיקות חדירות אוטומטיות – Vulnerability Scan
בדיקת חדירות אוטומטית כוללת שימוש בכלי סריקה ותקיפה שמטרתם לזהות חולשות, היעדרם של עדכוני אבטחה, פרוטוקולים לא מוצפנים, שימוש במערכות הגנה חלשות או לא מעודכנות וכו'. מבדקי חוסן אלו מהווים לתפיסתנו שלב מקדים וראשוני בלבד לביצוע החלק המשמעותי ביותר לחשיפת חולשות אבטחת המידע בתשתית המחשוב הארגונית או בקוד האפליקציה.
מבדקי חדירות ידניים (מבדקי חוסן)
ביצוע מבדקי חוסן יסודי וידני של צוות "האקרים אתיים", הבוחנת באופן יצירתי את היכולת לחדור לארגון, להשיג הרשאות מנהל, להגיע למידע רגיש וכדומה. בדיקה זו מבוצעת לאחר בדיקת החדירות האוטומטית. התוצר המעשי של מבדקים אלו מעניק ערך מוסף משמעותי לארגון, מכיוון שהוא מדמה פעילות אקטיבית של גורמי פשיעת סייבר ותרחישים של ריגול תעשייתי.
לקבלת ייעוץ בנושא מבדקי חדירות – צרו עמנו קשר 03-6259898
הדמיית מתקפת סייבר
במסגרת בדיקות החוסן ידמה צוות מומחי ה-Penetration Testing של פורס מאז'ור:
- תקיפה אקראית של מערכות הארגון על ידי האקרים מבחוץ.
- תקיפה מכוונת מטרה של האקרים / מתחרה עסקי, המעוניינים לתקוף באופן ספציפי את החברה, לשבש את פעילותה או להשתלט על נכסיה, סודותיה המסחריים ומאגרי המידע שברשותה.
- תקיפה על ידי 'האויב שבפנים': כלומר, עובד בחברה המבצע פעולות זדוניות במכוון, 'סוכן משוטה', אשר מופעל ללא ידיעתו, או אורח אקראי במשרדים, שהגיע בתירוץ כלשהו, אבל מטרתו האמיתית היא לגנוב מידע, או להחדיר למערכות החברה נוזקות ותוכנות ריגול.
מבדקי חדירות לאתרים ואפליקציות
באופן דומה מתבצע גם מבדק חדירה אפליקטיבי, שמטרתו לבחון חולשות ופרצות באתרי אינטרנט או באפליקציות ווב ואפליקציות מובייל במערכות ההפעלה iOS ו-Android בשני אספקטים:
- תקיפה בידי משתמש, לדוגמא: עובדים שמדווחים על ביצוע פעולות מסחר שונות באמצעות אפליקציה ארגונית.
- תקיפה על ידי האקר חיצוני, למשל במטרה לגנוב פרטי לקוחות, לשבש נתונים וכדומה.
מבדק חדירות פנימי
מבדק חדירות פנימי יבחן את מידת החשיפה של הארגון מנקודת מבט פנימית דוגמת – עובד בחברה, ספק חיצוני אשר מגיע למשרדים או אורח אקראי, באמצעות התחברות למערכות מתוך הארגון ובחינת מעגלי המניעה, ההתראה ומנגנוני האבטחה.
למשל, במהלך המבדק תבוצע קבלת הרשאת עובד סטנדרטית (שם משתמש וסיסמא) למערכת פנימית של החברה, בניסיון לנצל את ההרשאה לצורך השגת הרשאות מנהל.
מבדק חדירות חיצוני
מבדק חדירות חיצוני בוחן את עמידות מערכות המחשוב של החברה ומערכות אבטחת המידע, בפני מתקפה שמקורה מחוץ לחברה ובכלל זה: ניצול הגדרות שגויות של כלי ההגנה ועקיפתן, בחינת האפשרות כי כלי ההגנה אינם מעודכנים ומאפשרים חדירה שהיצרן חסם, ניצול הגדרות חלשות של התחברות מרחוק, בדיקת יכולות כלי ההגנה לעצור מתקפות Brute-force (מתקפת כוח-גס) – על סיסמאות המשתמשים, איתור נקודות חולשה המאפשרות להחדיר סוס טרויאני, חדירה למאגרים רגישים, התקפת מניעת שירות (DDoS) ועוד.
מבדק חדירות משולב תרגיל תקיפת סייבר
בדיקות החדירות מתבצעים בתיאום ובשיתוף פעולה בין צוות מומחי אבטחת המידע של פורס מאז'ור לבין מחלקת המחשוב / אבטחת המידע של החברה הנבדקת. המטרה של מבדק זה היא לתרגל את צוותיי המחשוב והנהלת החברה בתגובה למתקפת סייבר בזמן אמת, תוך קבלת משוב בסיום התרגיל. על פי דרישה, ניתן גם לבצע מבחן חדירות בפורמט סמיות-כפולה (מבחן עיוור כפול), במסגרתו נבחנת המוכנות של צוות התגובה המהירה של החברה לאירועי סייבר.
בדיקת חדירות – גישות
קיימות גישות שונות לביצוע בדיקות חדירות – גישות אלו מתארות את רמת הידע המוקדם שיש לצוות הבדיקות לפני ביצוען, כאשר מבדק חדירות בגישת 'קופסה לבנה' מייצג מצב שבו כל המידע האפשרי, כולל קוד האתר / אפליקצייה למשל, מצוי בידי הצוות ומבדק בשיטת 'קופסה שחורה' משמעותו שלצוות אין כל ידע אודות הארגון, מערכותיו ו/או קוד התוכנה.
צוות הגנת הסייבר של פורס מאז'ור ערוך לביצוע מבדקי חדירות בכל הגישות, אך במרבית המקרים, במבדקי תשתיות במגזר העסקי (קרי, חברות אשר אינן עוסקות בתחום הביטחוני, מו"פ וכדומה) אנו ממליצים על גישת 'קופסה אפורה'.
המלצה זו נובעת מהנחת היסוד שהמידע הבסיסי אודות החברה ייאסף על ידי תוקפים פוטנציאלים בקלות יחסית, ולפיכך אפשר וכדאי להימנע מבזבוז הזמן והמשאבים הנדרשים לצורך איסוף נתונים אלו.
הנכס המרכזי של רוב הארגונים הוא מידע דיגיטלי. מידע, להבדיל מנכס פיזי, אי אפשר להחליף.