גלה את חולשות האבטחה לפני שהתוקף יעשה זאת

מבדק חדירות/מבדק חוסן הינו סקר אבטחה המדמה פעולות תקיפה של האקר

כדאי ואף רצוי לגלות מראש את חולשות האבטחה שלנו לפני שהאקר אמיתי ינצל וזאת על ידי בודק חדירות מקצועי

מהי בדיקת חדירות (מבדק חדירות)?

בדיקת חדירות (באנגלית Penetration Test – ניתן לכנותה בקיצור Pentest), היא למעשה בדיקת אבטחה שעוזרת לאמוד את רמת האבטחה של המערכת או התשתית הנבדקת כחלק מניהול הסיכונים הארגוני.

הבדיקה מדמה הרצת תרחישי תקיפה המתוכננים מראש על ידי בודק החדירות המבצע אותה. את בודק החדירות ניתן לכנות "האקר" או "Pen-Tester". מטרת הבדיקה היא לחשוף חולשות אבטחה לפני שתוקף אמיתי ינצל זאת.

בדיקת החדירות מתבצעת בשני אופנים: הן על ידי בדיקות ידניות של בודק החדירות והן בצורה אוטומטית על ידי תוכנות וכלים לסריקת פגיעויות.

דוח בדיקת חדירות מקצועי
דוח בדיקת חדירות מקצועי
דוח בדיקת חדירות מקצועי
דוח בדיקת חדירות מקצועי

האם המערכת שלנו בטוחה?

אחת הגישות האפקטיביות ביותר להערכת רמת האבטחה של מערכת היא לדמות את נקודת המבט של התוקף ולבצע נסיונות חדירה למערכת.

מבדק חדירות צריך להתבצע על ידי צוות מומחי בדיקות חדירות אשר מנוסים בעולם התקיפה (האקינג) וביכולתם לאתגר את המערכות בדומה לתוקף אמיתי.

0
חולשות נמצאו
80%

רמת סיכון

קיימים שלושה סוגים עיקריים של מבדקי חדירות

Black Box

בדיקת חדירות blackbox

במבדק חדירות מסוג זה, בודק החדירות נכנס לנעליו של תוקף שאין ברשותו מידע מקדים על הארגון ו/או היעד הנבדק. היתרון של מבדק חדירות מסוג זה הוא באותנטיות של הבודק על ידי הדמיית תרחישי תקיפה כמה שיותר קרובים למציאות. החיסרון בבדיקה הוא שנדרש זמן רב בכדי ללמוד את היעד הנבדק וככל הנראה הכיסוי של הבדיקה יהיה מצומצם יותר ולכן ניתן להתחיל בבדיקה זו ולשלב אותה עם בדיקות אחרות.

Grey Box

בדיקת חדירות greybox

במבדק חדירות מסוג זה, בודק החדירות מקבל מידע חלקי על הארגון ו/או היעד הנבדק. המטרה של מבדק חדירות מסוג זה היא לקיים בדיקה רחבה ואפקטיבית על ידי קבלת מידע מקדים אך מתומצת על היעד הנבדק (חוסך זמן יקר לבודק החדירות המבצע את הבדיקה) וכמו כן, לשמור על הדמיית  תרחישי תקיפה כמה שיותר מציאותיים ואותנטיים. בדיקה זו נחשבת נפוצה יותר, היות והיא שילוב של השתיים האחרות. כפי שצוין לעיל, ניתן לשלב כמה סוגים של בדיקות.

White Box

בדיקת-חדירות whitekbox

במבדק חדירות מסוג זה, בודק החדירות מקבל את כל המידע הדרוש לו בכדי שיכיר כמה שיותר טוב את הארגון ו/או היעד הנבדק. היתרון של מבדק חדירות מסוג זה הוא שרמת האפקטיביות והכיסוי של הבדיקה גבוהות יותר כי כל המידע מוצג מראש בפני בודק החדירות. החיסרון הוא בחוסר האותנטיות של הבודק היות וברשותו מידע מקדים ומפורט על הארגון ו/או היעד הנבדק, מה שלא יהיה חשוף בפני תוקף אמיתי, ללא השקעת מאמצים באיסוף מידע.

מה הופך בדיקת חדירות לטובה?

הנקודות הבאות יסייעו לנו לקיים בדיקת חדירות טובה ואפקטיבית.

קביעת יעדים ומטרות

קביעת יעדים ומטרות

תיאום ציפיות ביניכם לבין הבודק, על ידי הגדרת מטרות הבדיקה ויעדיה לצד הצבת המגבלות הקיימות.

אנשי מקצוע מנוסים

אנשי מקצוע מנוסים

התקשרות עם בודקי חדירות מומחים ומנוסים בתחום.

מדיניות ונהלים

מדיניות ונהלים

בכדי למנוע נזקים שעלולים להיגרם לארגון במהלך הבדיקה, חשוב להתוות מדיניות ונהלים ברורים הן מול בודק החדירות והן בתוך הארגון.

עלות תועלת

עלות תועלת

חשוב למקד את הבדיקה על מנת לאזן בין משאבים ועלויות אל מול הצורך העסקי ולהתאימה לצרכים הארגוניים.

מתודולוגיה

מתודולוגיה

ביסוס בדיקת החדירות על מתודולוגיה סדורה ומקצועית אשר מוצגת מראש לפני תחילת הפעילות.

תוצרים

תוצרים

עלינו לוודא שתוצרי הבדיקה יכילו דו"ח מסודר וברור עם הסברים מספקים והנעה לפעולה. הדו"ח צריך להכיל המלצות מפורטות לתיקון הליקויים.יש לוודא כי ההתקשרות מול בודק החדירות ממשיכה גם בשלב ליווי התיקונים.

מטרות עיקריות של בדיקת חדירות

חשיפת חולשות

לחשוף חולשות אבטחה במערכות, תשתיות ורשת הארגון

יעילות

לבחון ולאמת את היעילות של מערכות ההגנה

נראות

לספק לארגון פרספקטיבה על חולשות האבטחה הקיימות

רגולציה

לספק מידע שימושי לצוותי הביקורת ולעמוד בסטנדרטים ורגולציות

חיסכון

לצמצם נזק עתידי באמצעות חשיפת הפערים וסגירתם

אפקטיביות

לסייע בתיעדוף עבודה של מערך אבטחת המידע

האקר \בודק חדירות עובד על מחשב

תהליך בדיקת חדירות

תיחום/היקף
הגדרת תיחום/היקף הבדיקה 40%
ביצוע הבדיקה
ביצוע מבדק החדירות על סמך היקף העבודה מהשלב הראשון 80%
תיעוד ותוצרים
תיעוד והכנת דוח מלא ומפורט עם תוצאות הבדיקה 100%

תהליך בדיקת חדירות

קטגוריות של בדיקות חדירות

בודק החדירות ישתמש בשיטה ובסוג הבדיקה המתאימים ביותר ללקוח. ניתן לשלב כמה שיטות וסוגים באותה הבדיקה.

External Penetration Testing

בדיקת חדירות חיצונית

Internal Penetration Testing

בדיקת חדירות פנימית

Application Penetration Testing

בדיקת חדירות אפליקטיבית

Network Penetration Testing

בדיקת חדירות לרשת

Infrastructure Penetration Testing

בדיקת חדירות לתשתית

Social Engineering Testing

מבדק חדירות אנושי (הנדסה חברתית)

מעוניין ב- מבדק חדירות ?