מבדק חדירה פנימי

מבדק חדירות פנימי (Internal Penetration Test), מהווה בעיקר נקודת מבט של תוקף אשר כבר נמצא ברשת הארגון או לחלופין עובד זדוני שיש לו גישה לרשת וברצונו לחדור למערכות שאינן אמור להגיע אליהן או לנצלן לרעה.

חשוב להתייחס לאיום הפנימי כלא פחות חשוב מהאיום החיצוני.

במהלך בדיקת החדירות הפנימית ובהתאם להיקף הפעילות שסוכמה מראש טרום הבדיקה, בודק החדירות ינסה לזהות חולשות אבטחה ואף יעשה מאמצים להעלות את ההרשאותיו כמה שיותר (אסקלציה – Privilege Escalation) ובכך להגיע לצמתים שיובילו אותו אל היעד או לחלופין עמוק יותר ברשת הארגון.

מבדק חדירה חיצוני

מבדק חדירה חיצוני (External Penetration Test), מדמה מצב שבו תוקף ו/או כל גורם זדוני אחר אשר נמצא מחוץ לגבולות הארגון או המערכת מנסה לחדור פנימה.

לרוב במצב זה לבודק החדירות אין מידע מקדים על היעד הנבדק ו/או גישה פנימית לרשת ולכן על הבודק להצליח לחדור אל המערכת או הארגון מבחוץ ובאמצעות איסוף מידע עצמאי.

במבדק חדירה חיצוני, אחד השלבים החשובים ביותר הוא שלב איסוף המידע, בשלב זה הבודק ירכז כמה שיותר מידע על הארגון/מערכת מה שהווה בסיס מאוד משמעותי להמשך הבדיקה.

במידה ובודק החדירות יצליח לחדור פנימה, ניתן להמשיך את הבדיקה כבדיקה פנימית וזאת בצמוד למה שסוכם מראש בהיקף הבדיקה ואפיונה.

קיימים שלושה סוגים עיקריים של מבדקי חדירות:

• Black Box
• Grey Box
• White Box

מבדק חדירה מסוג Black Box

במבדק חדירות מסוג זה, בודק החדירות נכנס לנעליו של תוקף שאין ברשותו מידע מקדים על הארגון ו/או היעד הנבדק.

היתרון של מבדק חדירות מסוג זה הוא באותנטיות של הבודק על ידי הדמיית תרחישי תקיפה כמה שיותר קרובים למציאות.

החיסרון בבדיקה הוא שנדרש זמן רב בכדי ללמוד את היעד הנבדק וככל הנראה הכיסוי של הבדיקה יהיה מצומצם יותר ולכן ניתן להתחיל בבדיקה זו ולשלב אותה עם בדיקות אחרות.

מבדק חדירה מסוג Grey Box

במבדק חדירות מסוג זה, בודק החדירות מקבל מידע חלקי על הארגון ו/או היעד הנבדק.

המטרה של מבדק חדירות מסוג זה היא לקיים בדיקה רחבה ואפקטיבית על ידי קבלת מידע מקדים אך מתומצת על היעד הנבדק (חוסך זמן יקר לבודק החדירות המבצע את הבדיקה) וכמו כן, לשמור על הדמיית תרחישי תקיפה כמה שיותר מציאותיים ואותנטיים.

בדיקה זו נחשבת נפוצה יותר, היות והיא שילוב של השתיים האחרות. כפי שצוין לעיל, ניתן לשלב כמה סוגים של בדיקות.

מבדק חדירה מסוג White Box

במבדק חדירות מסוג זה, בודק החדירות מקבל את כל המידע הדרוש לו בכדי שיכיר כמה שיותר טוב את הארגון ו/או היעד הנבדק.

היתרון של מבדק חדירות מסוג זה הוא שרמת האפקטיביות והכיסוי של הבדיקה גבוהות יותר כי כל המידע מוצג מראש בפני בודק החדירות.

החיסרון הוא בחוסר האותנטיות של הבודק היות וברשותו מידע מקדים ומפורט על הארגון ו/או היעד הנבדק, מה שלא יהיה חשוף בפני תוקף אמיתי, ללא השקעת מאמצים באיסוף מידע.

תתי קטגוריות של מבדקי חדירה

• מבדק הנדסה חברתית
• בדיקת חדירות אפליקטיבית
• מבדק חדירה תשתיתי

מבדק הנדסה חברתית

בדיקות חדירה מסוג הנדסה חברתית מתמקד באנשים ותהליכים ובפגיעויות הקשורות אליהם ולא אל המערכות בצורה ישירה.

בדיקות אלה מורכבות יותר ודורשות מיומנות ומקצועיות, תוך כדי הקפדה עלך שמירת כללים ואתיקה מקצועית.

במבדק זה נזהה את החולשה בחוליה הכי חלשה בשרשרת וזה הגורם האנושי.

בדיקה מסוג הנדסה חברתית מתבצעת באמצעות ביצוע מניפולציות על האנשים עצמם בכדי לגרום להם לבצע פעולות שיעזרו לנו לחדור לארגון.

מטרת הבדיקה להגביר מודעות בקרב העובדים ולהציג הוכחת יכולת של הנזק העשוי להיגרם על ידי ניצול הגורם האנושי.

מבדק חדירה תשתית

בבדיקה מסוג זה, בודק החדירות יתמקד בצד התשתיתי של הרשת/ארגון/מערכת וזאת לרבות זיהוי ליקויי אבטחה בשרתים עצמם, מערכות הפעלה, התקני רשת, הקשחות, מעקף בקרות אבטחה ועוד.

מבדק חדירה פליקטיבי

בדיקת חדירות אפליקטיבית היא אחת הדרישות המרכזיות בתקני אבטחה ורגלוציות נפוצים כגון PCI DSS, HIPAA, FISMA ועוד.

חברות רבות רבות נוטות לחשוב שבדיקות אוטומטיות לאפליקציה או לחלופין תוכנות אוטומטיות לסריקת פגיעויות מספקות מענה לבדיקת חדירות, אך זה רחוק מהמציאות בשטח וקיים הבדל גדול בין בדיקה של בודק חדירות מומחה ומקצועי לבין הרצת כלים אוטומטיים בלבד.

להלן השלבים הבסיסיים במתודולוגיית מבדק חדירות (High Level)

• הצבת יעדים ומטרות
• איסוף מידע
• בניית מודל איומים
• ניתוח חולשות אבטחה
• ניצול חולשות אבטחה
• פעולות לאחר ניצול חולשות
• תיעוד וכתיבת דוח