03-9550222
דף הבית > מידע מקצועי > מבדק חדירה – PT) Penetration Test)

מבדק חדירה – PT) Penetration Test)

השאירו פרטים כאן לקבלת מידע טלפוני אודות מבדקי חדירה – Penetration Test או התקשרו ל- 03-7176020

 

מהם מבדקי חדירה (Penetration Test – PT)?

מבדקי חדירה Penetration Test (מבדקי חדירות) הינם למעשה מבדקים שנועדו לדמות תקיפה חיצונית ו/או פנימית על מערכות המחשוב של הארגון, במטרה לאתגר את מערכי האבטחה בארגון, ולאתר פרצות אבטחה וסיכונים פוטנציאליים.

את מבדק החדירה, מבצעים גורמים מקצועיים מטעם נקסטפ שהינם למעשה האקר "כובע לבן" – אדם בעל כישורי פריצה והיכרות מעמיקה עם רשתות מחשוב העושה שימוש בידע הנרחב שלו למטרות חיוביות – שיפור האבטחה של לקוחותינו. בהתאם למסגרת המבדק שסוכמה, מבוצעים ניסיונות חדירה למערכת באמצעות כלים ומתודות המתאימים לאופי הטכנולוגיה של הלקוח, וזאת במטרה לבחון מהן פרצות האבטחה המסכנות את המערכת.

חברת Nextep הינה החברה הגדולה והמנוסה ביותר בתחום הגנת המידע והרגולציה הישראלית והבינלאומית.

אנו מספקים ומבצעים עבור לקוחותינו מבדקי חדירה (מבדק חוסן) – Penetration Test. בסיס הידע בחברה מבוסס על שילוב של מומחי אבטחת מידע ובודקים בכירים הנותנים פתרון קל ופשוט ליישום לצורך מתן מענה המותאם לצורכי הארגון.

בין לקוחות החברה נמנים הגופים הציבוריים הגדולים והחברות התעשייתיות המובילות במשק.

 

מי מחויב לבצע את המבדק?

  • בעל מאגר שרמת האבטחה שלו הינה הגבוהה ביותר, אחראי לכך שייערכו מבדקי חדירה למערכות המאגר לצורך בחינת עמידות מפני סיכוני אבטחה שונים. ביצוע מבדקים אלו יבוצעו לפחות אחת לשמונה עשר חודשים. לאחר ביצוע המבדק על בעל המאגר לדון בתוצאות ולתקן את הליקויים בהתאם.
  • ארגון שהוא בעל מספר מאגרי מידע, רשאי לקבוע במסמך אחד את כל מאגרי המידע ברמת אבטחה זהה וכן את רשימת מערכות המאגר (תשתיות ומערכות, תוכנות ועוד). בנוסף, על הארגון לבצע סקר סיכונים ומבדקי חדירות אחת לשמונה עשר חודשים לפחות ולפעול לתקן את הליקויים בהתאם.

 

כיצד מבוצע מבדק חדירה (מבדק חוסן)?

Penetration Test יכול להתבצע הן ברמת התשתית – תשתית המחשוב הארגונית, והן ברמה האפליקטיבית – בהתייחס למערכת / מוצר של הלקוח. כמו כן, מבדק החדירה מתייחס הן לסיכונים פנימיים שמקורם בהגדרות הפנימיות של המערכת, עובדי החברה, הרשאות הגישה וכו', והן לסיכונים חיצוניים – גורמים המבקשים לחדור מבחוץ אל מערכות החברה. במידת הנדרש, המבדק אף מתייחס למערכות ענן בבעלות הלקוח, בהתאם לניתן ולמותר לפי דין.

מבדקי חדירות יכולים להיות מבוצעים במגוון של צורות וגישות שונות המתייחסות לידע המקדים ולגישה שיש לגורם המבצע על המערכת לפני ביצוע הבדיקה.

 

WHITE BOX גישת White Box:

בגישה זו, מתבצעת הבדיקה בדרך כלל כבדיקה פנימית, כאשר הגורם המבצע מקבל את מלוא המידע אודות הארגון ופרטי מערכות המידע ומערכות ההגנה עוד טרם ביצוע הבדיקה בכדי לאפשר לו בדיקה מקיפה ופרטנית ככל האפשר במטרה למצוא כמה שיותר פגיעויות. לבודק ניתנת גישה מלאה לרשת ואין לו צורך לסלול את דרכו אליה. הבדיקה יכולה לדמות מצב של תוקף מתוך הארגון שכבר נגיש לרשת ולמשאבי החברה. בדיקה זו בדרך כלל מאפשרת ניצול מירבי של הזמן ומאפשרת כיסוי נרחב יותר של תחום הארגון אולם אינה מדמה מצב מציאותי של תוקף שלא שייך לארגון.

בתחום התוכנה משמעות הבדיקה היא שהגורם המבצע מקבל את כל קוד המקור של התוכנה כולל איפיון ומידע מפורט בכדי למצוא פגיעויות בקוד ובמנגנוני התוכנה הנראים מצד הפיתוח.

 

BLACK BOX גישת Black Box:

בדיקה זאת מתבצעת בדרך כלל כבדיקה חיצונית, כאשר לגורם המבצע אין כל ידע מקדים אודות המערכת והתשתיות הקיימות בארגון. במידה והגורם המבצע מצליח לחדור פנימה, הבדיקה תימשך גם לפנים מערכות הארגון, בהתאם למטרת הבדיקה והגדרת גבול לעצירת הבדיקה. בדיקה זו מדמה מצב שבו “האקר” מעוניין לפרוץ למערכות ותשתיות הארגון כאשר אין לו שייכות לארגון כלל. לבדיקה זו ישנן חסרונות, ראשית בדיקה זו בדרך כלל נמשכת זמן רב היות וחלק גדול מהבדיקה הינו איסוף מידע. חיסרון נוסף הינו שבדיקה זו לא תכסה את כל המערכות “והשטחים” הקיימים בארגון.

בבדיקות תוכנה ובבדיקות Web Application מסוג Black Box משמעותן בדיקות אפליקציה כאשר אין לגורם המבצע מידע מקדים על האפליקציה, גישה לקוד התוכנה או לאפיון שלה לצורך מציאת פגיעויות בקוד עצמו.

 

GRAY BOX גישת Gray Box:

במרבית המקרים, ובעיקר אצל לקוחות שאינם שייכים לתעשייה הביטחונית ו/או עוסקת במידע רגיש באופן מיוחד, תבוצע בדיקה בגישת ביניים – Graybox.

בבדיקה זו הגורם המבצע מקבל מהחברה גישה ומידע מצומצמים ומוגבלים אודות המערכת והתשתיות, ומנסה לאתגר את המערכת והתשתיות על בסיס מידע זה, הן פנימית והן חיצונית. בחלק מהמקרים אף ניתנת גישה מוגבלת לרשת הארגונית והבדיקה יכולה להתבצע מחוץ או מתוך הארגון, תלוי לפי החלטת הארגון. בתחום התוכנה הגורם המבצע יקבל מידע מצומצם אודות התוכנה, לעיתים יקבל מידע מצומצם אודות קוד התוכנה בכדי למצוא פגיעויות גם על ידי קריאת הקוד וגם על ידי מבדק “חיצוני”.

ניתן לחלק את הבדיקות לפי: בדיקה חיצונית, בדיקה פנימית ובדיקה משולבת:

מבדק חדירה - PT - Penetration Test - מבדק חוסן

תפירת חליפה המותאמת לפעילות הארגון:

לאחר פגישה ראשונית והיכרות עם הלקוח ומערכותיו, מתקבלת החלטה מהי המתודולוגיה המתאימה ביותר לביצוע המבדק, ההיקף הנדרש, המערכות שיש לבחון וכו'. לאחר המבדק, הלקוח מקבל למעשה דוח מסודר ובו סקירה של ממצאי המבדק והפעולות המומלצות לתיקון החשיפה הקיימת, ולאחר ביצוע, התייחסות מסודרת לפעולות התקנות שבוצעו בעקבות המבדק.

 

הצורך במבדקי חדירה הולך וגובר בשנים האחרונות בשל מספר גורמים:

  • ריבוי מתקפות אונליין ואירועי אבטחה המובילים לדלף, גניבה ואובדן מידע;
  • המודעות ההולכת וגוברת של צרכנים ולקוחות לנושא – כך לדוגמא חברות רבות דורשות היום ממערכות וספקים שלהם לבצע מבדקי חדירה תקופתיים על מנת לוודא כי המערכות המסופקות להם תקינות ובטוחות;
  • דרישות רגולציה – תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 דורשות במקרים מסוימים ביצוע של מבדקי חדירה תקופתיים;
  • ניהול סיכונים והקטנת החשיפה – המידע המוחזק בכל ארגון הינו אחד המשאבים המרכזיים והחשובים לפעילותו, ועל כן ארגון אחראי ירצה לצמצם ככל האפשר את האפשרות לגניבה ו/או אובדן של מידע.

כל מה שצריך לדעת על אבטחת המידע בארגון

למאמר המסביר על מערך האכיפה החדש של הרשות להגנת הפרטיות

לכל המאמרים על תקנות הגנת הפרטיות

 

ומה בנוגע למבדקי חדירה אוטומטיים ו-Vulnerability Scanning?

כיום קיימים כלים ממוחשבים ואוטומטיים המאפשרים דימוי של תקיפות, זיהוי חולשות, איתור עדכונים תקופתיים ועדכוני אבטחה שלא בוצעו, שימוש במערכות הגנה חלשות, פרוטוקולים שאינם מוצפנים וכיוצ"ב.

לעיתים, כלים אלו והתוצרים המופקים באמצעותם מוצגים כ"מבדק חדירה" לכל דבר ועניין. ועל כך חשוב לומר כי כלים אלו יעילים אך ורק כחלק ממבדק חדירה מלא ומקיף המבוצע על ידי גורם מקצועי אנושי בצורה ממוקדת וייעודית.

כלים אלו אמנם יכולים לסייע בניטור השוטף והבקרה על מערכות מחשוב, וכן יכולים להוות שלב מקדים בביצוע מבדק חדירה, אולם אינם יכולים להחליף את הצורך בגורם אנושי מקצועי. יתרה מכך, התוצרים של כלים אוטומטיים אלו בוודאי שאינם מספקים את דרישות הרגולציה והלקוחות. ועל כן מומלץ בכל מקרה להתייעץ עם גורם מקצועי רלוונטי על מנת להבין בדיוק מהו המבדק המתאים ביותר עבורך.

 

הנכם מוזמנים לפנות אלינו על מנת לתאם פגישה עם אחד מיועצי האבטחה המקצועיים שלנו המתמחים בביצוע מבדקי חדירה, לצורך אבחון ראשוני והתאמת הצעה המספקת מענה מדויק וממוקד. השאירו פרטים כאן או התקשרו ל- 03-7176020

Gilad Bary

Gilad Bary

לכל המאמרים של