בדיקות חדירה בתחום אבטחת מידע


בדיקות חדירה בתחום אבטחת המידע (באנגלית נקרא Penetration test , או בקיצור Pentest) היא ההגדרה של מתקפה מתוכננת ומבוקרת על מערכות מיחשוב, רשתות אירגוניות ויישומי אינטרנט של אירגון או חברה הנעשית על ידי בודק מקצועי ("האקר", pen-tester) במטרה למצוא פירצות אבטחה, לבדוק מהו פוטנציאל הגישה לפירצות אלו, כיצד ניתן להשתמש במידע הפרוץ וכדומה. בדיקות חדירה מדמה מצב מציאותי של תרחישי התקפה בהם יכול גורם עוין לעקוף את מערך האבטחה ברשת האירגונית ולנצל זאת לטובת פגיעה באירגון, בין אם מדובר בפגיעה במוניטין, פגיעה כלכלית וכדומה.

אירגונים מסוגים שונים מחזיקים במערכות המיחשוב שלהם מידע רגיש ואישי, החל מכתובת הלקוח, דרך פרטי אמצעי התשלום ועד למצב הבריאותי, ומתוקף כך, הופכים למטרה עבור האקרים. האקרים, המכונים גם פושעי סייבר, מחפשים פירצות אבטחה באופן קבוע ולכן אירגונים צריכים לשכלל ולהקשיח את יכולות האבטחה שלהם ללא הרף.

לכל אירגון קיימות מספר נקודות כניסה לרשתות האירגוניות שלו (הנקראות גם טרמינלים) אשר מספרן גדל באופן עיקבי בשל השימוש הנרחב בטכנולוגיות מתפתחות. לכן, כל גורם עוין שינסה לפגוע במידע הרגיש של הארגון ייאתר קודם כל את הפירצה הפתוחה הרחבה ביותר ברשת ה- IT דרך אחת מנקודות אלה.



כיצד מבצעות בדיקות חדירה

במסגרת מבדקי חדירה נעשה שימוש בטכניקות וכלים רבים המאפשרים לאנשי אבטחת המידע חופש פעולה נרחב. במהלך הבדיקות מפעילים כלים המסוגלים לדמות מצבי תקיפה ומנסים לאתר חולשות ברמות השונות, חוסר בעדכוני אבטחה מותקנים, הרשאות גישה חלשות, מכשירי IOT פגיעים, סיסמאות קלות לניחוש וכו'.


סוגי בדיקות חדירה

קיימים שלושה סוגי מבדקים של בדיקות חדירה: Black Box, White Box, Gray Box.

סוג הבדיקה מתבצע על פי אופי האירגון והסביבה העיסקית שלו.

Black Box בדיקה חיצונית

בדיקה זאת היא בדר"כ בדיקה חיצונית. בהגדרתה היא מתחילה כבדיקה חיצונית ובמידה והבודק מצליח לחדור פנימה, היא יכולה להמשיך פנימה גם אל תוך האירגון (כמובן שהכול תלוי במטרת הבדיקה ומהו הגבול המוגדר מראש כיעד ובנקודה זאת ניתן לעצור). בדיקה זו מתבססת על סמך העובדה שהבודק אינו מקבל מידע מקדים על האירגון או על המערכות הקיימות בארגון, מצב המדמה מציאות בה מטרתו של ההאקר היא לפרוץ לאירגון כאשר אין לו שייכות אליו ואין לו מידע פנימי. בדיקה זו בדרך כלל תארך זמן ארוך יותר מכיוון שחלק גדול מהבדיקה הינו איסוף מידע. יש לקחת בחשבון כי בדיקה זו לא תכסה את כל המערכות “והשטחים” הקיימים באירגון.

White Box בדיקה פנימית

בדיקה זאת מוגדרת בדרך כלל כבדיקה פנימית. במהלכה הבודק מקבל את המידע המלא אודות האירגון וכן מידע כגון פרטי מערכות המידע ומערכות ההגנה, וזאת בכדי לאפשר לו בדיקה מקיפה ופרטנית ככל האפשר במטרה למצוא כמה שיותר פירצות וחולשות במערכת. לבודק ניתנת מראש גישה מלאה לרשת ואין לו צורך להיכנס אליה בצורות עקיפות ופולשניות. הבדיקה יכולה לדמות מצב של תוקף מתוך הארגון (לדוגמה עובד מתוסכל שרוצה לנקום) שמשאבי הרשת והחברה נגישים לו. בדיקה זו בדרך כלל מאפשרת ניצול מירבי של הזמן ומאפשרת כיסוי נרחב יותר אפשרויות הפגיעה באירגון אולם אינה מדמה מצב ריאלי של תוקף שלא שייך לארגון.

Gray Box בדיקה משולבת

הבדיקה השלישית מסוגה היא בדיקה שבה הבודק מקבל מידע מצומצם ביותר אודות האירגון ומערכות המידע. בחלק מהבדיקות מסוג זה ניתנת לבודק גישה מוגבלת לרשת האירגונית והבדיקה יכולה להתבצע מחוץ לאירגון או מתוכו, תלוי בחוזה העבודה שסוכם מראש, בו גם הוגדר מה כמות המידע שהבודק יקבל.


מתי מומלץ לבצע בדיקות חדירה

• בזמן הקמת תשתיות המיחשוב של אירגון

• כאשר אירגון מחליף את מערכות המיחשוב/תוכנות/אפליקציות/אתרי אינטרנט

• לאחר אירוע סייבר/אבטחת מידע

• כאשר יש חשש לאבטחת המידע באירגון

• במצב בו אירגון מחזיק מידע רגיש במאגרי הידע שלו: פרטי תשלום, מספרי תעודות זהות, פרטים רפואיים מסווגים וכדומה

דגשים לגבי בדיקות חדירה

גם בתחום מבדקי החדירות קיימים מבדקי חדירה "סטנדרטיים" וקבועים הכוללים בדיקות שגרתיות של נקודות תורפה אפשריות. חשוב לקחת בחשבון את גורמי הסיכון הספציפיים הסובבים את האירגון ולהתייחס לסביבה העיסקית בה האירגון פועל ואם יש צורך יש להרחיב את היקף הבדיקה.





טיפים לביצוע בדיקות חדירה

  • סיום הבדיקה לאחר חשיפת נקודת התורפה הראשונה – פעמים רבות בדיקות חדירה מסתיימות לאחר חשיפת נקודת תורפה אחת. במצב זה ההמלצה היא להמשיך ולבדוק פירצות אבטחה ונקודות חולשה נוספות רבות ככל האפשר. חשוב לוודא מראש כי איש אבטחת המידע אינו מפסיק את הבדיקה באמצע התהליך אלא משלים אותה ומנסה לאתר פרצות נוספות במערכת. לאחר השלמת התיקונים חשוב לבצע בדיקות חוזרות כדי לוודא שנקודות התורפה תוקנו ולא נוצרו בעיות חדשות כתוצאה מהתיקון.

  • וודאו כי דירוג חומרת הסיכון מוסכם על שני הצדדים (לקוח הקצה והבודק) - ייתכן מצב בו הדו"ח המסכם יהיה בעל תוצאות נמוכות או גבוהות מדי של רמת הסיכון.על מנת לוודא את מידת הדיוק של דירוג חומרת המצב חשוב לבדוק בצורה ניטרלית כיצד מוערך האיום ובאילו קריטריונים מקצועיים הוא מוגדר: כגון הסבירות של הצלחת תקיפה, הסיכון שנוצר על ידי נקודת התורפה ומידת ההשפעה של תקיפה כזו על הארגון.

  • הימנעו מפירסום תוצאות הבדיקה- כבר קרה שתוצאות בדיקות החדירה התפרסמו כחומר שיווקי מטעם החברה המבצעת. דוחות כאלה מעוררים עניין בקרב לקוחות פוטנציאליים וקולגות מהתחום אך עלולים לפגוע בדימוי החברה שבה בוצעו בדיקות החדירה ולחשוף אותה לסכנות. לכן חשוב לוודא עם החברה המבצעת כי הנתונים לא יפורסמו אלא אם כן ניתן אישור מהלקוח.

לסיכום,

אין ספק כי פגיעה במאגר המידע של כל אירגון מהווה נזק תדמיתי וכלכלי חמור. אל תחכו לאירוע אבטחת מידע ותקיפה של האירגון שלכם. מאגרי המידע הנמצאים ברשת של חברה (או בענן) צריכים להיבדק על בסיס קבוע תוך שימוש בתרחישים אמיתיים ומציאותיים, המחקים את פעולותיו של תוקף חיצוני ופנימי. פעלו היום בכדי למנוע את הנזק של מחר.


אודיט בקרה וביקורת מעמידה לשירותכם את הידע, המקצועיות והניסיון הרב שצברה בכדי לסייע גם לאירגון שלכם לעמוד בחוקי אבטחת המידע ובכדי לשמור על המידע בארגונכם. נשמח לעמוד לרשותכם בכל שאלה והבהרה בנושא.




ליצירת קשר והשארת פרטים

מדריכים מומלצים

שירותי החברה

אודות

אודיט,  בית אשרא, דרך מנחם בגין 65 ת"א | טלפון: 03-5616303 | פקס: 03-5616304 | מייל: info@audit-fa.co.il
ליצירת קשר מהירה שילחו הודעה בוואטסאפ