03-9450630
דף הבית > מידע מקצועי > Penetration Test בדיקת חדירה

Penetration Test בדיקת חדירה

השאירו פרטים כאן לקבלת מידע טלפוני אודות בדיקת Penetration Test או התקשרו ל- 03-9450630

 

בדקו האם המערכת שלכם מוגנת:

בשנים האחרונות, חלה עליה חדה במתקפות הסייבר נגד עסקים. אם בעבר אתגרים אלו היו נחלתם של ארגונים גדולים ותאגידים בינלאומיים בלבד, הרי שהיום מכוונים רבים מההאקרים את מתקפותיהם דווקא נגד העסקים הקטנים והבינוניים, בעלי המשאבים המוגבלים יותר והמערכות הפגיעות.

צוות המומחים של Hermeticon מכיל האקרים "כובע לבן" בעלי ניסיון ויכולות פריצה לרשתות מחשוב מהמוגנות והמתקדמות ביותר בשוק.

בנוסף, אנו מעניקים שירות CISO as a service המותאם לכם באופן אישי וייחודי לפעילות הארגון והמשאבים העומדים לרשותכם לעמידה בדרישות אבטחת המידע והגנת הפרטיות החלות על הארגון, תוך שמירה על רמת מוכנות והגנה גבוהה מפני איומים מבית ומבחוץ.

 

Penetration Test – Done Right:

בדיקות חדירה Penetration Test (בדיקות חדירות/מבדקי חוסן) הינם למעשה בדיקות שנועדו לדמות תקיפה חיצונית ו/או פנימית על מערכות המחשוב של הארגון, במטרה לאתגר את מערכי האבטחה בארגון ולאתר פרצות אבטחה וסיכונים פוטנציאליים.

בדיקות החדירה מבוצעים על ידי האקרים מקצועיים מטעם Hermeticon, שהינם למעשה האקרים "כובע לבן" – מומחים בעלי כישורי פריצה והיכרות מעמיקה עם רשתות מחשוב, העושים שימוש בידע הנרחב שלהם למטרות חיוביות – שיפור האבטחה של מערכות ומוצרי המחשוב בארגון.

במהלך בדיקת החדירה, מבוצעים ניסיונות חדירה למערכת באמצעות כלים ומתודות המתאימים לאופי הטכנולוגיות של הלקוח וזאת במטרה לבחון מהן פרצות האבטחה המסכנות את המערכת.

 

WHITE BOX גישת White Box:

בגישה זו, מתבצעת הבדיקה בדרך כלל כבדיקה פנימית, כאשר הגורם המבצע מקבל את מלוא המידע אודות הארגון ופרטי מערכות המידע ומערכות ההגנה עוד טרם ביצוע הבדיקה בכדי לאפשר לו בדיקה מקיפה ופרטנית ככל האפשר במטרה למצוא כמה שיותר פגיעויות.

לבודק ניתנת גישה מלאה לרשת ואין לו צורך לסלול את דרכו אליה. הבדיקה יכולה לדמות מצב של תוקף מתוך הארגון שכבר נגיש לרשת ולמשאבי החברה.

בדיקה זו בדרך כלל מאפשרת ניצול מירבי של הזמן ומאפשרת כיסוי נרחב יותר של תחום הארגון אולם אינה מדמה מצב מציאותי של תוקף שלא שייך לארגון.

בתחום התוכנה משמעות הבדיקה היא שהגורם המבצע מקבל את כל קוד המקור של התוכנה כולל איפיון ומידע מפורט בכדי למצוא פגיעויות בקוד ובמנגנוני התוכנה הנראים מצד הפיתוח.

 

BLACK BOX גישת Black Box:

בדיקה זאת מתבצעת בדרך כלל כבדיקה חיצונית, כאשר לגורם המבצע אין כל ידע מקדים אודות המערכת והתשתיות הקיימות בארגון. במידה והגורם המבצע מצליח לחדור פנימה, הבדיקה תימשך גם לפנים מערכות הארגון, בהתאם למטרת הבדיקה והגדרת גבול לעצירת הבדיקה.

בדיקה זו מדמה מצב שבו “האקר” מעוניין לפרוץ למערכות ותשתיות הארגון כאשר אין לו שייכות לארגון כלל.

לבדיקה זו ישנן חסרונות, ראשית בדיקה זו בדרך כלל נמשכת זמן רב היות וחלק גדול מהבדיקה הינו איסוף מידע. חיסרון נוסף הינו שבדיקה זו לא תכסה את כל המערכות “והשטחים” הקיימים בארגון.

בבדיקות תוכנה ובבדיקות Web Application מסוג Black Box משמעותן בדיקות אפליקציה כאשר אין לגורם המבצע מידע מקדים על האפליקציה, גישה לקוד התוכנה או לאפיון שלה לצורך מציאת פגיעויות בקוד עצמו.

 

GRAY BOX גישת Gray Box:

במרבית המקרים ובעיקר אצל לקוחות שאינם מחזיקים במידע רגיש, תבוצע בדיקה בגישת ביניים – Graybox.

בבדיקה זו הגורם המבצע מקבל מהחברה גישה ומידע מצומצמים ומוגבלים אודות המערכת והתשתיות, ומנסה לאתגר את המערכת והתשתיות על בסיס מידע זה, הן פנימית והן חיצונית.

בחלק מהמקרים אף ניתנת גישה מוגבלת לרשת הארגונית והבדיקה יכולה להתבצע מחוץ או מתוך הארגון, תלוי לפי החלטת הארגון.

בתחום התוכנה הגורם המבצע יקבל מידע מצומצם אודות התוכנה, לעיתים יקבל מידע מצומצם אודות קוד התוכנה בכדי למצוא פגיעויות גם על ידי קריאת הקוד וגם על ידי מבדק “חיצוני”.

ניתן לחלק את הבדיקות לפי: בדיקה חיצונית, בדיקה פנימית, בדיקה משולבת.

אם יידרש ובהתאם לניתן על פי החוק, המבדק יבחן גם את מערכת הענן שבבעלות הלקוח.

איך תדעו איזו גישה היא המתאימה ביותר לארגונכם?

בכדי לאתר את הגישה המתאימה ביותר לארגונכם, יש לאפיין את סוג המערכת הנבדקת והאופן בו המשתמשים עושים בו שימוש.

בשלב זה, כדאי ליצור קשר עם מומחה, אשר יגדיר את החסרונות והיתרונות בכל גישה ויציע את המתודולוגיה המתאימה ביותר לביצוע המבדק, ההיקף הנדרש והמערכות הנבדקות.

לאחר המבדק, הלקוח מקבל למעשה דוח מסודר ובו סקירה של ממצאי המבדק והפעולות המומלצות לתיקון החשיפה הקיימת, ולאחר ביצוע, התייחסות מסודרת לפעולות התקנות שבוצעו בעקבות המבדק.

 

הגורמים הגוברים לדרישה לבדיקות חדירה בשנים האחרונות:

  • ריבוי מתקפות אונליין ואירועי אבטחה המובילים לדלף, גניבה ואובדן מידע;
  • המודעות ההולכת וגוברת של צרכנים ולקוחות לנושא – כך לדוגמא חברות רבות דורשות היום ממערכות וספקים שלהם לבצע בדיקות חדירה תקופתיים על מנת לוודא כי המערכות המסופקות להם תקינות ובטוחות;
  • דרישות רגולציה ותקינה, כגון: תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, תקני ISO, רגולציית הגנת הפרטיות וכו' דורשות במקרים מסוימים ביצוע של מבדקי חדירה תקופתיים;
  • ניהול סיכונים והקטנת החשיפה – המידע המוחזק בכל ארגון הינו אחד המשאבים המרכזיים והחשובים לפעילותו, ועל כן ארגון אחראי ירצה לצמצם ככל האפשר את האפשרות לגניבה ו/או אובדן של מידע.

 

מדוע חשוב לבצע את בדיקות החדירה הראשון ע"י האקר כובע לבן ולא באמצעות בדיקת חדירה אוטומטי Vulnerability Scanning?

ברוב המקרים, המבדק הראשון מתבצע על ידי האקר שתוקף ובודק היטב את המערכת ואת חולשותיה, בכדי למצוא את מירב הפרצות ובכדי להעביר דו"ח מפורט לארגון לצורך תיקונם.

למרות שזיהוי חולשות מערכת, ניתנים היום לאיתור בעזרת כלים אוטומטיים המוצגים לעיתים כ"בדיקת חדירה". חיוני לציין, כי כלים אוטומטיים אלו, אינם יעילים באיתור פרצות המערכת, כאשר מדובר בגורם אנושי המנסה לפרוץ ואינם מחליפים בדיקות חדירות המבוצעים על ידי מומחי פריצה אנושיים.

בכדי לספק לארגון שלכם את הכלים הטובים ביותר לביצוע הבדיקות, ניתוח תוצאותיהן, ביצוע התיקונים הנדרשים והפיקוח על ביצוע השינויים – פנו עוד היום למומחים המקצועיים שלנו ותקבלו מענה המותאם במידותיו לצרכי הארגון.

הנכם מוזמנים לפנות אלינו על מנת לתאם פגישה עם אחד מיועצי האבטחה המקצועיים שלנו המתמחים בביצוע בדיקות חדירה, לצורך אבחון ראשוני והתאמת הצעה המספקת מענה מדויק וממוקד. השאירו פרטים כאן או התקשרו ל- 03-7176281

Karin

Karin

לכל המאמרים של
טופס תחתון

מעוניינים להתייעץ עם מומחה בתחום אבטחת מידע?

Fill in your information or contact us and we'll be happy to be at your service!

  • טלפון

    03-9450630

  • Mordechai Rozanski 18
    Rishon Lezion

  • Sun - Thu
    08:00-17:00