Penetration Test | מבדק חדירה – מבדק חוסן

השאירו פרטים כאן לקבלת מידע טלפוני אודות מבדק Penetration Test או התקשרו ל- 03-7176281

 

אנו ב-Hermeticon מציעים שירות שיותאם לכם באופן אישי וייחודו של הארגון שלכם באופן מודולארי המתאים את עצמו לצרכים המדויקים שלכם.

צוות המומחים של Hermeticon מכיל האקרים "כובע לבן" המבצעים את המבדקים הללו. ההאקרים בעלי ניסיון ויכולות פריצה לרשתות מחשוב מהמוגנות והמתקדמות ביותר בשוק.

אנו מספקים ללקוחותינו שירות יעיל ומקצועי לעמידה בדרישות אבטחת המידע והגנת הפרטיות החלות על הארגון, תוך שמירה על רמת מוכנות והגנה גבוהה מפני איומים מבית ומבחוץ.

שירות ה -360° כולל מומחים מדיסציפלינות שונות תחת אותה מעטפת שירות חודשית של ממונה אבטחת מידע.

 

מהם מבדקי חדירה (PT)?

מבדקי חדירה Penetration Test (מבדקי חדירות/מבדקי חוסן) הינם למעשה מבדקים שנועדו לדמות תקיפה חיצונית ו/או פנימית על מערכות המחשוב של הארגון, במטרה לאתגר את מערכי האבטחה בארגון, ולאתר פרצות אבטחה וסיכונים פוטנציאליים.

את מבדק החדירה, מבצעים גורמים מקצועיים מטעם Hermeticon שהינם למעשה האקר "כובע לבן" – אדם בעל כישורי פריצה והיכרות מעמיקה עם רשתות מחשוב העושה שימוש בידע הנרחב שלו למטרות חיוביות – שיפור האבטחה של לקוחותינו.

בהתאם למסגרת המבדק שסוכמה, מבוצעים ניסיונות חדירה למערכת באמצעות כלים ומתודות המתאימים לאופי הטכנולוגיה של הלקוח, וזאת במטרה לבחון מהן פרצות האבטחה המסכנות את המערכת.

 

מתי תחויבו לבצע את המבדק?

Penetration Test יכול להתבצע הן ברמת התשתית – תשתית המחשוב הארגונית, והן ברמה האפליקטיבית – בהתייחס למערכת / מוצר של הלקוח.

כמו כן, מבדק החדירה מתייחס הן לסיכונים פנימיים שמקורם בהגדרות הפנימיות של המערכת, עובדי החברה, הרשאות הגישה וכו', והן לסיכונים חיצוניים – גורמים המבקשים לחדור מבחוץ אל מערכות החברה. במידת הנדרש, המבדק אף מתייחס למערכות ענן בבעלות הלקוח, בהתאם לניתן ולמותר לפי דין.

מבדקי חדירות יכולים להיות מבוצעים במגוון של צורות וגישות שונות המתייחסות לידע המקדים ולגישה שיש לגורם המבצע על המערכת לפני ביצוע הבדיקה.

 

גישת White Box:

בגישה זו, מתבצעת הבדיקה בדרך כלל כבדיקה פנימית, כאשר הגורם המבצע מקבל את מלוא המידע אודות הארגון ופרטי מערכות המידע ומערכות ההגנה עוד טרם ביצוע הבדיקה בכדי לאפשר לו בדיקה מקיפה ופרטנית ככל האפשר במטרה למצוא כמה שיותר פגיעויות.

לבודק ניתנת גישה מלאה לרשת ואין לו צורך לסלול את דרכו אליה. הבדיקה יכולה לדמות מצב של תוקף מתוך הארגון שכבר נגיש לרשת ולמשאבי החברה.

בדיקה זו בדרך כלל מאפשרת ניצול מירבי של הזמן ומאפשרת כיסוי נרחב יותר של תחום הארגון אולם אינה מדמה מצב מציאותי של תוקף שלא שייך לארגון.

בתחום התוכנה משמעות הבדיקה היא שהגורם המבצע מקבל את כל קוד המקור של התוכנה כולל איפיון ומידע מפורט בכדי למצוא פגיעויות בקוד ובמנגנוני התוכנה הנראים מצד הפיתוח.

 

גישת Black Box:

בדיקה זאת מתבצעת בדרך כלל כבדיקה חיצונית, כאשר לגורם המבצע אין כל ידע מקדים אודות המערכת והתשתיות הקיימות בארגון. במידה והגורם המבצע מצליח לחדור פנימה, הבדיקה תימשך גם לפנים מערכות הארגון, בהתאם למטרת הבדיקה והגדרת גבול לעצירת הבדיקה.

בדיקה זו מדמה מצב שבו “האקר” מעוניין לפרוץ למערכות ותשתיות הארגון כאשר אין לו שייכות לארגון כלל.

לבדיקה זו ישנן חסרונות, ראשית בדיקה זו בדרך כלל נמשכת זמן רב היות וחלק גדול מהבדיקה הינו איסוף מידע. חיסרון נוסף הינו שבדיקה זו לא תכסה את כל המערכות “והשטחים” הקיימים בארגון.

בבדיקות תוכנה ובבדיקות Web Application מסוג Black Box משמעותן בדיקות אפליקציה כאשר אין לגורם המבצע מידע מקדים על האפליקציה, גישה לקוד התוכנה או לאפיון שלה לצורך מציאת פגיעויות בקוד עצמו.

 

גישת Gray Box:

במרבית המקרים, ובעיקר אצל לקוחות שאינם שייכים לתעשייה הביטחונית ו/או עוסקת במידע רגיש באופן מיוחד, תבוצע בדיקה בגישת ביניים – Graybox.

בבדיקה זו הגורם המבצע מקבל מהחברה גישה ומידע מצומצמים ומוגבלים אודות המערכת והתשתיות, ומנסה לאתגר את המערכת והתשתיות על בסיס מידע זה, הן פנימית והן חיצונית.

בחלק מהמקרים אף ניתנת גישה מוגבלת לרשת הארגונית והבדיקה יכולה להתבצע מחוץ או מתוך הארגון, תלוי לפי החלטת הארגון.

בתחום התוכנה הגורם המבצע יקבל מידע מצומצם אודות התוכנה, לעיתים יקבל מידע מצומצם אודות קוד התוכנה בכדי למצוא פגיעויות גם על ידי קריאת הקוד וגם על ידי מבדק “חיצוני”.

ניתן לחלק את הבדיקות לפי: בדיקה חיצונית, בדיקה פנימית, בדיקה משולבת.

אם יידרש ובהתאם לניתן על פי החוק, המבדק יבחן גם את מערכת הענן שבבעלות הלקוח.

 

איך תדעו איזו גישה היא המתאימה ביותר לארגונכם?

לאחר פגישה ראשונית והיכרות עם הלקוח ומערכותיו, מתקבלת החלטה מהי המתודלוגיה המתאימה ביותר לביצוע המבדק, ההיקף הנדרש, המערכות שיש לבחון וכו'.

לאחר המבדק, הלקוח מקבל למעשה דוח מסודר ובו סקירה של ממצאי המבדק והפעולות המומלצות לתיקון החשיפה הקיימת, ולאחר ביצוע, התייחסות מסודרת לפעולות התקנות שבוצעו בעקבות המבדק.

בסיום המבדק תקבלו דו"ח מפורט ובו סקירת הממצאים וחולשות המערכת וכן את הפעולות הנדרשות לתיקון רמת חומרתן.

 

הגורמים הגוברים לדרישה למבדקי חדירה בשנים האחרונות:

  • ריבוי מתקפות אונליין ואירועי אבטחה המובילים לדלף, גניבה ואובדן מידע;
  • המודעות ההולכת וגוברת של צרכנים ולקוחות לנושא – כך לדוגמא חברות רבות דורשות היום ממערכות וספקים שלהם לבצע מבדקי חדירה תקופתיים על מנת לוודא כי המערכות המסופקות להם תקינות ובטוחות;
  • דרישות רגולציה ותקינה, כגון: תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, תקני ISO, רגולציית הגנת הפרטיות וכו' דורשות במקרים מסוימים ביצוע של מבדקי חדירה תקופתיים;
  • ניהול סיכונים והקטנת החשיפה – המידע המוחזק בכל ארגון הינו אחד המשאבים המרכזיים והחשובים לפעילותו, ועל כן ארגון אחראי ירצה לצמצם ככל האפשר את האפשרות לגניבה ו/או אובדן של מידע.

 

מדוע חשוב לבצע את מבדק החדירה הראשון ע"י האקר כובע לבן ולא באמצעות מבדק חדירה אוטומטי Vulnerability Scanning?

זיהוי חולשות מערכת, דימוי תקיפות, איתור עדכוני אבטחה שלא בוצעו, פרוטוקולים שלא הוצפנו ועוד, ניתנים היום לאיתור בעזרת כלים אוטומטיים המוצגים לעיתים כ"מבדק חדירה".

חיוני לציין כי כלים ממחושבים אלו יעילים רק ככלי עזר בביצוע מבדק מלא המבוצע על ידי מומחי פריצה אנושיים.

כלים אלו מסייעים בניטור שוטף, אך אינם מחליפים את שיקול הדעת הנדרש באיתור נתיבי הפריצה וחולשות המערכת הנסתרות מעיני המכונה.

בנוסף, תוצאות הבדיקות הממוחשבות אינן בהכרח עומדות בדרישות הרגולציה ובעלי העניין.

המבדק הראשון צריך להתבצע על ידי האקר שתוקף ובודק היטב את המערכת ואת חולשותיה, בכדי למצוא את מיקב הליקויים ולתקנם.

בכדי לספק לארגון שלכם את הכלים הטובים ביותר לביצוע הבדיקות, ניתוח תוצאותיהן, ביצוע התיקונים הנדרשים והפיקוח על ביצוע השינויים – פנו עוד היום למומחים המקצועיים שלנו ותקבלו מענה המותאם במידותיו לצרכי הארגון.

הנכם מוזמנים לפנות אלינו על מנת לתאם פגישה עם אחד מיועצי האבטחה המקצועיים שלנו המתמחים בביצוע מבדקי חדירה, לצורך אבחון ראשוני והתאמת הצעה המספקת מענה מדויק וממוקד. השאירו פרטים כאן או התקשרו ל- 03-7176281

יתרונות לביצוע התהליך עם HermetiCon:

ליווי ע"י מיטב המומחים בתחום

מיטב המומחים מהתחום יספקו עבורכם מענה מקיף ברמה הרגולטורית, הטכנית והמשפטית.

פתרונות בשלל תחומי אבטחת מידע וסייבר

אנו יודעים לספק את הפתרונות הטכנולוגיים המיטביים והנכונים ביותר לארגונכם.

ליווי ע"י חטיבת מבדקי חוסן

חטיבת מבדקי החוסן מונה מומחים לתקיפה המבוססת על ניסיון והיכרות עם מערכות ההגנה המתקדמות בשוק.

שירות מותאם לגודל הארגון וצרכיו

לאורך השנים צברנו ניסיון רב, אנו מסוגלים לספק מבט על אבטחת המידע בארגון שלוקח את כל החולשות הקיימות בארגון ולהעלות אותן למודעות ההנהלה.
טופס תחתון

מעוניינים להתייעץ עם מומחה בתחום אבטחת מידע?

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00