מבדקי חדירה- Penetration Test הם מבדקים שמטרתם היא לדמות תקיפה חיצונית או תקיפה פנימית על מערכות המחשוב של הארגון, כאשר המטרה העומדת על הפרק היא לאתגר את מערכי האבטחה בארגון, לאתר פרצות שונות שעלולות לסכן את הארגון במקרה של תקיפה אמיתית וכן לאתר סיכונים פוטנציאלים שונים. מבדק חדירה רשאי לבצע גורם מוסמך ומקצועי שיש לו כישורי פריצה והכרות רחבת היקף עם רשתות מחשוב. גורם זה משתמש בידע המקצועי והנרחב שלו בתחום זה לצורך מטרות חיוביות כגון: שיפור האבטחה של הארגון בהתאם למבדק ומטרותיו שנקבעו מראש. במסגרת מבדק זה מתבצעים ניסיונות חדירה למערכת באמצעות כלים וכן מתודות אשר תואמים לאופי הטכנולוגיה של הארגון. כמובן שחשוב לבחור רק באנשי מקצוע אמינים ומקצועיים שניתן לסמוך עליהם כי יבצעו את המבדק המדובר בצורה הטובה ביותר, מבלי לפגוע באופן כלשהו בארגון.
מי צריך לבצע מבדק חדירות?
כל ארגון שהוא בעל מאגר שרמת האבטחה שלו גבוהה, צריך שיערכו מבדקי חדירה למערכות שלו וזאת בכדי לבחון את העמידות מפני סיכוני אבטחה שונים. המבדקים הללו צריכים להתבצע לפחות פעם אחת בשמונה עשר חודשים ולאחר ביצוע המבדק המדובר, על בעל המאגר לדון בתוצאות עם הבודק ובהתאם לכך לתקן את הליקויים שהתגלו במערכת במהלך הבדיקה. לא פעם יש לארגונים שונים כמה מאגרי מידע ועל כן, הם רשאים לקבוע במסמך אחד את כל מאגרי המידע שלהם ברמת אבטחה זהה וכן את רשימת מערכות המאגר לרבות התוכנות, תשתיות המערכת ועוד. בנוסף לכך גם ארגון מעין זה נדרש לבצע בדיקת חדירות וסקר סיכונים אחת לשמונה עשר חודשים ובהתאם לתוצאות הבדיקה לתקן את הליקויים השונים שהתגלו, במידה ואכן התגלו.
כיצד מבצעים את המבדק המדובר?
Penetration Test יכול להתבצע הן ברמה של תשתית המחשוב הארגונית והן ברמת התייחסות למוצר או למערכת של הלקוח. המבדק המדובר מתייחס לסיכונים פנימיים שהמקור שלהם הוא ההגדרות הפנימיות של המערכת, הרשאות גישה, עובדי חברה ועוד והן בסיכונים חיצוניים שהם למעשה גורמים חיצוניים שרוצים לחדור למערכת. המבדק מתייחס כמה שניתן גם למערכות ענן שבבעלות הלקוח. המבדקים המדוברים יכולים להתבצע בגישות וצורות שונות והכל בהתאם לידע המקצועי ולגישה של מבצע הבדיקה.
באיזה גישה ניתן לבצע את המבדקים?
הנה כמה גישות שבהם ניתן לבצע את המבדקים:
גישת White Box- בגישה המדוברת הבדיקה תתבצע לרוב בבדיקה פנימית. הגורם שמבצע את הבדיקה יקבל מראש את כל הפרטים על מערכות ההגנה ועל הפרטים של מערכות המידע. בהתאם לכך הוא יבצע בדיקה מקיפה מאוד ופרטנית כאשר מטרתה תהיה למצוא פגיעויות ברמה המרבית. הבודק הנבחר מקבל גישה מלאה לרשת. הבדיקה יכולה לדמות מצב של תוקף מתוך הארגון שהוא למעשה תוקף שנגיש למשאבים של הארגון ולרשת שלה.
גישה שניה היא גישת Black Box אשר במסגרתה מבוצעת בדירה חיצונית כאשר לגורם שמבצע את הבדיקה אין שום ידע על התשתיות והמערכת של ארגון. אם התוקף יצליח למרות שאין לו את הידע המדובר לחדור פנימה, הבדיקה תמשיך גם לתוך מערכות הארגון וזאת בהתאם למטרה שהוגדרה לבדיקה וכן הגדרת הגבול לעצירת הבדיקה. מדובר על בדיקה שמדמה מצב שבו האקר מנסה לפרוץ למערכות או לתשתיות של הארגון כאשר אין לו שום שייכות כלשהי לארגון.
גישה נוספת היא גישתGray Box . במרבית המקרים ובעיקר אצל לקוחות שאינם שייכים לתעשייה שעוסקת במידע רגיש כלשהו או לתעשייה הביטחונית, יבחרו בבדיקה זאת שהיא בדיקה בגישת ביניים. בבדיקה זאת מבצע הבדיקה יגבל מידע מוגבל אודות המערכת והתשתיות של הארגון ויבדוק את יכולת הפריצה למערכת ולתשתיות הן באופן פנימי והן באופן חיצוני.
הדבר החשוב ביותר הוא להתאים לכל ארגון את המבדק המתאימה לו ביותר, אשר תגלה בצורה המיטבית האם המערכת והתשתיות פגיעות באופן כלשהו ובהתאם לכך, הארגון ישפר ויתקן את הליקויים השונים שיתגלו בבדיקה. לצורך ביצוע המבדק יש לבחור באנשי המקצוע הטובים ביותר בתחום. חברת Hermeticon, תסייע לכם לבצע מבדקי חדירה בצורה הטובה ביותר, המותאמת לכל ארגון ברמה המיטבית.