יצירת קשר
Call
Call
Mail

בדיקות חדירות – מבדקי חוסן לתשתיות, אתרים ואפליקציות

בדיקות חדירות מדמות תרחישים של תקיפת מערכות החברה על ידי גורמים זדוניים, במטרה לזהות את נקודות החולשה המאפשרות חדירה למערכות המידע ולסייע לאנשי המחשוב של החברה לפעול לסגירתן.

תקיפות סייבר של חברות על ידי גורמים זדוניים מתבצעות בשתי דרכים עיקריות:
תקיפה אקראית – כמו פורצים בעולם הפיזי, האקרים מגיעים “לשכונה” ומחפשים את הדירה שנראית הכי קלה לפריצה, זה שאין בו סורגים, מערכת אזעקה ודלת מאובטחת.
תקיפה ממוקדת – בתקיפת סייבר כזאת ההאקרים מסמנים חברה ספציפית, אליה הם רוצים לחדור, באופן דומה לפורצים שלנו שגילו שיש בשכונה דירה ובה כספת המכילה תכשיטים. מידע מקדים זה מצדיק מבחינת הפורצים מאמץ רב יותר, גם אם אותה דירה מוגנת באופן יחסי.

לאור הדוגמאות האלו ברור מדוע גם עסקים קטנים ובינוניים הפכו בשנים האחרונות לקורבנות יותר ויותר נוחים לפעילות של האקרים, ולכן אינם יכולים לאפשר לעצמם להישאר מאחור בכל הנוגע לאבטחת מידע. בדיקות חדירות הן אחד הצעדים הבסיסיים והקריטיים להגברת חוסן העמידות של חברה בפני מתקפת סייבר.
בכדי שהאקר יחדור לבנק, אלא אם הבנק התרשל באופן משמעותי בטיפול בהגנת הסייבר שלו, נדרשים מאמצים רבים וזמן רב. בשביל לבצע חדירה לעסק קטן או חברה בינונית, לצערנו לא פעם מסתבר שההאקר רק היה צריך להניע את ידית הדלת כלפי מטה והדלת למערכות המידע של החברה נפתחה לרווחה.

בדיקות חדירה וחוסן – סוגים

בדיקת חדירה אוטומטית – בדיקות אלו דומות לאותם פורצים המגיעים לשכונה וסורקים אותה, בחיפוש אחר דירה שקל לפרוץ אליה. סריקות אלו מזהות חולשות מוכרות וידועות שיאפשרו לחדור למערכות המחשוב של החברה בקלות יחסית. מטבע הדברים, מבדקים אלו אינם מספקים מענה מספק לחשיפות ולסיכונים בפניהם החברה ניצבת.
בדיקת חדירה ידנית –
מבדקים המבוצעים על ידי צוות “האקרים אתיים”, במטרה לזהות חשיפות וחולשות באופן מעמיק ויסודי.

על אילו מערכות מתבצעת בדיקת חדירות?

בדיקות חדירות מתבצעות על גבי מערכות המידע המהוות את התשתית הארגונית והעסקית של החברה. אלו יכולות לכלול – שרתים, מערכות ענן, אתר אינטרנט, אפליקציה סלולרית וכיו”ב. במסגרת בדיקות החדירות יוצאו לפועל תרחישי תקיפת סייבר מחוץ לארגון ומתוכו.

בדיקת חדירות פנימית – לאילו מאגרי מידע או סודות מסחריים יכול להגיע אדם בעל כוונות זדוניות, עם ההרשאות הבסיסיות ביותר, בעת התחברות פיזית לרשת הפנימית. אדם שכזה יכול להיות אורח שהגיע לביקור, טכנאי מיזוג אויר או עובד בחברה שבכוונתו להזיק לה בנסיבות כאלה ואחרות.
בדיקות חדירות חיצונית  – במבדקים אלו תבחן האפשרות של גורם חיצוני לפרוץ למערכות החברה ומאגרי המידע שלה, תוך עקיפת מערכות הגנת הסייבר של החברה.

בדיקת חדירה – חובה או רשות?

מנקודת מבטנו כמי שרואים את הנזקים האדירים שיכולים להיגרם לחברה ולעסק קטן מתקיפה בסיסית ולא מתוחכמת, ברור שהתשובה היא שביצוע בדיקת חדירה אחת לתקופה היא קריטית לא פחות מכל פעולה אחרת שהחברה נוקטת כדי להגן על נכסיה. עד מאי 2018 רוב החברות והעסקים בישראל יכלו להחליט באופן עצמאי האם לבצע בדיקות חדירות, אך החל מכניסתן לתוקף של תקנות הגנת הפרטיות של רשות הגנת הפרטיות במשרד המשפטים, כל עסק או חברה המחזיקים במאגר מידע בעל מאפיינים שונים (מספר רשומות, מספר מורשי גישה, רמת הרגישות של המידע וכד’), מחוייב בביצוע בדיקות חדירות אחת לתקופה.

יש לכם שאלות על בדיקת חדירות? מעוניינים לקבל מאיתנו הצעה למבדקי חוסן?
צרו עמנו קשר

 

מונחים הקשורים לבדיקות חדירות:

Black-Box Pen-test, Grey Box Penetration Testing, Pen-Test, Penetration Test

יצירת קשר

כתובתנו: אפעל 6, פתח תקוה
טלפון: 03-6259892