סביבת המחשוב הארגוני מציבה אתגרים וסיכוני אבטחה רבים כגון: אירועי אבטחה, פריצות, גניבת מידע, מניעת שירות ועוד.
כל אלו יפגעו קשות בפעילותו השוטפת של הארגון ועלולים לגרום לו לאבדן הכנסות משמעותי, לנטישת לקוחות ופגיעה במוניטין ובשמו הטוב!
רוב הארגונים בימנו משמשים יעד של התקפות אקראיות ומכוונות, בכדי להבטיח שההגנה על המידע/ נכסים הקריטים של הארגון נאותה יש צורך ברמה איכותית של בדיקות חדירה.
בדיקת חדירה או מבחן Pen Test הם הנוהג של בדיקת מערכות מחשב, רשתות ארגונית ויישומי אינטרנט כדי למצוא נקודות תורפה שהתוקפים יכולים לנצל.
נכסי המידע הנמצאים ברשת של חברה צריכים להיבדק על בסיס קבוע תוך שימוש בתרחישים אמיתיים ומציאותיים , המחקים את פעולותיו של תוקף חיצוני ופנימי.
מספר נקודות הכניסה לרשתות ארגוניות גדל תמיד בשל השימוש הנרחב בטכנולוגיות מתפתחות. ולכן מי שינסה לפגוע במידע הרגיש של הארגון, לשכפל אותו, לשבשו או להשמידו, יחפש בדרך כלל את הדרך הקלה והנוחה, את הפרצה הפתוחה ברשת ה- IT , את האזור הפגיע ביותר, החלש והמועד לפריצה.
צוות המומחים ב CyberSafe יבדוק וידרג את הפגיעויות, כך שבסוף התהליך
הארגון יוכל לתכנן אסטרטגיה ולממשה בהתאם לסיכון ולתקציב שלו.
צרו איתנו קשר
לגבי מבדקי חדירה / חוסן
90% מהעסקים שנפרצים לא מצליחים להתאושש
אל תהיו הבאים בתור!
השאירו פרטים ונחזור אליכם
מבדקי חדירה Penetration Testing
שירותי סייבר במסגרת פרוייקט לבדיקת החולשות הקיימות לנכסים של העסק והארגון לרבות: אתרים, אפליקציות, תוכנות וכו'
- בדיקת התכנות של מתקפות מסוימות.
- הרכבת מתקפה חזקה מכמה חזיתות חלשות
- זיהוי חולשות שלא יחשפו על ידי כלים אוטומטיים כגון :(סורק חולשות באפליקציות /בתשתיות)
- זיהוי גודל הנזק העסקי והאופרטיבי שיגרם על ידי המתקפות .
- בדיקה של יכולות מערך ההגנה של המערכת המיועדת לתקיפה מבחינת זיהוי מתקפות ואופן הטיפול בהן.
- אספקת הוכחות לשיפור מערך האבטחה האנושי והטכנולוגי.
הפעלת כלים המסוגלים לדמות מצבי תקיפה ומנסים לאתר חולשות ברמות השונות, חוסר בעדכוני אבטחה מותקנים, הרשאות גישה חלשות, מכשירי IOT פגיעים וכו'.
ביצוע תקיפה ידנית המבוססת על מגוון כלים בה מבוצעת הדמיית תקיפה פרטנית על מנת לאתר חולשות ולממשן ברמת התקשורת והרשת הפנימית והחיצונית , על מנת להביא לידי מצב בו המערכת מאפשרת גישה בלתי מורשית למשאביה בכל אחת מהרמות: מערכות ההפעלה, בסיסי נתונים , רכיבי תקשורת ועוד.
- Networks Infrastructure
- Wireless Networks / Local Area Network
- Web Applications
- Mobile Applications
- Product Device
- Cloud Security
- IOT Penetration Testing
- המידע הארגוני שמור טוב יותר: שירות הערכת פגיעויות "מקדים תרופה למכה" ומצמצם את הסיכוי לנזקים כספיים, אובדן הכנסה, נטישת לקוחות ופגיעה במוניטין.
- צמצום זמן החשיפה לפגיעויות קיימות.
- שירות כתוצאה משינויים תכופים במערך ה- IT, אשר באים כדי לתמוך בתהליכים העסקיים של הארגון כאשר בה בעת, מוזנחת ההקפדה על נוהלי אבטחת המידע.
- ביצוע תדיר של בדיקות חדירות משפר בצורה ניכרת את רמת האבטחה של הארגון ומצמצם את חשיפתו לכשלי אבטחה הנובעים מפגיעויות שאינן מטופלות בזמן.
מבדק חדירות לאפליקציות היא תהליך מערכתי של הבחנה באבטחת האפליקציות. במהלך התהליך, מתבצע חדירה לתוך האפליקציה על מנת לזהות ולנצל חולשות באבטחה, לזמן פעולה ולערוך פגיעות במערכת. המטרה העיקרית היא לזהות את הפגיעות האפשריות ולספק המלצות להגברת האבטחה.
הבדיקת חדירות תתמקד:
- עקיפת שלבי האימות – נבדוק על ידי שיטות שונות אם יש דרכים לעקוף את שלב האימות והאם אפשרי לעקוף את ה MFA (במידה ויש).
- בקרת גישה – נוודא שכל פרמטר שזמין למשתמש לא יאפשר גישה לשירותים נוספים. כמו כן נוודא שאין למשתמשים גישה למקומות הדורשות הרשאות גבוהות יותר.
- השבתת יישום – נוודא שהאפליקציה פועלת כראוי גם כאשר היא מקבלת כמות גדולה של בקשות על ידי שימוש בכלי fuzzing, ונוודא שאין באפשרות תוקף לעשות איפוס או לנעול חשבונות.
- אימות משתמשים – נבדוק שאין אפשרות לעשות "brute force attack" ושנאכף איסור על שימוש תווים מיוחדים המאפשר זריקת קוד זדוני.
- אימות ניהול החיבור – נוודא שה session token מוגבל לפרק זמן מוגבל, ובאורך שאינו מאפשר ניחושים, ושהוא מבוטל לאחר השימוש בו.
- טיפול בשגיאות – נוודא שאין הודעות שגיאה שמאפשר לתוקפים לקבל ידע על האפליקציה ועל משתמשים אחרים.
- הגנת המידע והעברת מידע – נבדוק שאין מידע רגיש ב html שעלול לסייע לתוקף, ושהמידע מוגן היכן שצריך שלא מאפשר גישה למי שאין לו הרשאות מתאימות, נבדוק גם זליגת מידע רגיש לרשת האפילה.
- קונפיגורציה ניהול – נוודא שהאפליקציה לא תומך ביכולת לבצע מניפולציה של משאבים מהאינטרנט, ושגרסאות השרתים אינם נגישים למשתמש, והאם קיימות ספריות סודיות הניתן לגשת אליהן ממשתמשים רגילים.
- אימות קלט – נוודא שין אפשרות לבצע הזרקת קוד זדוני לשרת sql ושהמערכת לא פגיעה למתקפת xss.
בדיקת חדירה תשתיתי הינו תהליך בו מתבצעת התקפה מבדרת חיצונית על מערכת התשתית של ארגון כדי לזהות חולשות אבטחה ולמצוא אפשרויות חדירה פוטנציאליות. בעיקרון, ניתן לבצע בדיקת חדירה תשתיתי על רשתות מחשבים, שרתים, רכיבים תשתיות כמו מכשירי רשת (נתבים, מתגים), ציוד תקשורת וכדומה.
במהלך הבדיקה, צוות האבטחה מנסה לעקוף את ההגנות הקיימות ולזהות נקודות חולשה בתשתית המחשוב. הבדיקה כוללת
- סריקות רשת – בדיקה האם יש פורטים פתוחים שאינם אמורים להיות, ובדיקת מחשבי קצה פגיעים
- ניתוח התקשורת – האם התקשורת עוברת בצורה מאובטחת שאינה מאפשרת לתוקף לקבל ממנו מידע חיוני
- חיפוש חולשות במערכות הפעלה ובשרתים – חיפוש גרסאות פגיעות של סוגי התוכנות שרצים על המחשבים והשרתים, ובדיקת חולשות ידועות במחשבים פגיעים
- בדיקת התקפות דוא"ל – phishing
- תקיפות DDoS – נבדוק האם יש יכולות לבצע תקיפות שישביתו שרתים חיוניים
- בדיקת קונפיגורציה ה Active directory – נוודא שאין אפשרות להסלמת הרשאות ולקבלת גישה ל domain controller.
- חוזק סיסמאות – נבדוק האם לשרתים ומשתמשים יש סיסמאות חזקות ולא דיפולטיביות, האם יש גישה למקומות ללא סיסמא, האם אפשר לפרוץ את ה hash של הסיסמאות.
מטרת הבדיקה היא לזהות את החולשות בתשתית המחשוב ולספק מערך המלצות לשיפור האבטחה. על פי הממצאים, ניתן לתקן חולשות, לשדרג הגנות או להחליף רכיבים שאינם מאובטחים.
3 גישות נפוצות למבדקי חדירה
בדיקת חדירה, המכונה גם פריצה אתית, היא פרקטיקה חיונית באבטחת סייבר שמטרתה לזהות נקודות תורפה במערכת לפני שהאקרים זדוניים יכולים לנצל אותן. ישנן 3 גישות נפוצות לבדיקת חדירה והן: White Box, Black Box ו- Grey Box. כל שיטה מציעה יתרונות מובהקים והיא מותאמת לצרכי הערכת אבטחה שונים.
שיטות בדיקת חדירה של White Box, Black Box ו- Grey Box ממלאות כל אחת תפקיד חיוני בהערכה ובשיפור עמדת אבטחת הסייבר של ארגון. הבחירה בין גישות אלו תלויה בגורמים כמו רמת הגישה למערכת היעד, היקף ההערכה הרצוי והמטרות הספציפיות של יוזמת בדיקות האבטחה. אסטרטגיית אבטחת סייבר מעוגלת היטב משלבת לעתים קרובות שילוב של טכניקות אלו כדי לזהות ולטפל בפרצות באופן מקיף, ובסופו של דבר לשפר את אבטחת המערכת הכוללת.
בדיקת White Box, הנקראת גם בדיקת קופסה ברורה או בדיקה שקופה, כוללת ידע מקיף על הארכיטקטורה הפנימית של מערכת היעד וקוד המקור. זה דומה לגישה לשרטוט של המערכת. תכונות עיקריות של בדיקות White Box כוללות:
- חשיפה מלאה – לבודקים יש גישה למידע מפורט על מערכת היעד, כולל קוד מקור, דיאגרמות רשת והגדרות תצורה.
- ניתוח מעמיק – בודקים יכולים לבצע בדיקה יסודית של התכנון והלוגיקה של המערכת, ולזהות נקודות תורפה מהיסוד.
- סימולציה מציאותית – בדיקת White Box מדמה לעתים קרובות כיצד גורם פנימי או תוקף בעל ידע עשוי לנצל חולשות.
בדיקת White Box היא אידיאלית להערכת האבטחה של יישומים או מערכות קריטיות שבהן ניתוח מעמיק חיוני כדי להפחית סיכונים באופן מקיף.
בדיקת קופסה שחורה, הידועה גם בשם בדיקת קופסה סגורה, מדמה את נקודת המבט של התוקף ללא ידע מוקדם על החלק הפנימי של מערכת היעד. בודקים ניגשים לזה כאילו אין להם מידע פנימי, תוך הסתמכות על תצפיות והתנהגויות חיצוניות. המאפיינים העיקריים של בדיקות Black Box כוללים:
- אין ידע קודם – הבודקים מתחילים עם ידע מינימלי או ללא ידע על מערכת היעד, בדומה לאופן שבו תוקף חיצוני היה ניגש אליה.
- הערכה ריאלית – היא מספקת תצוגה חסרת פניות של מצב האבטחה של המערכת, שכן הבודקים מסתמכים אך ורק על מה שהם יכולים לגלות מבחוץ.
- היקף מוגבל – בדיקות Black Box מתמקדות לעתים קרובות בפונקציונליות או בהיבטים ספציפיים של מערכת ולא בארכיטקטורה כולה.
בדיקת Black Box שימושית להערכת עמידותה של מערכת בפני איומים חיצוניים וחיקוי תרחישי העולם האמיתי איתם עשויים להתמודד ארגונים.
בדיקת Grey Box היא גישה היברידית המשלבת אלמנטים של בדיקת White Box ו-Black Box. בבדיקות Grey Box, לבודקים יש ידע חלקי על מערכת היעד. יש להם מידע מסוים על הארכיטקטורה שלו או אישורי גישה, אך ייתכן שאין להם גישה מלאה לקוד המקור. תכונות עיקריות של בדיקות Grey Box כוללות:
- ידע חלקי – לבודקים יש מידע מוגבל על המערכת, ויוצר איזון בין גישות White Box ו-Black Box.
הערכה ממוקדת: בדיקת תיבה אפורה מאפשרת הערכות ממוקדות של תחומים ספציפיים תוך שמירה על מידה של ריאליזם. - הפחתת סיכונים – זה שימושי במיוחד עבור ארגונים המעוניינים לזהות נקודות תורפה קריטיות מבלי לחשוף פרטים פנימיים רגישים.
בדיקת Grey Box מציעה דרך ביניים, מה שהופך אותה מתאימה לתרחישים שבהם ניתוח White Box אינו אפשרי, אך גישת Black Box עיוורת לחלוטין אינה מספקת.
ההסמכות שלנו
בסיום מבדקי החדירה
הערכת חולשות ופגיעויות בארגונים, הינה חלק מהשירות והתמיכה אותה מעניקה 'CyberSafe' ללקוחותיה,
בהתאם להסכם השירות עימם ואחרי בחינה מדוקדקת של מערך ה- IT והתאמה של סט בדיקות מותאם ללקוח.
בעיות האבטחה מוצגות בסיום הבדיקה לאחראי המערכת (או מתאם הבדיקה מטעם החברה הנבדקת), אנחנו נציג את בעיות האבטחה
לצד הערכה מדויקת לנזק שיכול להיגרם לנכסי הארגון הנבדק עקב ניצולן, ואת אמצעי הנגד שיכולים להגביר את האבטחה בנקודות אלו.
שירותי בדיקת חדירות / מבדקי חוסן עם CyberSafe
מחפשים שירות מבדקי חדירה לארגון שלכם? צרו עמנו קשר, חברת Cybersafe כאן בשבילכם עם צוות מומחים למבדקי חדירה.