code

בדיקות חדירות

Penetration Tests

מהן בדיקות חדירות?

חלק מתהליך הערכת הסיכונים הוא לבצע בדיקות התקפיות למערכות מחשוב, רשתות או יישומים, וזאת על-מנת לחשוף פגיעויות שיכולות לאפשר לתוקפים לנצל אותן. ניצול פגיעויות עלול לגרום לנזקי מוניטין ואף נזקים כלכליים.

לאחר ביצוע בדיקות החדירות, ניתן יהיה להעריך את רמת הסיכון למתקפות סייבר, ולספק תכנית עבודה לסגירת פערי אבטחת המידע לצורך הקטנת הסיכון.

כיצד בדיקות חדירות יסייעו לארגון שלי?

ביצוע בדיקות חדירות תקופתיות למערכות רגישות האחראיות על מידע עסקי ופרטי מספק יתרונות משמעותיים:

  • הפחתת ההסתברות להיות קורבן של התקפות סייבר.
  • התאמה לחוקי פרטיות כגון GDPR ותקנות הגנת הפרטיות בישראל (אבטחת מידע).
  • עידוד ההנהלה הבכירה להקצות משאבים לאבטחת מידע בארגון.
  • הקטנת הסיכויים לנזק במוניטין והשלכות כלכליות בגלל התקפות סייבר.

בדיקת Blackbox מול Graybox

מתקפות סייבר המופעלות על-ידי תוקפים מתוחכמים ובעלי משאבים, יכולות להמשך חודשים ושנים. היות ובדיקות החדירות מוגבלות בזמן, מומלץ לחלק אותן לפי הבדיקות הבאות:

  • Blackbox: בדיקה זו בוחנת תרחיש שכיח בו לתוקפים אין מידע מקדים על המערכת ומטרתה לזהות שיטות מעקף בקרות ראשוניות אל המערכת, למשל ממשקי אימות.
  • Graybox: בדיקה זו בוחנת תרחיש בו תוקפים עוקפים את מערך בקרות האבטחה הראשוניות כגון ממשקי אימות או שכבר קיבלו גישה כמשתמשי המערכת (המכונה גם "איום פנימי").

קליר גייט ממליצה לשלב בדיקות חדירות מסוג Blackbox ו- Graybox על-מנת להפיק תובנות לגבי תרחישים בהם לתוקפים אין ידע כלל על המערכת או שהשיגו ידע חלקי אודותיה.

בדיקות חדירות – מהם השלבים בתהליך?

  • הערכת היקף העבודה עבור בדיקות Blackbox ו- Graybox.
  • תכנון הבדיקות על ידי הגדרת הכלים המתאימים בהתאם לפלטפורמות הנבדקות.
  • ביצוע בדיקת חדירות מסוג Blackbox באמצעות כלים אוטומטיים ובדיקות ידניות, ללא כל ידע על המערכת.
  • ביצוע בדיקת חדירות מסוג Graybox באמצעות כלים אוטומטיים ובדיקות ידניות, עם ידע מסויים על המערכת.
  • כתיבת דוח התוצאות עם הממצאים והמלצות לתיקון הפגיעויות.
  • לאחר יישום ההמלצות, אנו מבצעים בדיקה חוזרת כדי לאמת שהמערכת מאובטחת ושההמלצות יושמו כהלכה.
penetration-tests-he

השירותים שלנו

בדיקות לאפליקציות Web ו- Mobile

הבדיקות מבוססות על מדריך בדיקות של Open Web Application Security Project OWASP בעזרת שיטות אוטומטיות ובעיקר ידניות כדי לגלות פגיעויות נפוצות באפליקציות Mobile ו- Web. הבדיקות מכסות את צד הלקוח והשרת, כולל שירותי אינטרנט ו- APIs.

בדיקות תשתיות IT

הבדיקות בוחנות נושאים הקשורים לאבטחת מידע בתשתיות (למשל מחשבים, התקני רשת, מכשירי אבטחה וכו') ומבוססים על ATT&CK matrix של Mitre ועל הנחיות טכניות של PETS. הבדיקות יכולות להיות מבוצעות מהרשת הפנימית והחיצונית לכיוון רשתות אלחוטיות, ענן, Ethernet וגישה מרחוק.

סימולציות חדירה ותקיפה

סימולציית התקיפה מדמה באופן ידני מתקפות סייבר על-פי מודל ה-Cyber Kill-Chain ומפרטת את שלבי המתקפה המתוחכמת מסוג (Advanced Persistent Threat (APT. בשביל ליצור APT, התוקפים מעבירים פוגענים מתקדמים ויוצרים איום קבוע בתוך הארגון, מתפשטים רוחבית בתוכו, ומוציאים מידע רגיש מחוצה לו.