מבדקי חדירה לארגון - Penetration Tests

 

 

Penetration Tests - דגשים מרכזיים
 

Penetration Tests הם למעשה מה שנקרא "מבדקי חדירה". כלומר סימולציה של תקיפה ע"י האקר/קוד זדוני המבוצעת ע"י גורם ידידותי, Ethical Hacker שנשכר ע"י הארגון וקיבל הרשאה של המנסה לתקוף.

הרעיון הוא פשוט - עם כל הכבוד לאמצעי אבטחת מידע, פריסתם ועדכונם, מה יותר טוב מסימולציה של מצב אמת? דומה הדבר לכל הפחות ללקיחת שכפ"ץ נגד כדורים אחד מתוך 100 שקיימים בארגון וירי עליו באש חיה כדי לבדוק שאכן אינו חדיר לכדורים.

לפעמים מדובר במהלך שהוא בכלל לא מדגמי אלא מקיף וכולל את כל הארגון. ניתן לבדוק חדירות של הארגון, יכולת להשתלט על מחשבים, יכולת לשאוב מידע רגיש, יכולת לשבש נתונים ולשנותם או לבצע פעולות ללא הרשאה, יכולת להשבית את הארגון או שירותים ושרתים בו.

ביטחון מידע בארגון - המודל המעגלי שלנו - לחץ לצפייה


מפני אילו תקיפות נתגונן בסימולציה?
 

ישנן אינספור מתודולוגיות לתקיפה, יש למשל בלאק בוקס שמדמים ממש תוקף אמיתי שלא יודע דבר על הארגון ואין לו מידע מקדים. צריך לסרוק ולהבין מול מה הוא עומד וכיו"ב.

כמו כן, ישנן סדרות שלמות של מבדקים שהן הפוכות - עם ידע על הארגון, על אמצעי אבטחת המידע שלו, ארכיטקטורת התוכנה והרשת וכיו"ב.

חלק מהמבדקים גם יכולים להיות מבפנים ולא מבחוץ ולדמות סל איומים אחר כמו התקפה מצד קוד שהצליח לחדור פנימה ולעבור שכבת הגנה אחת, או התקפה ע"י עובד וכו'.

חשיבות המבדקים

מדובר בנושא חיוני ביותר. חשוב כמובן שמי שמבצע אותו צריך להיות האקר ברמה בינ"ל. היום האיומים הם לעתים ברמה של מדינה! לפי רמת האיום שלך צריך גם להשקיע את המשאבים המתאימים בהגנה.

כך למשל מפעל בטחוני או תשתית לאומית שברור שהאויב יהיה מוכן בזמן אמת להשקיע מאות אלפי דולרים או מיליוני דולרים כדי לפרוץ אליה/להשבית אותה - צריכים להיערך עם תקציבים דומים רק לנושא מבדקי החדירה.

ארגון פרטי יכול להסתפק בפחות אבל הכל תלוי ברמת שיערוך סיכונים וכיו"ב.


לוחמת סייבר - מדריך להגנה מפני מתקפת סייבר
נהלי אבטחת מידע למניעת פריצה לארגון - לחץ למידע נוסף

 

 

 

 

 

Company Slogan

There are many variations of passages of Lorem Ipsum available, but the majority have suffered alteration in some form.