מבדקי חדירה לארגון - Penetration Tests

 

 

Penetration Tests - מהן בדיקות חדירות?
 

Penetration Tests הם למעשה מה שנקרא "מבדקי חדירה" או "בדיקות חדירות". כלומר סימולציה של תקיפה ע"י האקר/קוד זדוני המבוצעת ע"י גורם ידידותי, Ethical Hacker שנשכר ע"י הארגון וקיבל הרשאה של המנסה לתקוף.

הרעיון הוא פשוט - עם כל הכבוד לאמצעי אבטחת מידע, פריסתם ועדכונם, מה יותר טוב מסימולציה של מצב אמת? דומה הדבר לכל הפחות ללקיחת שכפ"ץ נגד כדורים אחד מתוך 100 שקיימים בארגון וירי עליו באש חיה כדי לבדוק שאכן אינו חדיר לכדורים.

לפעמים מדובר במהלך שהוא בכלל לא מדגמי אלא מקיף וכולל את כל הארגון. במסגרת בדיקות חדירות, ניתן לבדוק את רמת החדירות הכללית של הארגון, יכולת להשתלט על מחשבים, יכולת לשאוב מידע רגיש, יכולת לשבש נתונים ולשנותם או לבצע פעולות ללא הרשאה, יכולת להשבית את הארגון או שירותים ושרתים בו.

חשיבותם ויעילותם של מבדקי חדירה - מידע נוסף
ביטחון מידע בארגון - המודל המעגלי שלנו - לחץ לצפייה

מבדקי חדירה - בדיקות חדירה

מפני אילו תקיפות נתגונן בסימולציה?
 

ישנן אינספור מתודולוגיות של מבחני חדירות (penetration tests), יש למשל בלאק בוקס שמדמים ממש תוקף אמיתי שלא יודע דבר על הארגון ואין לו מידע מקדים. צריך לסרוק ולהבין מול מה הוא עומד וכיו"ב.

כמו כן, ישנן סדרות שלמות של מבחני חדירות שהן הפוכות - עם ידע על הארגון, על אמצעי אבטחת המידע שלו, ארכיטקטורת התוכנה והרשת וכיו"ב.

חלק מהמבדקים גם יכולים להיות מבפנים ולא מבחוץ ולדמות סל איומים אחר כמו התקפה מצד קוד שהצליח לחדור פנימה ולעבור שכבת הגנה אחת, או התקפה ע"י עובד וכו'.

חשיבותם של מבחני חדירות

ביצוען של penetration tests מעת לעת הינו חיוני ביותר לאבטחת המידע בארגון. חשוב כמובן שמי שמבצע אותו צריך להיות האקר ברמה בינ"ל. היום האיומים הם לעתים ברמה של מדינה! לפי רמת האיום שלך, יש גם להשקיע את המשאבים המתאימים בהגנה.

כך למשל מפעל בטחוני או תשתית לאומית שברור שהאויב יהיה מוכן בזמן אמת להשקיע מאות אלפי דולרים או מיליוני דולרים כדי לפרוץ אליה/להשבית אותה - צריכים להיערך עם תקציבים דומים רק לנושא של מבדקי חדירה.

ארגון פרטי יכול להסתפק בפחות אבל הכל תלוי ברמת שיערוך סיכונים וכיו"ב.


לוחמת סייבר - מדריך להגנה מפני מתקפת סייבר
נהלי אבטחת מידע למניעת פריצה לארגון - לחץ למידע נוסף

 

 

 

 

 

Company Slogan

There are many variations of passages of Lorem Ipsum available, but the majority have suffered alteration in some form.