בלוג | בדיקת חדירות

בדיקת חדירות

יוגב 22 ינואר 2019

בדיקת חדירות (Pentest \ Penetration Test)

בדיקת חדירות היא שיטה להעריך את האבטחה של מחשב, רשת, התקן טכנולוגי כזה או אחר אשר מכיל מידע, על ידי הדמייה של התקפה מכוונת, ניתוח וחקירת מערכות, בדיקת תגובה של מערכות הגנה וכו’.

פועלים בעיקר לפי שלושה סוגי מבדקים (על בסיס סוג המבדק מבצעים את הבדיקה בהתאם לתחום הנדרש, ראה פירוט מטה):

  • Black Box
  • White Box
  • Gray Box

סוגי מבדקים

Black Box

בדיקה זאת מתבצעת בדרך כלל כבדיקה חיצונית, לפחות כך היא מתחילה ובמידה והבודק מצליח לחדור פנימה, היא יכולה להמשיך גם לתוך הארגון, כמובן שהכול תלוי במהי מטרת הבדיקה ומה הגבול שסוכם מראש שבמידה ומגיעים ליעד ניתן לעצור. בדיקה זו מתבססת על סמך זה שהבודק אינו מקבל שום פרט או מידע מקדים על הארגון או על המערכות הקיימות בארגון, בדיקה זו בעצם מדמה מצב מציאותי ביותר ובו “האקר” רוצה לפרוץ לארגון כאשר אין לו שייכות לארגון כלל ואין לו מידע פנימי. בדיקה זו בדרך כלל ארוכה יותר היות וחלק גדול מהבדיקה הינו איסוף מידע, קיים חיסרון נוסף והוא שסביר להניח שבדיקה זו לא תכסה את כל המערכות “והשטחים” הקיימים בארגון.

בבדיקות תוכנה ובדיקות WEB Application בדיקה מסוג Black Box משמעותה בדיקת האפליקצייה כאשר אין שום מידע מקדים עליה ואין לבודק גישה לקוד התוכנה או לאפיון שלה לצורך מציאת פגיעויות בקוד עצמו.

White Box

בדיקה זאת מתבצעת בדרך כלל כבדיקה פנימית, הבודק מקבל את מלוא המידע אודות הארגון ופרטי מערכות המידע, מערכות ההגנה, כדי לאפשר לו בדיקה מקיפה ופרטנית ככל האפשר במטרה למצוא כמה שיותר פגיעויות. לבודק ניתנת גישה מלאה לרשת ואין לו צורך לסלול את דרכו אליה, הבדיקה יכולה לדמות מצב של תוקף מתוך הארגון (לדוגמה עובד ממורמר שרוצה לנקום) שכבר נגיש לרשת ולמשאבי החברה, בדיקה זו בדרך כלל מאפשרת ניצול מירבי של הזמן ומאפשרת כיסוי נרחב יותר של תחום הארגון אולם אינה מדמה מצב מציאותי של תוקף שלא שייך לארגון.

בתחום התוכנה משמעות הבידקה היא שהבודק מקבל את כל קוד המקור של התוכנה כולל איפיון ומידע מפורט כדי למצוא פגיעויות בקוד ובמנגנוני התוכנה הנראים מצד הפיתוח.

Gray Box

הבדיקה השלישית הינה בדיקה שבה הבודק מקבל מידע מצומצם אודות הארגון ומערכות המידע בחלק מהמקרים ניתנת לבודק גישה מוגבלת לרשת הארגונית והבדיקה יכולה להתבצע מחוץ או מתוך הארגון, תלוי לפי מה שסוכם מראש ומה כמות המידע שהבודק יקבל.

בתחום התוכנה משמעות הבידקה הינה שהבודק יקבל מידע מצומצם אודות התוכנה, לעיתים יקבל מעט מקוד התוכנה כדי לנסות למצוא פגיעויות גם על ידי קריאת הקוד וגם על ידי מבדק “חיצוני”.

ניתן לחלק את הבדיקות גם לפי : בדיקה חיצונית, בדיקה פנימית, בדיקה משולבת.

תחומי המבדקים הקיימים

מבדק חדירה פנימי (Internal Penetration Test)

מבדק חדירה פנימי הינו ניסיון לחדור ולקבל גישה למערכות המידע הארגוניות מנקודת מבט של תוקף שברשותו גישה לרשת הפנימית או עובד עם גישה מוגבלת לרשת. הרבה פעמים ארגונים לא מייחסים חשיבות רבה להתקפות פנים ארגוניות אך הנזק העלול להיגרם הינו עצום ויש לקחת זאת ברצינות רבה.

במהלך בדיקת חדירות פנימית אנו מנסים להעלות את ההרשאות שלנו (אסקלציה) ככל האפשר כדי לקבל גישה לכל ההתקנים אשר נכללים בבדיקה.

כהוכחת הבדיקה ואימות הנתונים אנו נציין בדוח בין השאר את הפרטים הבאים שימצאו במהלך הבדיקה:

• סיסמאות גישה ניהוליות

• סיסמאות גישה למסדי נתונים

• תצלומי מסך

• הודעות מייל סודיות

• מסמכים סודיים וכו’

מבדק חדירות פנימי מתנהל לפי הסטנדרטים הרגילים של מבדקי חדירות:

• איסוף מידע על הרשת הפנימית

• סריקת פגיעויות

• זיהוי חולשות רלוונטיות

• ביצוע ניסיונות תקיפה

• הכנת דו”ח כולל

הדו”ח המסכם את המבדק אינו כולל רק פירוט טכני וגם בן אדם שאינו מתמצא במושגים הטכניים של אבטחת מידע יכול להביו את התוצאות.

אבחון רשת חיצוני

מבדק חדירה חיצוני (External Penetration Test) – זהו מבדק שבו נבדקת יכולת מערכות המחשוב של הארגון לעמוד בפני התקפות חיצוניות, בדרך כלל התקפות אלו מתרחשות ללא מידע מקדים על פנים הארגון, מצב זה בא לדמות ניסיון תקיפה מכוון של תוקף חיצוני או ניסיון תקיפה “רנדומלי” שתוקף את הארגון.

בתהליך זה אנו סורקים את מערכות המידע והרשת הנגישות לנו מחוץ לארגון בכוונה לנסות ולאתר נקודות תורפה קיימות המובילות לחדירה או נזק לארגון.

מבדק חיצוני יכול גם להמשיך כמבדק פנימי במידה ואכן בוצעה חדירה לרשת הפנימית אך זאת כמובן לפי מה שמסוכם מראש.

במבדק זה אנו מדמים מצב מציאותי של הפעולות שסביר להניח אותן ינסה לבצע התוקף לפי המתודולוגיה הבאה:

• איסוף מידע חיצוני אודות הארגון ובדיקת הרלוונטיות שלו לגבי בדיקת החדירות.

• ביצוע סריקת פגיעויות לצורך זיהוי נקודות חולשה קיימות.

• ביצוע סקר סיכונים המתבסס על תוצאות הסריקה לצורך תעדוף ורלוונטיות הממצאים.

• ביצוע תהליך “פריצה בטוחה” על סמך הממצאים הקודמים.

• בדיקות התקני הרשת הנגישים מחוץ לארגון, כגון FW, נתבים, שרתי דואר וכו’.

• הכנת דו”ח מקיף.

אבחון Web Application

בקצרה בדיקת חדירות היא שיטה להעריך את האבטחה בהתקן מחשוב רשת על ידי הדמיית התקפה, מבדק חדירות אפליקטיבי ( WEB Application) מתמקד רק על הערכת מצב האבטחה של האפליקציה, שאנו אומרים אפליקציה כמובן שאתר אינטרנט נכנס לתוך הקטגוריה.

תהליך הבדיקה כולל ניתוח פעיל של האפליקציה לזיהוי חולשות, כשלים טכניים או פגיעות פוטנציאלית.

כל חולשה אשר תמצא תוצג לבעל האתר עם הערכת הסיכונים ושיכלול המשקל של החולשה בהתאם להשפעתה על הארגון וכמובן המלצה לפתרון הטכני.

מבדקי ה-WEB שלנו מתמקדים לפי בסיס ה- OWASP – Open Web Application Security Project אשר מנחה וממקד את החולשות העיקריות והכי חשובות בצד האפליקטיבי.

אבחון הנדסה חברתית

ביצוע מבדק חדירה המשלב מבדק “הנדסה חברתית” אשר כולל בדיקת המודעות של העובדים, כולל ניסיון לחדור ולתקוף את הארגון על ידי התקפות מסוג “הנדסה חברתית” ולאחר מכן להסיק מסקנות ולשתף את העובדים בתוצאות.

השאר תגובה

למעלה