בלוג | מתודולוגיית מבחן חדירות

מתודולוגיית מבחן חדירות

יוגב 22 ינואר 2019

הצבת יעדים ומטרות (Pre-engagement Interactions)

בשלב הראשון נדון בהיקף האבחון, תיאום ציפיות והגדרת יעדי המבדק אשר יעזרו לנו לבנות מודל מתודולוגי שילווה את צוות הבודקים בכל שבעת שלבי PTES (המתודולוגיה שלנו בנויה על בסיס PTES – http://www.pentest-standard.org/index.php/Main_Page) .

בשלב זה בין השאר נקבעים הנושאים הבאים:

  • סוג המבדק (חיצוני \ פנימי \ משולב וכו’)
  • מטרת המבדק (היעד הסופי שנקבע שברגע שהוא מושג המבדק מסתיים)
  • הגבלות וחוקים (יצירת כללי עבודה מוסכמים מראש, לאן מותר להגיע ומה מותר לעשות, באילו שעות תתאפשר ביצוע הבדיקה, אילו שרתים קריטיים יותר ואילו פחות ובאילו מערכות מותר לבצע את תהליך ה- Exploitation)
  • היקף המבדק (מיפוי כתובות רשת, כמות התקנים ברשת, כמות שרתים\תחנות עבודה וכו’)
  • האם המבדק יכלול בדיקות של תפקוד עובדי החברה וצוות המחשוב, בעיקר מדובר על מבדקים של הנדסה חברתית (Social Engineering)
  • הגדרת לוח זמנים

איסוף מידע (Intelligence Gathering)

שלב זה מוגדר בשפה המקצועית – “reconnaissance”. בשלב זה הבודק מתחיל באיסוף מידע אודות הארגון, דרכי איסוף המידע משתנות ומתבססות על פי סוג הבדיקה לדוגמה: בבדיקה חיצונית איסוף המידע יתבסס יותר על מקורות גלויים וחיצוניים כגון רשתות חברתיות, מנועי חיפוש וכו’, לעומת מבדק פנים ארגוני אשר בו איסוף המידע יתבסס פחות על מקורות חיצוניים וגלויים אלא על סמך המידע אשר ניתן להוציא מתוך מערכות החברה.

הבודק מנסה ללמוד כמה שיותר על הארגון הנבדק, טופולוגית הרשת, מערכות המידע ומבנה החברה. הבודק מנסה לזהות את מערכות ההגנה הקיימות כדי לדעת כיצד לפעול בהמשך. איסוף המידע עובד בדרך כלל בשתי צורות: פסיבי ואקטיבי.

שלב זה הינו שלב קריטי מאוד אשר מהווה את כל הבסיס לבדיקה מושלמת (בייחוד כשמדובר בבדיקה ללא רקע מקדים

(Black Box \ Gray-Box).

 

בניית מודל לפריצה (Threat Modeling)

בשלב זה הבודק מתחיל לנתח ו-“לנצל” את כל המידע אשר נאסף בשלב איסוף המידע, הבודק מתחיל לזהות את נקודות התורפה של הארגון, באילו מערכות מידע יש יותר סיכוי להצליח בהתקפה, מהן ההתקפות העומדות על הפרק על סמך מערכות המידע שנבדקו.

הבודק מנסה למצוא בין השאר חולשות לוגיות על סמך הנתונים שנאספו, לפעמים כבר בשלב זה חוסר יישום אבטחת מידע והגדרות לא נכונות של המערכת ו\או חולשות האדם האנושי יאפשרו לבודק “השתלטות” על המערכת עוד לפני שלב הפריצה.

זיהוי פגיעויות וניתוח נקודות תורפה (Vulnerability Analysis)

לאחר זיהוי החולשות העיקריות וזיהוי התקיפות הרלוונטיות הבודק מתחיל לבדוק כיצד יצליח להגיע אל היעד בשיטת התקיפה המעשית והיעילה ביותר. במהלך ניתוח הפגיעויות הבודק משלב את המידע המקדים אשר נאסף עד לשלב זה ומשתמש בו כדי להבין איזה ניצול הכי רלוונטי מול אותה פגיעות שנמצאה ועד כמה זה אכן מעשי “בשטח”.

שלב זה כולל כמובן את סריקת זיהוי הפגיעויות (Vulnerability Scan), סריקת נקודות תורפה במערכות החברה מתבצעת בשילוב של סריקות אוטומטיות וסריקות ידניות ולא ניתן להתבסס רק על אחת הסריקות מבין השתיים.

ניצול חולשות אבטחה (Exploitation)

שלב זה הנו השלב שאליו הבודק מייחל להגיע, שלב זה אינו קל אך מביא לסיפוק על ידי כך שבמידה ופעולות התקיפה מצליחות יש תמורה לכל השלבים שלפני, בשלב זה יש לנהוג בזהירות יתרה היות וברוב המקרים לא ניתן לחזור שנית על פעולה שנעשית כאן. שיטת העבודה היא להגיע מוכן ככל הניתן עד לרגע התקיפה ורק אז לבצע את מהלך התקיפה. בתהליך זה יש תיעוד של כל פרט ופרט, בדרך כלל מומלץ לבצע תהליך זה בצורה ידנית ומבוקרת ולא בצורה אוטומטית לצורך מזעור נזקים שעשויים לקרות. מומלץ לבצע תהליך זה ספציפית על מטרה אחת ברגע נתון (כמובן שהכול תלוי בסדר גודל הבדיקה), בעת תקיפה מוצלחת ו- “השתלטות” על מערכת, בחלק מהמקרים מצליחים אף לחדור לרשת נוספת במידה והיא מקושרת לאותו מחשב ובכך היקף הבדיקה יכול להשתנות.

ניצול מתקדם של חולשות אבטחה (Post Exploitation)

שלב זה מגיע לאחר השלב של ניצול החולשות ותקיפת המערכות, הבודק כבר הצליח “לפרוץ” לאחד המחשבים או יותר ו- “ניצל” מספר מערכות מידע והתקני רשת אך עדיין לא סיים את הבדיקה. יש מקרים שבהם מספר מערכות נפרצו אך אין להן שום משמעות מבחינת המידע שהחברה מחזיקה בו, ולכן נכנס לתמונה השלב שאחרי, בשלב זה כבר מכוונים את ההתקפה לכיוון שהכי יסכן את הארגון במידה וההתקפה תצליח, לדוגמה אם הבודק הצליח לחדור לשרת ה- FTP של החברה זה דבר אחד אך מה יקרה אם יצליח לפרוץ לשרת הכספים של החברה ויצליח לשנות נתונים של משכורות, להעביר כספים לחשבון, לשנות נתונים של חובות של לקוחות. דוגמה נוספת שבה הבודק הגיע למאגר הנתונים של כרטיסי האשראי של לקוחות החברה וכעת יכול להשתמש בהם, מדובר בסיכון חסר תקדים אשר כבר יפגע לא רק בארגון עצמו אלא מעבר!

דוחות ומידע (Reports)

הדיווח הוא ללא ספק אחד הדברים הכי חשובים במבדק החדירות, שם הבודק רושם כל צעד וצעד שעשה, כל המידע שאסף, איך הוא הגיע למידע, איזה פגיעויות נמצאו, איזה פגיעויות הוא ניצל, לאילו מערכות הוא חדר וכו’. כמובן שלכל “פירצה” וניצול שנמצא יוצג בדו”ח הפתרון לסגירת “החור” ומה הארגון צריך לבצע כדי להקטין את הסיכון ככל הניתן.

כמו שכבר הוזכר, הבודק מבצע את הפעולות שסביר להניח “האקר” היה מנסה לבצע ולכן דו”ח זה משמעותי מאוד לחברה להמשך עבודה תקינה וכמובן למזעור נזק עתידי. כמו כן הדו”ח יעזור בשיפור האבטחה הכוללת בחברה ולא רק נקודתית בנקודות התורפה שנמצאו.

הדו”ח נכתב ידנית על ידי הבודק ואינו מיוצר על ידי מערכות אוטומטיות, הרבה חברות מציעות שירות של בדיקות חדירה ומספקות דוחות שמערכת אוטומטית לסריקת פגיעויות הוציאה להם – בדקו טוב מה אתם מקבלים ואיזה בדיקה מבצעים בארגונכם לפני שאתם מתחילים את התהליך.

השאר תגובה

למעלה