בדיקת חדירות
בדיקת חוסן וחדירות תהליך שיטתי, מורשה ומתוכנן של שימוש נקודות תורפה ידועות, ניסיון לבצע חדירה לתוך מארח, רשת או משאבי יישום.
White Box. Gray Box. Black Box
בדיקת חדירות אפליקטיבית ותשתית
Black Box
בדיקת חדירות Black Box, מתבצעת ללא ידע על רשת היעד או מערכות. בדיקת Black Box מדמה התקפה אמיתית. התוקף חייב לאסוף את כל סוגי מידע על היעד, נקודות החוזק והחולשה, מערכות הגנה, כתובות IP, משתמשים.
Gray Box
בבדיקת Gray Box, הבודק מקבל מידע חלקי על המערכת, כמו ארכיטקטורת המערכת, עקרונות עיצוב או צורת ההתנהגות שלה, אך לא גישה מלאה לקוד המקור. זה מאפשר לו לבדוק את המערכת בצורה מעמיקה יותר מאשר בבדיקת Black Box, אך לא בצורה מלאה כמו ב-White Box.
White Box
בדיקת White Box היא שיטה לבדיקת אבטחת מידע שבה הבודק מקבל גישה מלאה לקוד המקור ולארכיטקטורת המערכת. בבדיקת White Box, הבודק ניתוח את הקוד כדי למצוא בעיות אבטחה, תקלות פוטנציאליות, ושיטות שגויות בתכנות.
בדיקות חוסן וחדירות
תרגיל מודעות עובדים הגנת סייבר.
בדיקת תשתיות מחשוב.
בדיקת חוסן אתרי אינטרנט.
סקר הקשחת מערכות הפעלה.
הקשחת מערכות אבטחת מידע.
סקר אבטחה רכבי תקשורת.
בדיקת חוסן וחדירות רשת WI-FI.
סקר אפליקציות, התחברות, הזדהות ושמירת הנתונים.
סקר מנגנוני הגנת סייבר.
בדיקת חדירות פנימיות וחיצונית.
סריקת פגיעות, עפ"י מאגר פגיעות ידועות.
בדיקת חוסן אפליקטיבי
סריקה ראשונית מתבצעת עם כלים אוטומטיים.
לאחר סריקה כללית ובדיקות כלליות ע"י כלים אוטומטיים מתבצעות בדיקות יסודיות וידניות.
הזדהות: גילוי משתמשי מערכת, עקיפת מנגנון הרשאות, בדיקת מנגנון שמירת סיסמאות ואיפוס סיסמאות. שמירת פרטי ההזדהות בצד הלקוח, בדיקת מנגנון Captcha.
הצפנות: האם מיושמים באפליקציה מנגנוני הצפנה, והאם אלו מנגנונים חזקים/ ידועים.
בדיקת קלט: האם מתבצעות בדיקות תקינות מחמירות על כלל הפרמטרים המגיעים מן המשתמש כגון התאמת הערכים לסוג המשתנים, האם הערכים עומדים בתנאי אורך מקסימאלי ומינימאלי, מילוי שדות חובה, בדיקת כפילויות, סינון תווים מסוכנים.
קבצי ניהול: בדיקה כי קבצי הניהול מופרדים מהאפליקציה ובדיקה שהגישה אליהם הינה באמצעות הזדהות חזקה.
פונקציות בקרה, תיעוד ורישום : בדיקת מנגנון תיעוד ו – Logging לכל הפעולות המשמעותיות באפליקציה, בדיקה שהלוגים נשמרים במקום בטוח ולא ניתן לגשת אליהם.
טיפול בשגיאות : האם מוצגות הודעות שגיאה כלליות שאינן מכילות חומר טכני ,האם האפליקציה פועלת לפי עקרון.
בדיקת חוסן וחדירות תשתיתית
הגדרת מטרות ותחום: הבנת המערכת, קביעת היקף הבדיקה והגדרת המטרות.
איסוף מידע: חקירת המערכת ואיסוף מידע על הנכסים והטכנולוגיות שבה.
סריקת פגיעויות. הסריקת תשתית, סב דומיינים וכתובות חיצוניות של הלוקוח.
בהמשך לסריקות וזיהוי חולשות מתבצעת בדיקה ידנית וניצול חולשות.
בדיקת הגדרות והקשחות של DNS, כמו DMARC, SPF, DKIM
הרשאות גישה: בדיקת הרשאות גישה
בדיקת חדירות של הרשת הפנימית, ייעוץ בונה תרחיש תקיפה יחד עם הלקוח.
לדוגמה, הבודק מקבל גישת VPN וחיבור למחשב פנימי ברשת עם הרשאות מינימאליות של משתמש. בתרחיש כאשר תוקף קיבל אחיזה באחד מהמחשבים עם הרשאות הכי נמוכות ומה משם תוקף יכול לעשות ברשת.
תרחיש אחר של המבדק : הבדיקה כוללת חיבור פיזי של מחשב לרשת הפנימית, בדיקת מנגנון NAC וגישה למידע רגיש.
חשוב לציין שבדיקת חדירות צריכה מתבצעת על ידי אנשי מקצוע מוסמכים ולאחר קבלת אישור מבעלי המערכת.
תוצר, דוח לחשיפות שנמצאו כולל:
תיאור חשיפה.
פירוט חשיפה.
רמת סיכון חשיפה.
סבירות לניצול חשיפה.
המלצות לתיקון חשיפה.
למה אנחנו
חברת ATTGM Consulting מבטיחה תוצר אמין ואיכותי בהתבסס על ההון האנושי המרכיב אותה. כל מומחה אבטחה עבר תקופת אכשרה (Qualification Period) מקיפה ביותר ומתנסה תדיר בחידושים האחרונים בעולם אבטחת המידע והגנת סייבר. המומחים שלנו בתחום מבדקי חדירות הינה בעלי הסמכה בינלאומית CEH. יועצים שלנו בעלי ידע התקפי והגנתי.
בדיקות חוסן וחדירות Penetration Testing תעזור לזהות נקודות תורפה ולהקטין סיכוני אבטחת מידע.
אבטחת מידע הוא יישום של אמצעי בקרה ניהולית, פיזית וטכנית, כדי להגן על סודיות, שלמות וזמינות של המידע.
