בדיקת חדירות היא פרקטיקה השייכת לתחום אבטחת סייבר, במסגרתה גורמים מורשים בארגון או מחוצה לו מדמים התקפות סייבר על מערכות המחשב, הרשת או היישום. במסגרת הבדיקה מתבצעת "פריצה" של ממש. בדיקות חדירות נקראות גם מבדקי חוסן, מלשון בדיקת חוסנו של הארגון בהיבט אבטחת המידע.
מהי המטרה של בדיקת חדירות?
המטרה של בדיקת חדירות היא לזהות פגיעויות, חולשות ופערים באבטחה, שאם לא יטופלו יהיו מנוצלים על ידי האקרים זדוניים. הבדיקה עוזרת למקבלי ההחלטות לקבל מידע אודות האפקטיביות של אמצעי האבטחה ולקבל החלטות מושכלות באשר לשיפור האבטחה. בדיקות חדירה מקובל לבצע גם לאחר שתשתית המחשב של הארגון ספגה פריצה, במטרה לנסות להתחקות אחר הצעדים של הפורצים ולהבין באיזו דרך הם הגיעו לתוככי המערכת.
סוגי בדיקות נפוצות
- Black Box – בדיקה חיצונית, כשלבודק אין מידע אודות הרכיבים הפנימיים. הבדיקה מתחילה במעטפת החיצונית, ואם הבודק מצליח לחדור פנימה הוא ממשיך עד לגבול שהוגדר. בדיקה מסוג קופסה שחורה היא הבדיקה האותנטית ביותר, כשלהאקר החיצוני אין מידע פנימי.
- White Box – בדיקה פנימית, כשלבודק יש את המידע המלא אודות מערכות המידע וההגנה. בדיקה מן הסוג הזה שואפת "לחטט" בכל הרמות כדי למצוא כמה שיותר פגיעויות. בדיקה כזאת יכולה לדמות מצב שהתקיפה היא של מי מעובדי הארגון, או של גורם חיצוני שהצליח לאסוף את המידע הדרוש.
- Gray Box – בדיקת "קופסה אפורה" היא בדיקה משולבת, כשהבודק מקבל מידע חלקי ומצומצם, ומנסה באמצעותו להמשיך לחדור פנימה, עד לגבול שסוכם, אם סוכם.
סוגי התקפות
- התקפה על תשתית הרשת – ביצוע של מתקפת דמה על רשת המחשוב של הארגון
- התקפה על אפליקציה – התקפה על אפליקציית רשת המהווה נכס משמעותי לארגון – אפליקציות היושבות ב"ענן" ושומרות מידע רגיש או מאפשרות לארגון לעבוד
- תקיפה אקראית מבחוץ – דימוי של תקיפת מערכות הארגון על ידי האקרים מבחוץ, לרוב ללא מטרה מוגדרת. תקיפה שכזו על אף שאיננה בעלת תועלות אישיות לתוקף הינה ברת נזק במידה לא פחותה
- תקיפה בעלת מטרה – תקיפת האקרים המעוניינים לשבש את מערכת החברה הספציפית הזאת – אלו יכולים להיות ארגונים של מדינות עוינות שמודעים להשלכות של שיבוש המערכת, ואף מתחרה עסקי שמעוניין לשבש פעילות או להשיג מידע
- תקיפה מבפנים – תקיפה המדמה עובד בחברה שמבצע פעולות זדוניות באופן מכוון, או אורח אקראי שמזדמן למשרד ומטרתו היא לגשת למחשב ולגנוב מידע/לשתות תוכנת ריגול
כיצד מתבצעת בדיקת חדירות?
- תכנון – שלב התכנון כולל את הגדרת מטרת הבדיקה והיעדים, ,וכמובן קבלת אישור מתאים מבעל המערכת או הארגון
- סיור – במהלך שלב זה, מבצע/בודק החדירה אוסף מידע מעמיק על המטרה (כתובות IP, שמות דומיין, נקודות תורפה פוטנציאליות ועוד). המידע מסייע לזהות אופני תקיפה פוטנציאליים
- סריקה וספירה – הבודק משתמש בכלים שונים כדי לסרוק את המערכת ולאתר יציאות פתוחות, שירותים ופגיעויות פוטנציאליות – ספירה כרוכה באיסוף מידע ספציפי יותר כגון חשבונות משתמשים ושיתופי רשת
- תקיפה – לאחר שהבודק העריך וזיהה את נקודות התורפה, הוא מנסה להשיג גישה או שליטה על מערכת היעד. שלב התקיפה מסייע להעריך את הנזק הפוטנציאלי של התקפות מוצלחות – לאיזה מידע התוקף הצליח להגיע דרך נקודת התורפה והאם הוא הצליח לשתק את העבודה השותפת
- לאחר התקיפה – לאחר השגת גישה חוקרים את המערכת לעומק כדי לאסוף מידע רגיש או להדגים את הסיכונים הפוטנציאליים של התקפה מוצלחת. בסיום, מכינים דו"ח מקיף המפרט את הנקודות שנמצאו, הנזקים הפוטנציאליים והמלצות לשיפור האבטחה
מי מבצע בדיקת חדירות?
את בדיקת החדירות מבצעים מומחים בתחום הסייבר, אשר יש להם רקע טכנולוגי לרוחב ולעומק. מלבד הכשרתם המקצועית, הם עוברים שורה של מבדקי אמינות שכן הם נחשפים בעצמם לחולשות של ארגונים חיוניים. אנשי בדיקת חדירות יכולים להיות מועסקים בתוך ארגונים וחברות שזקוקים לבקרה ולשליטה מלאה ותמידית על אבטחת תשתיות המחשוב, ולחלופין ניתן להעסיק אותם במיקור חוץ בהתאם לצורך.
בדיקות חדירות אוטומטיות ובדיקות חדירות ידניות
בדיקות החדירות יתחילו תמיד כבדיקות בכלים אוטומטיים שמזהים חולשות, היעדר עדכוני אבטחה, מערכות הגנה חלשות וכדומה. שלב שני בבדיקות חדירות, שהוא אינו מחייב אך מומלץ, הוא בדיקות חדירה ידניות, שמנסות באופן יצירתי ולא ממוחשב להשיג הרשאות גבוהות, להגיע למידע רגיש ולשבש פעילות. ככל שהפורץ האמיתי הוא בעל כוונה לפגיעה ספציפית בארגון או החברה אותם הוא תוקף, כך הוא יהיה יצירתי, משקיען, חותר למטרה ובעל סבלנות.
רוצים להרחיב את האופקים בתחום הסייבר קראו על קורס סייבר אונליין של מכללת INT!
