אנו עובדים עם חברת OK יועצים לניהול החל משנת 2019 בנושאים שונים הקשורים לאבטחת מידע. השנה התעורר לנו הצורך לבצע סקר סיכוני אבטחת מידע ומבדק…
ביצוע מבדק חדירה / Penetration Test / PT / מבדק חוסן
אנו מבצעים מבדקי חדירה בזמן קצר ובעלות סבירה. דברו איתנו!
מבדק חדירה / Penetration Test / PT / מבדק חוסן הוא מבדק שמדמה תקיפה על מערכות המידע והמיחשוב של הארגון במטרה לאתר פרצות וסיכונים. בסיום המבדק הארגון מקבל דו"ח המסכם הממצאים והסיכונים שאותרו כדי שהארגון יכין תכנית פעולה על מנת לסגור את הפרצות ולהקטין את סיכוני הכשל הנגרמים מאבטחת מידע לקויה.
למה לי מבדק חדירות עכשיו?
אין זמן טוב יותר מעכשיו מהסיבות הבאות:
- חברה שבבעלתה מאגר מידע שרמת האבטחה הנדרשת ממנו היא גבוהה חייבת לבצע מבדק חדירה למערכות המאגר אחת לשנה וחצי ולתקן את הפרצות המתגלות כדי לוודא עמידות בפני סיכוני אבטחה.
- עולם העבודה עבר לעבודה מרחוק וארגונים חושפים את עצמם לסיכוני אבטחת מידע.
- הקטנת סיכון ממתקפות עויינות על מאגרי המידע של הארגון אשר חושפות את הארגון לאובדן מידע, ריגול תעשייתי ואף סחיטה באמצעות דרישות כופר.
- מניעת נזק כלכלי – השבתה חלקית או מלאה של מערכות המידע בארגון כתוצאה מסיכון שמתממש משתקת את פעילות הארגון לזמן מה וגורמות נזק אדיר
- עמידה בדרישות לקוחות של הארגון הדורשים לבצע מבדקי חדירה תקופתיים כדי להבטיח שלא תהיה דליפה של מידע דרך הספק לו יש גישה למערכות, או דרך מערכות או שהספק מספק לארגון
- עמידה בדרישות רגולציה - תקנות הגנת הפרטיות (אבטחת מידע) התשע"ז-2017 / GDPR /HIPAA דורשות במקרים מסוימים הוכחה לביצוע מבדקי חדירות
למה לעבוד דווקא עם חברת OK יועצים לניהול?
- יש לנו מומחיות בביצוע מבדקי החדירה
- מבדקי החדירה מבוצעים על ידי יועצים מנוסים להם ידע רחב בתחום וניסיון בביצוע מבדקים כאלה בארץ ובעולם;
- המבדק נעשה באמצעות הרצת כלים אוטומטיים, בשימת דגש על מניעת פגיעה במערכת
- כלי הסריקה שלנו הינם מהידועים בשוק אבטחת המידע. בנוסף אנו מריצים תסריטי בדיקה ייעודיים שפותחו על ידינו.
- One-Stop-Shop
- לחברתנו צוות יועצים מנוסה הנותן כיסוי מלא לכל דרישות אבטחת המידע של הארגון, כולל: מבדקי חדירה (כמובן), HIPAA , תקן 27001 ISO, תקן 27799 ISO, ביצוע תרגיל Phishing ועוד.
- צוות היועצים המולטי-דיסציפלינארי שלנו נותן מענה גם לצרכים נוספים שלכם הקשורים לתקנים, אבטחת הפרטיות או שיפור תהליכים
- סיוע בהטמעה או ניהול אבטחת מידע במיקור חוץ / CISO
- לפי הצורך, אנו מסייעים גם בהטמעה ו/או יכולים לספק לכם מנהל אבטחת מידע במיקור חוץ
- תהליך הייעוץ שלנו מהיר והמחיר ממש הוגן, נסו אותנו!
רוצים שנעשה זאת עבורכם?
התקשרו לאורנה: 053-7739018 או מלאו את הפרטים שלכם:
שאלות נפוצות
מהם שלבי העבודה של מבדק חדירה?
להלן שלבי העבודה:
איסוף מידע
השלב כולל הרצת כלים אוטומטיים, בשימת דגש על מניעת פגיעה במערכת. כלי הסריקה הנם מהידועים בשוק אבטחת המידע. בנוסף אנו מריצים תסריטי בדיקה ייעודיים שפותחו על ידינו.
ניתוח תרחישי איום כולל:
א. ניתוח של הגורמים העוינים המהווים סכנה לארגון.
ב. ניתוח סוגי האיומים המרכזיים אשר עומדים בפני האפליקציה.
ג. ניתוח סוגי האיומים המרכזיים אשר עומדים בפני משתמשי המערכת.
בניית תכנית סקירה
בהתאם לנתונים שנאספו ולתרחישי האיום נבנית תכנית מתאימה בהתאם לתרחישים. התוכנית כוללת את השיטה, האמצעים והמשאבים העומדים לרשותנו.
ביצוע מתקפות
לאחר בניית תכנית פעולה, תבוצע בדיקת חדירה (Penetration Test) אפליקטיבית. ביצוע המתקפות נעשה בצורה ידנית וללא מטרה לפגיעה בפעילות המערכת. בשלב זה בא לידי ביטוי מיומנות וניסיון המבצע. הערך המוסף בבדיקות בתצורה זאת ניכר ביכולת לשלב את ממצאי הכלים האוטומטיים ולבצע בחינת עמידות המערכת בפני מתקפות מתוחכמות המשלבות מספר חולשות לכדי יכולת שליטה ופגיעה בתשתית האפליקטיבית ובמידע.
הבדיקה מתבססת על מתודולוגיית Open Web Application Security Project ,OWASP הבודקת את הנושאים והתרחישים הבאים:
- בדיקת גישה והרשאות עבור משתמש שאינו מורשה.
- וידוא קלטים ופלטים.
- חריגת הרשאות עבור משתמש מורשה בעל הרשאות רגילות.
- ניסיונות התחזות בשם משתמש אחר.
- אימות שדרים.
- אישור אמיתות נתונים.
- ביצוע ניסיונות השתלטות על Session / קישור קיים
- ביצוע מתקפות מבוססות קלט.
- ביצוע מניפולציית פרמטרים לצורך עקיפת ללוגיקה באפליקציה
- חשיפת מידע אודות מבנה האפליקציה, קוד המקור, טופולוגית הרשת וכו'.
- בחינת עמידות תשתית השרתים וציוד התקשורת בפני מתקפות אבטחת מידע ויצירת נתיב גישה
- למערכת ולבסיס הנתונים.
ניתוח החשיפות
בשלב זה מבצע ריכוז של כל הנתונים שהושגו בשלבים הקודמים. על בסיס נתונים אלו מבוצעת הערכה לגבי פוטנציאל החדירה ותוצאות אפשריות וכן המשמעויות העסקיות.
מהם התוצרים של מבדק החדירה?
תוצרי העבודה כוללים:
- תמצית מנהלים – התמצית כוללת הסבר על תהליך הבדיקה וכן את עיקרי הממצאים וההמלצות:
- פירוט הרכיבים שנבדקו
- פירוט מתודולוגית הבדיקה
- תיאור מפורט של הממצאים. התיאור יכיל את המידע הבא עבור כל אחת מהחשיפות:
- תיאור כללי של החשיפה
- תיאור מפורט של החשיפה
- ניתוח חומרת החשיפה בהיבט הנזק שעלול להיגרם ורמת ההסתברות למימושו
- המלצות ראשוניות ליישום
- מידע נוסף הקשור לחשיפה, באם רלוונטי
רוצים שנעשה זאת עבורכם?
התקשרו לאורנה: 053-7739018 או מלאו את הפרטים שלכם:
יהללך זר ולא פיך
- דניאל ספירמןמנהל מערכות מידע, צבר רפואהקרא עוד...
- ניסן צור סמנכ"ל מערכות מידע (CIO) בחברת BOL Pharmaקרא עוד...חברת BOL Pharma עוסקת בכל ההיבטים של שרשרת אספקת קנביס. כחברה שמחויבת לתקנים מחמירים פנינו לחברת OK יועצים לניהול לקבלת מענה לכל הצרכים הקשורים לאבטחת…
- xדניאל ספירמן מנהל מערכות מידע, צבר רפואהאנו עובדים עם חברת OK יועצים לניהול החל משנת 2019 בנושאים שונים הקשורים לאבטחת מידע. השנה התעורר לנו הצורך לבצע סקר סיכוני אבטחת מידע ומבדק חדירה תשתיתי חיצוני כדי לבדוק את עמידות החברה בפני התקפות עוינות. לשמחתנו חברת OK יועצים עוסקת גם בנושא זה. הייעוץ שקיבלנו היה מאד מקצועי, מאיר עיניים והתבצע באווירה נעימה. קיבלנו דו"ח מאד מקיף, ואני סומך על המקצועיות של היועץ והממצאים שלו. ממליץ ביותר לכל חברה המעוניינת לבצע מבדק חדירות / חוסן בזמן קצר, במקצועיות גבוהה ועלות סבירה ביותר.
- xניסן צור סמנכ"ל מערכות מידע (CIO) בחברת BOL Pharmaחברת BOL Pharma עוסקת בכל ההיבטים של שרשרת אספקת קנביס. כחברה שמחויבת לתקנים מחמירים פנינו לחברת OK יועצים לניהול לקבלת מענה לכל הצרכים הקשורים לאבטחת מידע ופרטיות. בשלב הראשון בצענו סקר סיכוני אבטחת מידע ומבדק חוסן תשתיתי עם יועץ החברה. בסופו של תהליך קיבלנו דו"ח מפורט מאד של 99 עמודים! הדו"ח מפרט את כל סיכוני אבטחת המידע שלנו מבחינת אבטחת תשתיות המיחשוב ונכסי אבטחת מידע, מודעות העובדים, סיכוני פריצה וכן את נהלי ותהליכי אבטחת המידע בחברה. מצגת מרכזת של המלצות לטיפול כולל סדרי עדיפויות הוצגה להנהלת החברה. היועץ עשה עבודה מאד מקצועית, יעילה וברוח טובה. הניסיון הרב שלו ניכר. אנו מרוצים מאד. ממליצים בשמחה.
