ביצוע מבדק חדירה / Penetration Test / PT / מבדק חוסן

אנו בצעים מבדקי חדירה בזמן קצר ובעלות סבירה. דברו איתנו!

להרשמה השאירו פרטים


ארכיון ניוזלטרים >>

מבדק חדירה / Penetration Test / PT / מבדק חוסן הוא מבדק שמדמה תקיפה על מערכות המידע והמיחשוב של הארגון במטרה לאתר פריצות וסיכונים. בסיום המבדק הארגון מקבל דו"ח המסכם הממצאים והסיכונים שאותרו כדי שהארגון יכין תכנית פעולה על מנת לסגור את הפרצות ולהקטין את סיכוני הכשל הנגרמים מאבטחת מידע לקויה.

למה לי מבדק חדירות עכשיו?

אין זמן טוב יותר מעכשיו מהסיבות הבאות:

  • חברה שבבעלתה מאגר מידע שרמת האבטחה הנדרשת ממנו היא גבוהה חייבת לבצע מבדק חדירה למערכות המאגר אחת לשנה וחצי ולתקן את הפרצות המתגלות כדי לוודא עמידות בפני סיכוני אבטחה.
  • משבר הקורונה ונגזרותיו משנה את עולם העבודה. ארגונים עוברים לעבודה מרחוק וחושפים את עצמם לסיכוני אבטחת מידע.
  • הקטנת סיכון ממתקפות עויינות על מאגרי המידע של הארגון אשר חושפות את הארגון לאובדן מידע, ריגול תעשייתי ואף סחיטה באמצעות דרישות כופר.
  • מניעת נזק כלכלי – השבתה חלקית או מלאה של מערכות המידע בארגון כתוצאה מסיכון שמתממש משתקת את פעילות הארגון לזמן מה וגורמות נזק אדיר
  • עמידה בדרישות לקוחות של הארגון הדורשים לבצע מבדקי חדירה תקופתיים כדי להבטיח שלא תהיה דליפה של מידע דרך הספק לו יש גישה למערכות, או דרך מערכות או שהספק מספק לארגון
  • עמידה בדרישות רגולציה - תקנות הגנת הפרטיות (אבטחת מידע) התשע"ז-2017  / GDPR /HIPAA דורשות במקרים מסוימים הוכחה לביצוע מבדקי חדירות

למה לעבוד דווקא עם חברת OK יועצים לניהול?

  • יש לנו מומחיות בביצוע מבדקי החדירה
  • מבדקי החדירה מבוצעים על ידי יועצים מנוסים להם ידע רחב בתחום וניסיון בביצוע מבדקים כאלה בארץ ובעולם;
  • המבדק נעשה באמצעות הרצת כלים אוטומטיים, בשימת דגש על מניעת פגיעה במערכת
  • כלי הסריקה שלנו הינם מהידועים בשוק אבטחת המידע. בנוסף אנו מריצים תסריטי בדיקה ייעודיים שפותחו על ידינו.
  • One-Stop-Shop
  • לחברתנו צוות יועצים מנוסה הנותן כיסוי מלא לכל דרישות אבטחת המידע של הארגון, כולל: מבדקי חדירה (כמובן), HIPAA , תקן 27001 ISO, תקן 27799 ISO, ועוד.
  • צוות היועצים המולטי-דיסציפלינארי שלנו נותן מענה גם לצרכים נוספים שלכם הקשורים לתקנים או שיפור תהליכים
  • סיוע בהטמעה או ניהול אבטחת מידע במיקור חוץ / CISO
  • לפי הצורך, אנו מסייעים גם בהטמעה ו/או יכולים לספק לכם מנהל אבטחת מידע במיקור חוץ
  • תהליך הייעוץ שלנו מהיר והמחיר ממש הוגן, נסו אותנו!

רוצים שנעשה זאת עבורכם?
התקשרו לאורנה: 053-7739018 או מלאו את הפרטים שלכם:

שאלות נפוצות

מהם שלבי העבודה של מבדק חדירה?

להלן שלבי העבודה:

איסוף מידע

השלב כולל הרצת כלים אוטומטיים, בשימת דגש על מניעת פגיעה במערכת. כלי הסריקה הנם מהידועים בשוק אבטחת המידע. בנוסף אנו מריצים תסריטי בדיקה ייעודיים שפותחו על ידינו.
ניתוח תרחישי איום כולל:

א. ניתוח של הגורמים העוינים המהווים סכנה לארגון.

ב. ניתוח סוגי האיומים המרכזיים אשר עומדים בפני האפליקציה.

ג. ניתוח סוגי האיומים המרכזיים אשר עומדים בפני משתמשי המערכת.

בניית תכנית סקירה

בהתאם לנתונים שנאספו ולתרחישי האיום נבנית תכנית מתאימה בהתאם לתרחישים. התוכנית כוללת את השיטה, האמצעים והמשאבים העומדים לרשותנו.

ביצוע מתקפות

לאחר בניית תכנית פעולה, תבוצע בדיקת חדירה (Penetration Test) אפליקטיבית. ביצוע המתקפות נעשה בצורה ידנית וללא מטרה לפגיעה בפעילות המערכת. בשלב זה בא לידי ביטוי מיומנות וניסיון המבצע. הערך המוסף בבדיקות בתצורה זאת ניכר ביכולת לשלב את ממצאי הכלים האוטומטיים ולבצע בחינת עמידות המערכת בפני מתקפות מתוחכמות המשלבות מספר חולשות לכדי יכולת שליטה ופגיעה בתשתית האפליקטיבית ובמידע.

הבדיקה מתבססת על מתודולוגיית Open Web Application Security Project ,OWASP  הבודקת את הנושאים והתרחישים הבאים:

  • בדיקת גישה והרשאות עבור משתמש שאינו מורשה.
  • וידוא קלטים ופלטים.
  • חריגת הרשאות עבור משתמש מורשה בעל הרשאות רגילות.
  • ניסיונות התחזות בשם משתמש אחר.
  • אימות שדרים.
  • אישור אמיתות נתונים.
  • ביצוע ניסיונות השתלטות על Session / קישור קיים
  • ביצוע מתקפות מבוססות קלט.
  • ביצוע מניפולציית פרמטרים לצורך עקיפת ללוגיקה באפליקציה
  • חשיפת מידע אודות מבנה האפליקציה, קוד המקור, טופולוגית הרשת וכו'.
  • בחינת עמידות תשתית השרתים וציוד התקשורת בפני מתקפות אבטחת מידע ויצירת נתיב גישה
  • למערכת ולבסיס הנתונים.

ניתוח החשיפות

בשלב זה מבצע ריכוז של כל הנתונים שהושגו בשלבים הקודמים. על בסיס נתונים אלו מבוצעת הערכה לגבי פוטנציאל החדירה ותוצאות אפשריות וכן המשמעויות העסקיות.

מהם התוצרים של מבדק החדירה?

תוצרי העבודה כוללים:

  • תמצית מנהלים – התמצית כוללת הסבר על תהליך הבדיקה וכן את עיקרי הממצאים וההמלצות:
  • פירוט הרכיבים שנבדקו
  • פירוט מתודולוגית הבדיקה
  • תיאור מפורט של הממצאים. התיאור יכיל את המידע הבא עבור כל אחת מהחשיפות:
    • תיאור כללי של החשיפה
    • תיאור מפורט של החשיפה
    • ניתוח חומרת החשיפה בהיבט הנזק שעלול להיגרם ורמת ההסתברות למימושו
    • המלצות ראשוניות ליישום
    • מידע נוסף הקשור לחשיפה, באם רלוונטי

 

 

רוצים שנעשה זאת עבורכם?
התקשרו לאורנה: 053-7739018 או מלאו את הפרטים שלכם: