-
מבדקי חדירה - תקשורת חיצונית
(Penetration Testing - External Network)
בדיקה זו כוללת תקיפה של מערך התקשורת מכיוון רשת האינטרנט לעבר רשת החברה. בחינה זו תבוצע ברמת התקשורת אל מול ממשק התקשורת החיצוני של החברה (FW) האמור להגן על הרשת הארגונית אל מול העולם.
מטרת הבחינה - לקבל הרשאות גישה בלתי מורשות על הרשת המקומית וממנה להשתלט נכסי מידע רגישים.
-
הפעלת כלים ממוכנים המסוגלים למדמות מצבי תקיפה ומנסים לאתר חולשות ברמות השונות ולאתר חולשות, חוסר בתיקוני אבטחה מותקנים, הרשאות גישה חלשות וכו.
-
ביצוע תקיפה ידנית המבוססת על הכלים הממוכנים בה מבוצעת הדמיית תקיפה פרטנית על מנת לאתר חולשות ולממשן ברמת התקשורת והרשת על מנת להביא לידי מצב בו המערכת מאפשרת גישה בלתי מורשית למשאביה בכל אחת מהרמות: מערכות ההפעלה, בסיסי נתונים או רכיבי התקשורת.
-
מבדקי חדירה - תקשורת פנימית
(Penetration Testing - Internal Network)
בדיקה זו כוללת תקיפה של מערך התקשורת הפנימי בארגון. בחינה זו תבוצע ברמת התקשורת תוך התממשקות ל"נקודה חמה" ברשת הפנים ארגונית, במטרה לדמות גורם אשר קיבל קישור פנימי לא מורשה (כגון קבלן אשר חורג מתחום פעולתו או לחילופין עובד אשר מנסה להגיע למקורות מידע אשר אין לו הרשאות תקניות עבורן.)
מטרת הבחינה - לקבל הרשאות גישה בלתי מורשות על הרשת הפנימית המקומית וממנה להשתלט נכסי מידע.
אופן ביצוע המבדק:
-
הפעלת כלים ממוכנים המסוגלים לדמות מצבי תקיפה ומנסים לאתר חולשות ברמות השונות, חוסר בתיקוני אבטחה מותקנים, הרשאות גישה חלשות וכו'.
-
ביצוע תקיפה ידנית המבוססת על הכלים הממוכנים בה מבוצעת הדמיית תקיפה פרטנית על מנת לאתר חולשות ולממשן ברמת התקשורת והרשת על מנת להביא לידי מצב בו המערכת מאפשרת גישה בלתי מורשית למשאביה בכל אחת מהרמות: מערכות ההפעלה, בסיסי נתונים או רכיבי התקשורת.
מבדקי חדירה - בחינת מערך ה NAC - Network Access Control
-
ארגונים רבים מממשים מוצרי - NAC בחלק ממערך ההגנה על הרשת הפנימית. עם הסתמכות על מערך ה- NAC נוטים ארגונים לבטל אמצעי הגנה אחרים מתוך הבנה כי מערך ה - NAC מספק מעגל הגנה חזק דיו להתמודד עם מתקפות פנים רשתיות. הלכה למעשה, ארגונים רבים מממשים את מוצרי ה - NAC באופן הניתן לעקיפה, כך שחוסן הרשת המבוסס על ה - NAC הינו לקוי.
-
בחינת חוסן לבחינת מערך ה - NAC תבחן האם מימוש המוצר הינו מיטבי ואכן מונע גישה לרשת הארגונית/מנתק את התחנה התוקפת באופן יעיל ואמין.
מבדקי חדירה - אפליקציה (Penetration Testing - Application Level)
-
מבדקי החדירה המבוקרים כוללים סקירה היקפית של אפליקציות מרכזיות בארגון, בין אם כאלה המשמשות את לקוחות החברה או את עובדיה לשימושים פנימיים. הבחינה תבוצע ברמות המשתמש השונות (משתמש פשוט, משתמש פריוולגי וכו') הקיימות באפליקציות. בחינת החדירה האפליקטיבית תנסה לאמוד את היכולת של תוקף פוטנציאלי להסב נזק תדמיתי או כלכלי ללקוח ו/או לחברה.
-
הבחינה האפליקטיבית תתבצע ברמת GrayBox ויתבצע ניסיון לאיתור פרצות כגון:
-
SQL Injection
-
Logical Attacks
-
Parameter and User Input Tampering
-
State & Session Management Attacks
-
Session ID Replay/Brute Force
-
XML poisoning
-
Injection Attacks
-
Cross Site Scripting
-
etc...
מבדקי חדירה VoIP - מערכות הטלפוניה
על ארגונים בכל הגדלים אשר אימצו Telephony IP לשקול ברצינות את נושא אבטחת המידע. אל מול מספרים גדלים והולכים של ארגונים המאמצים Telephony IP עולים האקרים ופושעים מסוגים שונים המנצלים חולשות הקיימות בטכנולוגיה זו למטרותיהם. סקר אבטחת המידע המתקדם של Secaudit מסייע במתן מענה הגנתי אל מול איומים פנימיים וחיצוניים למשתמשים בטכנולוגיית Telephony IP.
האיומים הנפוצים ב Telephony IP הינם:
-
הונאה: גניבת שיחות מתרחשת כאשר תוקף חודר לרשת ולמרכזיית ה – IP תוך שהוא "חוטף" קווים לשם ביצוע שיחות חיוב מקומיות, שיחות מעבר לים, או כל שירות אחר המסוגל לבצע חיוב על בסיס קו טלפון.
-
ציטוט והאזנה: הגם שציטוט והאזנה אינם סיכון ייחודי ל - Telephony IP, הרי שאופי רשת ה IP הופך אותה לנגישה וחדירה הרבה יותר. אין צורך עוד בגישה פיזית למרכזיה לשם ציטוט לקווים ומרגע שהושגה גישה ניתן לבצע האזנה רציפה מנקודה מרוחקת בכל מקום בעולם.
-
מניעת שירות - Denial of Service: התקפות מניעת שירות מסוגלות להשפיע על כל רשת שהיא, כמו גם רשתות - Telephony IP. פעולת מניעת השירות מתבצעת ע"י "הצפת" הרשת בבקשות.
-
פריצה ל VoIP: כמו לכל מערכת המבוססת IP, גם ברשת Telephony IP קיים סיכון של פריצה מבחוץ. פריצה מעין זו משפיעה של כלל המשתמשים ועלולה להסתיים בפריצה גם לרשת המידע הארגונית.
-
Spit - Spam over Instant Messaging: בעוד דואר אלקטרוני ניתן לבחינה כי הוא נקי מספאם טרם העברתו למשתמש, הרי שספאם על ערוץ תקשורת הטלפוניה אינו ניתן לניקוי בשיטה דומה, לאור העברת המידע המידית המתרחשת בעת שיחה. בשל כך קיים הסיכון של :"שיחות זבל" בדיוק כמו "דואר זבל".
HVAC - Heating, Ventilating, and Air Conditioning - מבדקי חדירה
-
מערך המיזוג והחשמל בארגונים מהווה את רמת התשתית הבסיסית ביותר, ללא תשתית זו, כל מערך המחשוב הארגוני ומערך המחשוב המשמש לגיבוי לאינו יכול לפעול. מערך ה HVAC מבוסס מערכות הפעלה מוכרות (WIN בדרך כלל), כמו גם רכיבי תקשורת סטנדרטים, כמו גם רכיבי בקרה ייחודיים (כגון בקרים,HMI וכו').
-
יכולת לחדור למערך ה - HVAC ולחבל ברכיביו, תביא בוודאות למצב בו מערכי המחשוב יקרסו כתוצאה מכיבוי מערכות או משינוי הגדרות הבסיס (מתי מערכת מיזוג משנית נכנסת לפעולה/מתי מערכת גיבוי מתח נכנסת לפעולה וכו').
-
בחינת החוסן למערך ה -HVAC כוללת בחינת חוסן המדמה תוקף שמטרתו השתלטות על מערך הבקרה ברמת ניהול כולל.
Brute Force - מבדקי חדירה ממוקדים למנגנון ההזדהות
-
מעגל ההגנה הראשון המזהה לקוח הינו מנגנון ההזדהות האישי. מנגנון זה מורכב ברוב המקרים משם משתמש וסיסמא. על מנת להגן על מנגנון זה מפני תקיפה, מממשים ארגונים מנגונונים כגון נעילת משתמש לאחר מספר נסיונות כושלים. ניכר כי הגנה זו אינה מספקת ומותירה בפני גורם עויין אפשריות תקיפה נספות רבות.
-
בדיקה זו בוחנת באופן מקיף את מנגנון ההזדהות ומוודאת כי אכן, לא ניתן לחדור למערכת תוך שימוש במתקפות על מערך ההזדהות כגון תקיפות:
-
Brute Force
-
Reversed Brute Force
-
שאיבת שמות משתמשים וסיסמאות
-
איתור שמות משתמשים וסיסמאות הנשמרים מקומית
-
שינוי הגדרות נתונים מקומית במטרה לקבל הרשאות צפיה/עדכון וכו'.
-
כמו כן, במידה ומופעלים כלי הגנה כגון WAF ואחרים, תוכל הבדיקה לאשש כי הם מבצעים/אינם מבצעים תפקידם כמצופה.
חוק הגנת הפרטיות - מבדקי חדירה
חוק הגנת הפרטיות 1981, והתקנות המעודכנות שפורסמו ב 8.5.2017 ונכנסו לתוקף ב 8.5.2018, מציבות דרישה בסעיף 5(ג) (קישור לתקנות):
"במאגר מידע שחלה עליו רמת האבטחה הגבוהה, בעל המאגר אחראי לכך שייערכו מבדקי חדירות למערכות המאגר לבחינת עמידותן בפני סיכונים פנימיים וחיצוניים, אחת לשמונה עשר חודשים לפחות; בעל המאגר ידון בתוצאות מבדקי החדירות ויפעל לתיקון הליקויים שהתגלו, ככל שהתגלו. (ה) ארגון שהוא בעל כמה מאגרי מידע, רשאי לקבוע את רשימת המצאי כאמור בתקנת משנה (א), במסמך אחד לעניין כל מאגרי המידע שברשותו, המצויים באותה רמת אבטחה וכן רשאי לקיים את החובות הקבועות בתקנות משנה (ג) ו-(ד) בסקר סיכונים או במבדק חדירות, לפי העניין, אחד לעניין כל מאגרי המידע שברשותו, המצויים באותה רמת האבטחה. הגנה הראשון המזהה לקוח הינו מנגנון ההזדהות האישי. מנגנון זה מורכב ברוב המקרים משם משתמש וסיסמא. על מנת להגן על מנגנון זה מפני תקיפה, מממשים ארגונים מנגנונים כגון נעילת משתמש לאחר מספר נסיונות כושלים. ניכר כי הגנה זו אינה מספקת ומותירה בפני גורם עוין אפשריות תקיפה נספות רבות".
דרישות אלה לביצוע בפועל של מבדקי חדירה מחייב שימוש בגורמים מומחים בתחום זה המסוגלים לספק מענה הולם לדרישת החוק. חברת SECAUDIT הינה מומחית
בביצוע מבדקי חדירה בהתאם לדרישות החוק.
תוצר העבודה כולל:
-
פירוט הכשלים כפי שהתגלו.
-
משמעות אפקטיבית של קיום כלשים אלה.
-
קביעת רמת הסיכון הנוכחית/מיידית לארגון ולמידע.
-
המלצות פרטניות לטיפול בליקויים שהתגלו.
Penetration Testing - Penetration Testing