PT

Penetration tester (בחברות מסוימות יקרא יועץ אבטחת מידע), הוא האדם שאחראי לבצע מתקפות מתוכנות על מערכות ותשתיות המידע של הארגון, במטרה לעזור במציאת נקודות חולשה או חורי אבטחה קיימים, ולעדכן את החברה האם קיימת פרצה באבטחת המערכת או תשתיות המחשוב של החברה.  

במסגרת הבדיקה, ה-PT בודק האם ניתן לגשת לפרצות שמצא והאם באמצעות ניצול של החולשות ניתן להגיע למערכות החברה.

בנוסף הוא בודק האם המערכות שאמונות להגן על החברה מפני חדירה אכן מבצעות את תפקידן כראוי וחוסמות את התוקף.  

אם אכן מצא איש ה-PT פרצות לארגון או חולשות באבטחה, הוא ידווח על כך לאנשים הרלוונטיים בארגון (מזמין הבדיקה או ה-CISO), ויחד איתם יתכנן את דרכי ההתגוננות והתיקון של אותם חורים, כמו גם בניה של אסטרטגיית פעולה להגנה בזמן אמת.

בסיום הבדיקה ירשום ה-PT דו”ח מסכם שיפרט את החולשות שנמצאו, יתאר את הסיכון הארגוני הקיים בכל הפרצות שנמצאו, יעריך את עוצמת וחשיבות הסיכון וימליץ לארגון דרכים אפשריות לשיפור ההגנה, תוך התחשבות בתיעדוף לביצוע לפי רמת המסוכנות לארגון.

ארגונים מסוימים משתמשים לעיתים בתוכניות Bug bounty – שימוש ב”האקרים לבנים” למציאת פרצות בארגון.

האקרים לבנים

האקרים הלבנים משתמשים בידע טכנולוגי ומיומנויות מתקדמות כדי לפרוץ למערכות מחשב או לקבל גישה למידע.

מונח זה נפוץ בעיקר בתחום המחשבים והסייבר ומתייחס לפעילות של פריצת מערכות מחשב או רשתות באמצעות שימוש בטכניקות וכלים מתקדמים.

הסיבות לפעולות יכולות להיות מגוונות, כולל רצון לגנוב מידע, לגרום נזק כלכלי או להפיל מערכות.

Red team

הצוות האדום הוא כינוי לקבוצה שלוקחת על עצמה את תפקיד האויב, ו”משחקת” תפקיד של מתחרה או תוקף, במטרה לספק משוב אבטחה מנקודת מבטו של תוקף. 

התפקיד של הצוות האדום הוא יותר נקודתי וממוקד מתפקידו של ה-PT, שתפקידו למצוא כמה שיותר חורי אבטחה.

ההבדל המרכזי בניהם הוא שצוות אדום נדרש למצוא חולשות חדשות שאותן הארגון עדיין לא מכיר, בשונה מה-PT שאחראי על בדיקת חוסן ומציאת חולשות מוכרות. 

במרבית המקרים, אנשי הצוות האדום יקבלו ממזמין השירות (לרוב מנהל בכיר בארגון או מנהל אבטחת המידע/מנהל IT) להשיג מטרה מסוימת (סוג של CTF – “Capture the flag”). 

כדי להשיג את המטרה, יכולים אנשי הצוות האדום לרוב להשתמש באיזה אמצעי שירצו, ולהביא עדויות לכך שהמטרה הושגה. מטרה שכזו יכולה למשל להיות להגיע למסמכים בתקיה מסוימת בארגון. 

פעילות הצוות האדום, מדמה באופן מציאותי יותר את הדרך שבה תוקף פועל, ולרוב נעשית ממש כמו שתוקף היה פועל – ללא ידיעת העובדים בארגון, פרט למזמין השירות. 

חשוב לציין כי לרוב אנשי PT  ואנשי red team יחזיקו באותן יכולות דומות, וקיימות חברות שיתנו את שני השירותים האלו עבור לקוחותיהם. מה שיגדיר את אופי העבודה הוא השירות שהוזמן. 

כמובן שישנם אנשים שיתמחו בצוות אדום וכאלו שיתמחו יותר בבדיקות חדירות, אך באופן כללי לא קיימת הפרדה מוגדרת בניהם בתוך הצוות. 

איפה נדרשים אנשי PT/red team?

• בחברות ייעוץ – אנשי PT/red team שעובדים בחברות ייעוץ יתנו שירותים לארגונים שהזמינו את שירותם. לרוב העבודה תהיה פרוייקטלית מול לקוחות שונים ומוגבלת בזמן. 
• חברות מוצר – אנשי PT/red team שעובדים בחברות מוצר, ינסו למצוא חולשות במוצר או בסביבות שהמוצר מגן עליהם. לפעמים גם בתשתיות של הארגון עצמו.
• בארגונים גדולים – אנשי PT/red team שעובדים בארגונים גדולים, לרוב יחפשו חולשות בתשתיות הארגוניות.

מה הבדל בין חוקרי חולשות לבין red team לבין PT?

ההבדל בעיקרי בין שלושת הקטגוריות נובע בעיקר מסוג הבדיקות שיבוצעו ובסוג החברה שבה יפעלו. 

חוקרי חולשות גם הם סוג של red team מהבחינה שהם מדמים את האויב ומנסים לפרוץ למערכות ולזהות חולשות. 

ההבדל בניהם הוא שחוקרי חולשות לרוב יעבדו בחברות מוצר, ועבודתם תהיה למצוא חולשות במוצר או בסביבות שהמוצר מגן עליהם, בעוד שחוקרי red team יחקרו חולשות המתייחסות לסביבה הארגונית. 

PT תפקידו לחפש חורי אבטחה (לרוב גם הכוונה בעיקר בסביבה הארגונית) – הPT לא מבצעים פריצות אלא מתריעים על חורי אבטחה ובסיום הבדיקה שלהם מגישים דו”ח מפורט לחברה שביקשה את שירותם. 

“SeeHR הינו הגוף המקצועי והמתקדם ביותר בישראל בתחום גיוס עובדים והשמה בתחום הסייבר. אנו מגייסים לתחומים של אבטחת מידע, פיתוח תוכנה, מחקר, תשתיות IT, תקשורת ועוד”

לקריאה נוספת:

• מה עושה בודק חדירות
• מה עושה חוקר סייבר?
• משרות בודק חדירות
• שכר בודק חדירות