חיפוש משרות בדיקות חדירות
סוגי בדיקות חדירות
בדיקת חדירות מתייחסת לבדיקה שנעשית על-ידי מתקפה, שמטרתה איתור פרצות אבטחה או חולשות במערכות המחשוב או התשתיות הארגוניות, ואותה מבצע איש ה-PT (penetration tester).
מטרת הבדיקה ליצר לארגון תמונה על מידת המוגנות של מערכות המידע בארגון, להעריך את מערכות האבטחה של הארגון על כל מוצר או תשתית בארגון שמכילה מידע.
בדיקת חדירה מדמה ניסיון של התקפה על הארגון, ובמהלכה נאסף מידע שעוזר לארגון להבין עד כמה מוצרי אבטחת המידע בארגון מגינים על המידע, באיזה מהירות ואופן הן מגיבות ואיזה מידע של הארגון עלול להיות חשוף לפורצים פוטנציאלים.
בדיקות החדירות מתבססות על מתודולוגיות מוכרות בתעשייה כגון – MITRE, TOP10 OWASP, PTES, OSSTMM ועוד.
מה עושה בודק חדירות ואילו סוגי בדיקות חדירות יש?
ישנם שלושה סוגי מבדקים
White Box
בדיקת White Box או בדיקה פנימית, מתייחסת לסוג בדיקה שבה הבודק חשוף למידע אודות האגון ומערכותיו, כדי שיוכל לבצע בדיקה מעמיקה ומקיפה ולמצוא כמה שיותר פגיעויות.
בדיקה זו מדמה למשל תוקף מתוך הארגון, שחשוף ובעל נגישות לרשת הארגונים ומשאביה השונים של החברה.
היתרון בבדיקה זו היא שהיא מהירה יותר (לא צריך למצוא דרכים להגיע למידע מסווג), אך החיסרון הוא שהיא לא מדמה מצב של תוקף מחוץ לארגון.
כאשר מדובר בבדיקת White Box לתוכנה – הבודק יקבל נגישות לקוד המקור, אפיון ומידע מפורט כדי למצוא פגיעויות בקוד או באופן העבודה של צוות הפיתוח.
בדיקה זו נפוצה בחברות מוצר שם הבודקים יקבלו גישה לקוד.
Gray Box
בדיקת Gray Box או בדיקה משולבת, מתייחסת לסוג בדיקה שבה הבודק חשוף למידע חלקי הנוגע לארגון ומערכות המידע שלו. בדיקה זו יכולה להתבצע מתוך הארגון או מחוצה לו.
כאשר מדובר בבדיקת Gray Box לתוכנה – גם כאן הבודק יקבל מידע חלקי הנוגע לקוד כדי למצוא פגיעויות. כך שהבודק יצטרך להשתמש גם בקוד, אך גם יאלץ למצוא דרכים נוספות “לפרוץ” לתוכנה.
Black Box
בדיקת Black Box או בדיקה חיצונית, מתייחסת לסוג בדיקה שבה הבודק לא נחשף למידע אודות הארגון ומערכות המידע שלו.
לרוב בדיקה זו תתבצע כבדיקה חיצונית (מחוץ לארגון), ובה הבודק ינסה “לפרוץ” לארגון ולחדור את מערכות ההגנה.
היתרון שבבדיקה זו היא שהיא מדמה באופן יותר מציאותי את פעולתו של תוקף פוטנציאלי המעוניין לפרוץ לארגון.
החסרונות בבדיקה זו הן שהבדיקה ארוכה יותר (משום שחלק מהותי מהניסיון “לפרוץ” לארגון ידרוש איסוף מידע ומחקר על הארגון).
בנוסף, היות ולא כל המידע חשוף לבוחן, סביר שהבדיקה לא תצליח לכסות ולהגיע לכל השטחים בעלי סיכון פוטנציאלי לארגון, אלא רק למה שהבודק החליט לנסות ולתקוף.
כאשר מדובר בבדיקת Black Box לתוכנה – בבדיקה זו הבודק למעשה ינסה לפרוץ למוצר, לאתר או לאפליקציה של הארגון (בדיקות WEB Application), כאשר אין בידיו מידע מקדים אודותיהם.
תתי קטגוריות של מבדקי חדירה
מבדק הנדסה חברתית (Social engineering)
בדיקות אלו מתייחסות מפגיעויות הנובעות מהגורם האנושי בארגון, ולא מאופן פעילות המערכות בצורה ישירה.
מבדקי הנדסה חברתית הם מבדקים הדורשים יצירתיות ומיומנות של הבודק, וצריכות לקחת בחשבון שמירה על כללים אתים. לרוב הבדיקה תכלול ביצוע מניפולציות על עובדי הארגון שיאפשרו לבודק “לפרוץ לארגון”
בדיקה זו מתבצעת באמצעות ביצוע מניפולציות על האנשים עצמם בכדי לגרום להם לבצע פעולות שיעזרו לבודק לחדור לארגון.
דוגמאות למבדקי הנדסה חברתית – שליחת מייל phishing או מבחן פיזי (ניסיון להסתנן פיזית לתוך ארגון).
מבדק חדירה תשתיתי (PT תשתיתי)
בדיקה זו מתמקדת בדרכים לפרוץ לתשתיות הארגון, ותכלול בדיקה של הרשתות, מערכות ההפעלה, השרתים, מערכות אבטחת המידע בארגון, מאגרי הנתונים, הגדרות ההקשחות בארגון ועוד.
מבדק חדירה אפליקטיבי (PT אפליקטיבי)
בדיקה זו מתמקדת בדרכים לפרוץ לארגון דרך ממשקי WEB או ממשקים אפליקטיביים.
הבדיקה כוללת בדיקת חולשות באפליקציה וכשלים טכניים אפשריים שעשויים להוביל לפרצת אבטחה.
מבדקי הWEB מבוססים לרוב על רשימת TOP10 של OWASP (Open Web Application Security Project ) – מדריך אשר מנחה ומאגד בתוכו חולשות מוכרות ועיקריות בצד האפליקטיבי.
ביצוע של בדיקת חדירות אפליקטיבית, הוא דרישה מרכזים בתקני אבטחה ורגולציות נפוצים כגון – HIPAA, PCI, DSS, FISMA ועוד.
“SeeHR הינו הגוף המקצועי והמתקדם ביותר בישראל בתחום גיוס עובדים והשמת עובדים לסייבר. אנו מגייסים לתחומים של אבטחת מידע, פיתוח תוכנה, מחקר, תשתיות IT, תקשורת ועוד”
אם התעניינתם בסוגי בדיקות חדירות, אולי יעניין אתכם גם: