מבדק חדירה (באנגלית: Penetration Test או בקיצור PT) מתייחס למבדק המדמה התקפת סייבר שמטרתו לאתר חולשות בארגון הניתנות לניצול ע”י התוקף לפגיעה במערכות המידע או בתשתיות הארגון.
ישנם מספר סוגים של מבדקי חדירה: מבדקים אפליקטיביים ומבדקי תשתית. מבדקים בהם מקבלים מידע מלא או חלקי על היעד המותקף או מבדקים בהם הפורץ לא מקבל כל מידע מעבר למטרה.

האקר לבן או האקר אתי (באנגלית: Ethical Hacker) שאחראי למבדק נדרש להיכרות עומק בנושא קוד, תקשורת, מערכות אבטחה, מתודולגיות נפוצות לאבטחת מידע ומנגנוני עקיפה (ByPass) של מערכות. האקר טוב חייב להיות מעודכן באופן תמידי שכן פרצות אבטחה נחשפות כל הזמן והיכרות עם פרצות חדשות מאפשר להאקר לאתר ולנצל את החולשות בארגון.

האקר איכותי לא עובד לפי מתודולוגיה נפוצה אלא מחוייב לעבודה יצירתית, חשיבה מחוץ לקופסה תוך נטרול הגבולות המוכרים וניצול חולשות טכנולוגיות ואנושיות.
מערכות אבטחה טכנולוגיות, יודעות לזהות דפוסי התנהגות חשודה, ללמוד את פעילות המשתמשים והרשת ובכך למנוע מההאקרים לחדור למערכת. האקר טוב לומד את הארגון וחולשותיו ופוגע במקומות הכי לא צפויים. כל הדרכים לגיטימיות והן יכולות להיות באמצעות פריצה לשרת או אפליקציה, ניצול תום לב של עובדי החברה, פריצה דרך ספקים או דרך התקני קצה כמו מדפסות, טלויזיות חכמות או מערכת הטלפוניה.

RedX עובדת עם מספר האקרים, לכל פרויקט מותאם האקר ייעודי המותאם לסוג המבדק, אופי הארגון ורמת האבטחה הקיימת בארגון.
תהליך המבדק כולל שימוש במערכות טכנולוגיות מתקדמות, סריקות אוטומטיות של תשתיות הארגון מבפנים ומבחוץ, איתור אנשי מפתח, ספקים, מערכות ושירותי ענן. תפקידו של ההאקר שאוסף את המידע לאתר את הדרך הקלה והמהירה ביותר למטרה.
המטרה יכולה להיות מידע פנימי רגיש כמו: רשימת לקוחות, תלושי שכר, דוחות כספיים או השבתה של התקשורת, שרת או שירות או שיבוש מידע כמו שתילת קוד במערכות הרגישות של החברה.

דו”ח מבדק חדירה: הדו”ח כולל תיאור מטרת המבדק, היקפו, סוג המבדק, הכלים בהם השתמש ההאקר לתהליך, הממצאים לפי חומרת סיכון והמלצות לתיקון.

סוגי מבדקי חדירה:

  • Infrastructure Pentest
  • Social engineering Pentest
  • Web Application Pentest
  • API Pentest
  • Mobile Application Pentest
  • External Network Pentest
  • AWS Pentest
  • Code Assisted Pentest

 

שאלות נפוצות

  • מי נדרש לבצע מבדקי חדירה?
    מבדקי חדירה נדרשים כחלק מדרישות רגולציה לארגונים המחזיקים במאגרי מידע שחלה עליהם רמת האבטחה הגבוהה, או לפי דרישת לקוחות. אך לרוב, המבדקים מבוצעים באופן וולנטרי בכדי לאפשר לארגון לבחון את חוסנו בתחום הסייבר ואבטחת המידע.
  • כל כמה זמן נדרש לבצע מבדק חדירה?
    דרישות רגולציה של תקנות הכנת הפרטיות, דורשות מבדק כל 18 חודשים, אך תדירות המבדקים תלויה באופי וגודל הארגון, כמו גם סוג המידע. חלק מהארגונים מבצעים מבדקים שגרתיים כחלק מתהליך הפיתוח ולפעמים באופן ממוקד למערכת, מחלקה או תשתית ספציפית בארגון.
  • מה כולל מבדק החדירה?
    כל מבדק שונה במהותו מאחרים ומותאם למטרת המבדק. מכיוון שיש אינספור דרכים לחדור לארגון ומגוון רחב של מערכות הגנה, תכולת המבדק תקבע לאחר הגדרת המטרה ע”י הלקוח.
  • האם תהליך המבדק יכול לגרום לנזק?
    מבדק חדירה כולל שימוש בכלי פריצה מתקדמים, כתיבת סקריפטים וביצוע פעולות מניפולטיביות אשר יכולות לגרום לנזק ישיר או עקיף. הסבירות לנזק נמוכה, אך סוג הפעילות מחייב מהמזמין להבין את ההשלכות והסיכונים האפשריים. כמובן שכל ארגון יעדיף לגלול נזקים מסוג זה בסביבה מבוקרת ולא בהפתעה.