The Marker - חזרה לעמוד הבית
חיפוש

בדיקת חדירות לעסקים: הדרך לאיתור פרצות אבטחה

חברות וארגונים רבים חשופים לפשעי דיגיטל וגניבת מידע. אחת הדרכים היעילות להגברת אבטחת המידע היא בדיקת חדירות לעסקים, המאפשרת איתור חולשות וכשלים באבטחה. כך זה מתבצע

שיתוף בוואטסאפ

הדפסת כתבה זמינה למנויים בלבד

ללא פרסומות ותמונות, ובהגשה נוחה להדפסה

לרכישת מינוי
תגובות:

קריאת זן זמינה למנויים בלבד

ללא פרסומות ובהגשה נוחה לקריאה

לרכישת מינוי
בדיקת חדירות לעסקים
בדיקת חדירות לעסקים
צילום: Shutterstock
לירון סובול
תוכן שיווקי

הפעילות במרחב הדיגיטלי שהפכה למרכיב מרכזי בארגונים, בחברות ובעסקים, מביאה עמה עלייה גם בפשיעה הדיגיטלית, פרצות האבטחה וגניבות המידע. הסיכונים שעלולים לגרום גם לקריסה ולהפסדי ענק, מהווים איום על כל ארגון כשלעיתים הנזק אף עלול לרסק חברות ועסקים.

אחד הכלים המתקדמים כיום לאיתור פרצות הבטחה הוא בדיקת חדירות. מדובר במבדק חוסן שבמהלכו מתבצעת מתקפה מתוכננת ומבוקרת המאפשרת איתור וזיהוי פריצות וחולשות באבטחה ובכך לספק תובנות לחיזוק והידוק האבטחה.

מה כוללת הבדיקה ומדוע היא משמעותית לארגונים גדולים, בינוניים וקטנים? על כך משיבים המומחים בתחום: רדאנטרי, Hermeticon ופורס מאז'ור.

רדאנטרי

אחד הנושאים שחברות וארגונים מקדישים להם יותר ויותר תשומת לב בשנים האחרונות, הוא נושא אבטחת המידע. הרגולציה שמחייבת אמצעי זהירות על פי חוק, לצד הסכנות בפרצת אבטחה בתוך הארגון הם אלו שהביאו גופים רבים לנקוט אמצעי זהירות. אחד הכלים החשובים בתחום הזו הוא מבדקי חדירות, תחום בו ישנה לחברת רדאנטרי התמחות. בראש החברה עומד עומר זכאי, שמגיע עם רקורד עשיר בעולם אבטחת המידע והסייבר, כאשר לפני הקמת רדאנטרי שימש כראש תחום טכנולוגיות סייבר בתהיל"ה, במשרד ראש הממשלה.

תהליך שבסיומו הלקוח מוגן

"במסגרת מבדקי החדירות אנו מדמים פעילות של תוקף או את הצורה בה התוקף רואה את המערכת של הלקוח ומדמים תקיפה מבוקרת שבסיומה אנחנו נותנים ללקוח דוח", מסבירים בחברת רדאנטרי. "בעזרת הדוח אנחנו עוברים עם הלקוח תהליך שבו אנחנו מסבירים לו היכן החולשות והפגיעות האפשריות ומכווינים אותו כיצד לתקן את הבעיות. אם הלקוח מעוניין בכך, אנחנו גם אלו שמבצעים את התיקונים הדרושים בפועל, מתוך מטרה שהלקוח ימצא את הבעיות עוד לפני שהתוקפים עושים זאת". פרט למבדקי החדירות, מציעים ברדאנטרי גם שירותים מנוהלים, במסגרתם מנטרת החברה את הרשת של הלקוח באמצעות אנליסטים שמתריעים בזמן אמת במקרה של תקיפה ויודעים לעצור אותה. שירות נוסף הוא ליווי אבטחת מידע, שבו החברה מלווה את הארגון ומייעצת בעולם של אבטחת המידע.

רדאנטרי
רדאנטרי

בחברה מוסיפים כי הסכנות העורבות בתחום הסייבר לארגונים ולחברות הן רבות ומשתכללות עם הזמן, כפי שמסביר זכאי: "פריצה יכולה לבוא לידי ביטוי בתוכנות כופרה, מה שגורם להשבתה של תשתיות העסק ולאובדן של הרבה מאוד כסף. לכן השקעה במבדק כזה נותנת ללקוח תמונה מלאה לגבי חולשות האבטחה שלו, הכנת תוכנית תיקון ומאפשרת להיות בראש שקט. בנוסף, כיום יש היבט נוסף שהוא נושא הרגולציה, כאשר ארגונים וחברות כיום נדרשים לעמוד בסטנדרטים מחמירים של אבטחת מידע כמו הגנת הפרטיות".

מבדקי חדירות לכל סוגי המערכות

ברדאנטרי מציעים ללקוח כמה אפשרויות של מבדקי חדירה – מבדק חדירה תשתיתי שבו החברה בוחנת את התשתיות של הלקוח מבפנים ומבחוץ על מנת להפיק דוח שיפרט את החולשות, את הבעיות ואיפה הוא נדרש להקשיח יותר את ההגנות עם המלצות מפורטות. "אפשרות נוספת", מסביר זכאי. "היא מבדקי חדירות אפליקטיביים, שם אנחנו בוחנים מערכות Web, מדמים בעזרת כל מיני טכניקות תקיפות על המערכת ומנסים לאתר איפה המפתחים פחות שמו לב לדברים שאפשר לנצל כנגד המערכת. בנוסף, אנחנו יודעים לבצע מבדקי חדירות גם בעולם המובייל, לאפליקציות המבוססות גם על מערכת הפעלה אנדרואיד וגם על אלו שמבוססות iOS. שם אנחנו מקבלים את האפליקציה ולפעמים גם את קוד המקור ומדמים טכניקות תקיפה ייעודיות לעולם המובייל על מנת להפיק דוח מסודר ללקוח".

הוא מוסיף כי ב-Redentry מתקיים תהליך מול הלקוח עוד בטרם הבדיקה, בו נבחרת צורת הגישה של אותו מבדק חדירות, לפי רמת חשיפת המידע שתקבל החברה מהלקוח. "כל הדוחות שלנו עומדים בסטנדרטים והרגולציות העולמיות", אומר זכאי. "אם זה תקני ISO, SOC או GDPR. התהליך שלנו מול הלקוחות עובד כך שהלקוח מקבל קודם כל את הדוח הראשוני שמדרג את הבעיות לפי דרגות חומרה, הלקוח מתקן את הממצאים ולאחר מכן אנחנו עושים מבדק חוזר ומוודאים שהכול תוקן. בסופו של התהליך הלקוח מקבל גם תעודה שמעידה על מעבר הפרויקט בהצלחה".

צוות העובדים ברדאנטרי כולל אנשים עם ניסיון רב בתחום אבטחת המידע עם הסמכות בתחום. "הייחודיות שלנו בסופו של דבר היא המיומנות של הצוות", אומר זכאי לסיכום. "אנחנו עושים מבדקי חדירות למגוון רחב של ענפים, מסטארט-אפים דרך חברות מעולמות הפיננסים, גופי ממשלה, חברות פרטיות, חברות ציבוריות ועוד. יש לנו ניסיון רחב מאוד כמעט בכל סוג של פרויקט. בנוסף, העובדה שאנחנו מעניקים יחס אישי ללקוחות ושומרים על קשר רציף לכל אורך הדרך, מסייעת לעבור את התהליך בהצלחה".

רדאנטרי
כתובת: WeWork - קינג ג'ורג' 20, ירושלים
למעבר לאתר >>
למעבר לעמוד הלינקדאין >>
טלפון: 079-6399021
לפנייה במייל>>

בשיתוף רדאנטרי
————————-

Hermeticon: להיכנס לנעליים של התוקף

אחת הפעולות היעילות בתחום אבטחת המידע היא בדיקות החדירות. "למעשה מדובר בסימולציה שמדמה תוקף המטרגט את העסק, ומנסה לתקוף אותו ולהגיע למידע", מסביר גלעד בארי סמנכ"ל פיתוח עסקי בחברת Hermeticon. "יש כמה אפשרויות תקיפה, מתקפה תשתיתית על המאגרים והשרתים של הארגון וכך לשבש את הפעילות שלו, או במתקפה אפליקטיבית, כאשר הארגון מפעיל מוצר דיגיטלי כמו מערכות Saas למשל, והתוקף מנסה לתקוף את המוצר עצמו ולהגיע למידע על המשתמשים, או לחילופין להשבית את האתר או האפליקציה".

ב- Hermeticonיודעים לדמות את שתי האפשרויות, כשהתפיסה המקצועית היא לא להתייחס לבדיקת חדירות כאל מוצר מדף. "זו התמחות. מדובר בפרויקט שצריך לאפיין אותו ביחד עם הארגון, והוא דורש למידה מדוקדקת של הצרכים בשטח", מסביר בארי. "בהתאם לזה אנחנו בונים מתווה לפרויקט. בהרבה בדיקות חדירות בחברות אחרות משתמשים בכלים אוטומטיים בלבד לצורך דימוי ההתקפות, אנחנו משלבים מעבר לכך גם פעילות אנושית שמדמה האקר שמנסה לתקוף את החברה, אנחנו בודקים עשרות טכניקות התקפה ואנחנו עושים עבודה שאמורה לכסות את כל אפשרויות התקיפה על הארגון, כך שמתקבל בסופו של דבר מוצר מעמיק ואיכותי".

נוגעים בכל נקודות התורפה בארגון

כדי לוודא שהארגון מוגן מפני מתקפות ב-Hermeticon לא מסתפקים רק בבדיקות החדירות, אלא מלווים אותו לכל אורך התהליך. "אנחנו יודעים לתת מענה לכל הסיכונים הקיימים מבחינת אבטחת מידע, לרבות ייעוץ המשך", מסכם בארי. "בסופו של התהליך, הארגון יודע שהוא טיפל בכל הסכנות ושיש לו מערך שהוקם ויגן עליו מפני נזקים כלכליים ותדמיתיים שהיו עלולים להשפיע בצורה דרמטית על הארגון".

"בסופו של התהליך, הארגון יודע שיש לו מערך שיגן עליו מפני נזקים כלכליים ותדמיתיים"
"בסופו של התהליך, הארגון יודע שיש לו מערך שיגן עליו מפני נזקים כלכליים ותדמיתיים"
"בסופו של התהליך, הארגון יודע שיש לו מערך שיגן עליו מפני נזקים כלכליים ותדמיתיים" צילום: באדיבות Hermeticon
"בסופו של התהליך, הארגון יודע שיש לו מערך שיגן עליו מפני נזקים כלכליים ותדמיתיים" צילום: באדיבות Hermeticon

עיקר הפעילות של החברה, שהוקמה לפני כעשור, היא בתחום של רגולציות הגנת מידע, כמו תקני ISO, עמידה בתקנות הגנת הפרטיות GDPR, תקנים כמו SOC2 ועוד רבים, שהפכו למשמעותיים מאוד בשנים האחרונות.

"ההשפעה של תחום אבטחת המידע על הארגונים היא עצומה כיום", מסביר בארי, "במשך למעלה מעשור אנחנו מנהלים פרויקטים של ניהול סיכונים בחברות בתחומים האלה, כאשר בכל פרויקט אנחנו נוגעים בצד הטכנולוגי כמובן, אבל גם בתהליכי העבודה של החברה. כשאנחנו מבצעים פרויקט אנחנו מקפידים שהוא יהיה רוחבי וייגע בכל נקודות התורפה שיכולות ליצור סיכון וחשיפה".

הוא מוסיף כי אם בעבר נהוג היה לחשוב שארגונים עם משמעות אסטרטגית הם אלה שבעיקר נמצאים בסיכון לתקיפות סייבר, כיום כל ארגון וכל גוף, עסקי וציבורי, עלול להיפגע מתקיפות סייבר. "ההוצאה לפועל של התקיפות הפכה לפעולה קלה ופשוטה יחסית", מסביר בארי. "היום כל עסק חשוף עומד בסכנת תקיפה, ומישהו ימצא את הדרך לעשות את זה. לא צריך להיות בית חולים או בנק כדי להיות יעד אטרקטיבי לתקיפה".

מעבר לנזקים הכלכליים, מתקפת סייבר על הארגון עלולה להוביל להשלכות הרסניות לטווח ארוך עבור הארגון. בארי מסביר: "ככל שהמידע יותר משמעותי לעסק או ללקוחות של העסק, או רגיש ופרטי, כך הוא הופך לסחורה חמה יותר עבור התוקפים. צריך להבין שעבור ארגון שחווה תקיפת סייבר, מעבר לאובדן המידע, מדובר בטראומה. לארגונים לוקח הרבה שנים להתאושש מאירוע כזה ובסוף מעבר למידע והכסף שמפסידים, מה שנפגע זה המוניטין מול הלקוחות. את מה שהארגונים לא השקיעו בהגנה, הם נאלצים להשקיע פי כמה וכמה לאחר התקיפה, כשזה לפעמים כבר מאוחר מדי או עולה הרבה יותר".

Hermeticon
למעבר לאתר האינטרנט >>
טלפון: 03-9450630

בשיתוף Hermeticon
———————————

פורס מאז'ור - Force Majeure

בדיקות חדירות מדמות פעילות אמיתית של האקרים וחושפות את החולשות והפרצות במערכות המידע, כדי לאפשר לארגון להבין כיצד האקרים רואים אותו ואיך ניתן לסגור את הכשלים שעשויים לאפשר לתוקפים להשבית את מערכות המידע ולגנוב סודות מסחריים ומאגרי מידע.

"הידע שלנו מגיע מהיכרות פרקטית ויומיומית". דן לוינסון
"הידע שלנו מגיע מהיכרות פרקטית ויומיומית". דן לוינסון
"הידע שלנו מגיע מהיכרות פרקטית ויומיומית". דן לוינסון
"הידע שלנו מגיע מהיכרות פרקטית ויומיומית". דן לוינסון

"לדוגמה, ביצענו מבדקי חדירות לחברה פיננסית והצלחנו תוך זמן קצר להגיע למידע הפיננסי הרגיש ביותר של כל לקוחותיה", מסביר דן לוינסון, סמנכ"ל חברת פורס מאז'ור - Force Majeure. "וזו דוגמה לחברה בינלאומית שאמורה לעמוד בסטנדרטים הגבוהים ביותר של אבטחת מידע ומשקיעה בכך לא מעט, אפשר רק לדמיין מה מתגלה בחברות קטנות יותר. מרבית הפעמים אגב, תיקון החולשות לא מצריך השקעה גדולה, אבל בדיקות החדירות הן הדרך לזהות את התיקונים הנדרשים ולצמצם את סיכון הסייבר".

סיכון סייבר – לפני, תוך כדי ואחרי
חברת פורס מאז'ור, שהוקמה לפני 18 שנה, מספקת מענה כולל לארגונים לצמצום החשיפה לסיכוני סייבר. "אנחנו פוגשים ארגונים וחברות בשלוש נקודות זמן - נקודת הזמן הראשונה היא לפני שמתרחשת 'תאונת סייבר'. בשלב הזה אנחנו מבצעים סקר סיכונים בנושא אבטחת מידע, טיפול בנושא תקנות הגנת הפרטיות, בדיקות חדירות ועוד", אומר לוינסון. "בנוסף, אנחנו מטפלים בנושא מודעות עובדים ומנהלים לסיכוני סייבר. כמו כן, על פי רוב חברות ממגזר העסקים הקטנים והבינוניים לא מעסיקות מנהל אבטחת מידע בהיקף משרה מלא ואנחנו מספקים להן מענה של מנהל אבטחת מידע כשירות (CISO as a Service)".

הוא מוסיף כי "נקודת הזמן השנייה היא תוך כדי אירוע סייבר. צוות תגובה - IR – Incident Response – צוות מומחי סייבר, מסייע לארגון לבלום את המתקפה, לזהות את הזירות הנגועות, לבודד אותן, לנטרל את ההאקרים משליטתם במערכות המידע ולהחזיר את החברה לשגרת עבודה. מבטחי המשנה המובילים באירופה הסמיכו אותנו לטפל באירועי סייבר בחברות שרכשו ביטוח סיכוני סייבר. שירותי IR ניתנים כמובן גם לחברות שאינן מבוטחות בביטוח סייבר.

"נקודת הזמן השלישית היא עולם הראיות הדיגיטליות. אנחנו יודעים לאסוף ראיות דיגיטליות על פי הסטנדרט המקובל בעולם, מעמדת הקצה - טלפון נייד או מחשב ועד הרשת הארגונית - במצבים של ריגול עסקי, גניבת מידע או אירועי סייבר. אנחנו יודעים לאסוף את הראיות הנדרשות ולהגיש אותן לבית המשפט כחוות דעת מומחה. אנחנו מתמנים על ידי בית המשפט בישראל ובעולם כמומחים בסוגיות של פשעי סייבר וראיות דיגיטליות".

היכרות מעשית עם סיכוני סייבר

צוות מומחי הסייבר של פורס מאז'ור מורכב מומחים בתחום בעלי ניסיון רב שנים. "אנחנו מביאים לתחום בדיקות החדירות (Penetration Test) ניסיון מעשי מתוך התובנות של הפעילות המגוונת כצוות תגובה לאירועי סייבר", מסביר לוינסון. "הידע שלנו בדרכי התגוננות וניתוח הסיכונים לא מגיע ממקום של היכרות תיאורטית, אלא מתוך היכרות פרקטית ויומיומית עם הסיכון ודרכי הפעולה של קבוצות תקיפה. כשאנחנו מבצעים מבדקי חדירות וחוסן אנחנו פועלים מנקודת מבט של האקרים, מנתחים את משטח התקיפה, על מנת להבין איך ניתן לפרוץ למערכות המידע של הארגון, להשיג שליטה ברשת וכך לסייע לארגון לסגור את אותן פרצות".

לוינסון מוסיף כי לפעמים החיסכון בשלב המוקדם בתחום האבטחה מצד הארגון או העסק, עלול לעלות ביוקר. "כשאנחנו מסתכלים על מעגלי ההגנה, חלקם קשורים לאופי מערכות הגנת הסייבר וניהולן, חלק למודעות העובדים וחלק ליכולת ההתאוששות של הארגון", הוא אומר. "לפני מספר חודשים טיפלנו בארגון של 50 עובדים שעבר אירוע סייבר וספג נזק של מאות אלפי דולרים - מחיקה של כל הרווח השנתי ופגיעה קשה במוניטין. היקף הנזקים הפוטנציאלים גדול בעשרות מונים מעלויות של בדיקת חדירות וסקר אבטחת מידע, שמביאים את הארגון לרמת מוגנות ויכולת התאוששות הרבה יותר גבוהה".

לדבריו, סכנות הסייבר לארגונים ולחברות מגיעות לפעמים ממקומות לא צפויים. "ניקח לדוגמה אורח שהגיע לביקור בחברה בנסיבות תמימות לכאורה, או עובד בעל הרשאות נמוכות, שמתחרה הציע לו תשלום תמורת מידע שהוא ישיג מהחברה, סיכון שמתממש לעיתים קרובות יותר ממה שנהוג לחשוב", הוא אומר. "אנחנו בודקים לאן אפשר להגיע עם אותן הרשאות נמוכות – האם ניתן להגיע לתיקיות עם סודות מסחריים, למאגרי מידע רגישים ובסופו של דבר לשליטה מלאה ברשת הארגונית".

בדיקות חדירות אפליקטיביות

"בבדיקות חדירות אפליקטיביות, של אתרי אינטרנט ואפליקציות מובייל סיכונים דומים – נניח שאתם מתחברים לתיק הביטוח שלכם באפליקציה, הייתם מצפים שתוכלו לראות אך ורק את הנתונים של התיק שלכם - אחד הנושאים הכי קריטיים לבדיקה הוא האם ניתן לנצל את ההרשאות שלך ובאמצעות מניפולציה של המערכת, לצפות בתיקי הביטוח של לקוחות אחרים - כמו למשל השותף העסקי שלכם לשעבר או כהאקר שפועל באופן יותר רוחבי, שינצל אותה כדי לגנוב את המידע של כלל הלקוחות", מסביר לוינסון לסיכום. "בסופו של דבר, רוב קבוצות התקיפה פועלות כמו חבורת גנבים שמשוטטת בשכונה ומחפשת את הבית שהכי קל לפרוץ אליו - מבדקי החדירות וסקרי אבטחת מידע ויישום המסקנות שלהם מאפשרים לארגון לצמצם באופן משמעותי את הסיכון שהתוקפים יבחרו דווקא בו, באמצעות איתור נקודות החולשה לפני שההאקרים מנצלים אותן וגורמים נזק משמעותי".

Force Majeure - Cyber & Digital Forensics
למעבר לאתר >>
טלפון: 03-6259898

בשיתוף פורס מאז'ור

חזרה למדור

Labels

תוכן שיווקי

    כתבות שאולי פספסתם

    רמי לוי

    רמי לוי: "בתוך 3 שנים נהיה בין חברות הנדל"ן הגדולות בארץ". ריאיון

    סימי ספולטר
    משמאל: דביר שמש ומיכאל ברקוביץ', מייסדי פליי פרפקט

    מתחת לרדאר: שני יוצאי 8200 פיתחו משחק סוליטר והרוויחו מיליוני דולרים

    אופיר דור
    עצרת תמיכה במנהיג העליון של איראן מוג'תבא חמינאי, טהראן, החודש. "לא החלשת את היריב שלך — אלא סייעת לו להפוך למסוכן, קשוח ובעל מנופי כוח נוספים"

    אחד מחוקרי המלחמה המשפיעים בעולם: איראן עלולה לצאת מהעימות חזקה יותר

    גיא רולניק
    יצחק תשובה

    ההשקעה של תשובה מסתבכת: לוינסקי עופר עשויה להתקשות להחזיר חובות

    יוסף חרש
    יער

    "הזדמנות של פעם בדור" = מגרש מיוער בפלורידה במחיר מנופח

    אפרת נוימן
    אילוסטרציה. הארווי הוא כיום הסטארט-אפ המוביל בעולם בכל הנוגע לפיתוח כלי AI לעורכי דין

    הסטארט-אפ שמשנה את עבודת עורכי הדין שווה כבר 11 מיליארד דולר