בדיקות חדירה תשתיתיים ואפליקטיביים

בדיקת חדירוּת (Penetration test)

בדיקות חדירות, הינן מתקפה מתוכננת ומבוקרת על מערכת ממוחשבת שנעשית על ידי האקר,( pen-tester)  במטרה למצוא חולשות אבטחה.

קיימים שני סוגים של בדיקות חדירה :

תשתית רשת  (Network Infrastructure)     

אפליקציית רשת (web application)

התקפה על תשתית הרשת העסקית

התקפה מסוג זה הינה השכיחה ביותר

  • ביצוע מבחני חדירה הכוללים: מבחן המדמה ניסיון תקיפה מרשתות חיצוניות כגון רשת האינטרנט, חיבור לספקים או שותפים עסקיים, עקיפת חומות אש שאינן מוגדרות כהלכה ועוד.
  • ביצוע סריקת חולשות אבטחת מידע (Vulnerability Scan) לזיהוי פרצות אבטחת מידע טכנולוגיות במערכות החברה. הסריקות תתייחסנה לחשיפות הנובעות מחיבור מערכות הגוף לרשתות חיצוניות (“סריקה חיצונית”) ולחשיפות הנובעות מניסיונות תקיפה מתוך רשת הארגון (“סריקה פנימית”).

כלל התקפות רשת עשויות לכלול עקיפת מערכו הגנה על נקודות קצה, גניבת אישורים, ניצול שירותי רשת, גילוי מכשירים מדור קודם ומכשירי צד שלישי ועוד.

התקפה על אפליקציית רשת

התקפה מסוג זה הינה השכיחה ביותר

כיום ארגונים משתמשים ביישומי אינטרנט יותר מאי פעם לנוכח הדרישה של השוק לשירותי מסחר אונליין , טיוב נתונים במערכות השונות , ניהול מאגרי מידע ועוד.

בעידן של היום אפליקציות מהוות נכס משמעותי לארגון במילים אחרות, את הקפיטל הכי חשוב לארגון.

מושקעים משאבים אדירים בהקמת האפליקציות והיישומים השונים אך עם פחות התייחסות לצורכי אבטחה למידע הרגיש הטמון בחובן.

חשוב לציין, כי כיום יש שימת דגש על המידע הרגיש והסבירות לזליגתו באמצעות תקנות ורגולציות מחמירות ברמה הלאומית והבינלאומית.

ישנן 3 תצורות בסיס למבדקי חדירה אפליקטיביים

Black box – מדובר בבדיקה כאשר לתוקף אין גישה לאזורים פנימיים והידע שלו על המערכת מוגבל על ידי שירותים זמינים פומבית. שיטה זו מחקה סביבה "העולם האמיתי" כדי למצוא חולשות באמצעות רבים מאותם כלים שהתוקפים ישתמשו.

Grey Box – מבדקים המשלבים בין תצורת White-Box   לבין   Black-Box  לפיכך, בהתאם לצרכי הלקוח,  מומחי האבטחה המבצעים את המבדק מקבלים מידע חלקי על המערכת הנבדקת: מסמכי ארכיטקטורה, הרשאות גישה וכדומה. הבדיקה נותנת מענה מקיף לארגון הן בדרישות תקנות הגנת הפרטיות, דרישות לקוחות הקצה / מכרזים, ועומדת בכלל היבטי אבטחת המידע המקובלים בתחום.

White Box – מדובר בבדיקה כאשר התוקף בעל ידע רב על מערכת ובעל גישה לאזורים פנימיים של המערכת כגון הרשאות מנהל וקבצי תצורה, הבדיקה מתארת התקפה מבפנים על ידי תוקף מאושר במערכת (משתמש)

כיועצי אבטחת ידע אנו מציעים את שירותנו במגוון הפורמטים הקיימים ובהתאמה מלאה לדרישות הלקוח המשתנות.

אנו מציעים שירותי VULNERABILITY ASSESSMENTS השופכים אור על הפגיעויות אבטחה הקיימות ו/או

 PENETRATION TESTSהנכנסים יותר לעומק ברמת הנזק ומה עשוי להיגרם עקב ניצול חלק מהחולשות הקיימות.

כחלק משירותנו אנו מציעים כלים לשימוש הלקוחות באופן עצמאי לגילוי הפרצות והבנת משמעותן. הבדיקה מתבצעת באמצעות כלים ייעודיים מתוחכמים כגון Acunetix המדמים ניסיונות חדירה למערכת המידע / אפליקציה מבוססת WEB של החברה באופן מכוון וכך לגלות את נקודות התורפה בפועל.

ACUNETIX

>  טכנולוגיה מובילה באוטומטיזציה של אבטחת יישומי אינטרנט

> שימוש בטכנולוגית הסריקה האוטומטית של Acunetix מציפה את כל בעיות האבטחה הקיימות ומציעה דרכים לפתרונן

> שימוש בטכנולוגיה נותנת מענה מקיף והתאמה לדרישות תקינה ורגולציה כגון: HIPAA, PCI-DSS, ISO/IEC 27001

> מדובר בכלי סריקה אוטומטי ייעודי למבדקי חדירה אפליקטיביים בתצורות בסיס Black/Gray- Box, Client-side וOut-of-band  .

> קבלת ממצאים לפי לוח הזמנים שלך ובהתאמה לסטנדרטים שלך

בדיקת חדירוּת (Penetration test)  הינן מתקפה מתוכננת ומבוקרת על מערכת ממוחשבת שנעשית על ידי האקר,( pen-tester)  במטרה למצוא חולשות אבטחה.

קיימים שני סוגים של בדיקות חדירה :

תשתית רשת  (Network Infrastructure)     אפליקציית רשת web application))

התקפה על תשתית הרשת העסקית>>>

התקפה מסוג זה הינה השכיחה ביותר

  • ביצוע מבחני חדירה הכוללים: מבחן המדמה ניסיון תקיפה מרשתות חיצוניות כגון רשת האינטרנט, חיבור לספקים או שותפים עסקיים, עקיפת חומות אש שאינן מוגדרות כהלכה ועוד.
  • ביצוע סריקת חולשות אבטחת מידע (Vulnerability Scan) לזיהוי פרצות אבטחת מידע טכנולוגיות במערכות החברה. הסריקות תתייחסנה לחשיפות הנובעות מחיבור מערכות הגוף לרשתות חיצוניות (“סריקה חיצונית”) ולחשיפות הנובעות מניסיונות תקיפה מתוך רשת הארגון (“סריקה פנימית”).

כלל התקפות רשת עשויות לכלול עקיפת מערכו הגנה על נקודות קצה, גניבת אישורים, ניצול שירותי רשת, גילוי מכשירים מדור קודם ומכשירי צד שלישי ועוד.

התקפה על אפליקציית רשת

בדיקה זו מתמקדת בכל יישומי האינטרנט הקיימים. 

כיום ארגונים משתמשים ביישומי אינטרנט יותר מאי פעם לנוכח הדרישה של השוק לשירותי מסחר אונליין , טיוב נתונים במערכות השונות , ניהול מאגרי מידע ועוד.

בעידן של היום אפליקציות מהוות נכס משמעותי לארגון במילים אחרות, את הקפיטל הכי חשוב לארגון.

מושקעים משאבים אדירים בהקמת האפליקציות והיישומים השונים אך עם פחות התייחסות לצורכי אבטחה למידע הרגיש הטמון בחובן.

חשוב לציין, כי כיום יש שימת דגש על המידע הרגיש והסבירות לזליגתו באמצעות תקנות ורגולציות מחמירות ברמה הלאומית והבינלאומית.

ישנן 3 תצורות בסיס למבדקי חדירה אפליקטיביים

Black box – מדובר בבדיקה כאשר לתוקף אין גישה לאזורים פנימיים והידע שלו על המערכת מוגבל על ידי שירותים זמינים פומבית. שיטה זו מחקה סביבה “העולם האמיתי” כדי למצוא חולשות באמצעות רבים מאותם כלים שהתוקפים ישתמשו.

Grey Box מבדקים המשלבים בין תצורת White-Box   לבין   Black-Box  לפיכך, בהתאם לצרכי הלקוח,  מומחי האבטחה המבצעים את המבדק מקבלים מידע חלקי על המערכת הנבדקת: מסמכי ארכיטקטורה, הרשאות גישה וכדומה. הבדיקה נותנת מענה מקיף לארגון הן בדרישות תקנות הגנת הפרטיות, דרישות לקוחות הקצה / מכרזים, ועומדת בכלל היבטי אבטחת המידע המקובלים בתחום.

White Box – מדובר בבדיקה כאשר התוקף בעל ידע רב על מערכת ובעל גישה לאזורים פנימיים של המערכת כגון הרשאות מנהל וקבצי תצורה, הבדיקה מתארת התקפה מבפנים על ידי תוקף מאושר במערכת ( משתמש)

כיועצי אבטחת ידע אנו מציעים את שירותנו במגוון הפורמטים הקיימים ובהתאמה מלאה לדרישות הלקוח המשתנות.

אנו מציעים שירותי VULNERABILITY ASSESSMENTS השופכים אור על הפגיעויות אבטחה הקיימות ו/או

 PENETRATION TESTSהנכנסים יותר לעומק ברמת הנזק ומה עשוי להיגרם עקב ניצול חלק מהחולשות הקיימות.

כחלק משירותנו אנו מציעים כלים לשימוש הלקוחות באופן עצמאי לגילוי הפרצות והבנת משמעותן. הבדיקה מתבצעת באמצעות כלים ייעודיים מתוחכמים כגון Acunetix המדמים ניסיונות חדירה למערכת המידע / אפליקציה מבוססת WEB של החברה באופן מכוון וכך לגלות את נקודות התורפה בפועל.

ACUNETIX

>  טכנולוגיה מובילה באוטומטיזציה של אבטחת יישומי אינטרנט

> שימוש בטכנולוגית הסריקה האוטומטית של Acunetix מציפה את כל בעיות האבטחה הקיימות ומציעה דרכים לפתרונן

> שימוש בטכנולוגיה נותנת מענה מקיף והתאמה לדרישות תקינה ורגולציה כגון: HIPAA, PCI-DSS, ISO/IEC 27001

> מדובר בכלי סריקה אוטומטי ייעודי למבדקי חדירה אפליקטיביים בתצורות בסיס Black/Gray- Box, Client-side   

וOut-of-band  .

> קבלת ממצאים לפי לוח הזמנים שלך ובהתאמה לסטנדרטים שלך

מידע שעשוי לעניין אותך

Modules

Modules & Integrations Remote Access Securely access your enterprise data from anywhere using any mobile device – without a VPN.

קרא עוד »

אבטחת מידע לעסקים

התקפות הסייבר – פריצות לרשת המחשוב הארגונית המגיעות מכיוון האינטרנט – הפכו נפוצות מאוד בשנים האחרונות ומכוונות היום לכל עסק

קרא עוד »

טוקניזציה

חברת InfoGuard מתמחה בליווי פרויקטי טוקניזציה עבור לקוחות הנדרשים לעמוד בדרישות אבטחת המידע של חברות האשראי ובתקן הרלוונטי. מדובר בדרישות

קרא עוד »

הסמכה לתקן iso

אנו מלווים גופים מגוונים במשק בהטמעת דרישות התקינה והרגולטור הספציפיות. זאת, בשורה ארוכה של נושאים תוך התאמה מלאה של הרגולציה

קרא עוד »

Call Now