כמה תובנות מפריצת הסייבר לחברת שירביט
למרות מאות פריצות ואירועי סייבר מחוץ לארגון ומתוכו, עדיין ממשיכים ארגונים רבים להשקיע משאבים ניכרים בפתרונות אבטחת מידע היקפיים, במקום
בדיקות חדירה, הינן מתקפה מתוכננת ומבוקרת על מערכת ממוחשבת שנעשית על ידי האקר,( pen-tester) במטרה למצוא חולשות אבטחה.
תשתית רשת (Network Infrastructure)
אפליקציית רשת (web application)
כלל התקפות רשת עשויות לכלול עקיפת מערכו הגנה על נקודות קצה, גניבת אישורים, ניצול שירותי רשת, גילוי מכשירים מדור קודם ומכשירי צד שלישי ועוד.
כיום ארגונים משתמשים ביישומי אינטרנט יותר מאי פעם לנוכח הדרישה של השוק לשירותי מסחר אונליין , טיוב נתונים במערכות השונות , ניהול מאגרי מידע ועוד.
בעידן של היום אפליקציות מהוות נכס משמעותי לארגון במילים אחרות, את הקפיטל הכי חשוב לארגון.
מושקעים משאבים אדירים בהקמת האפליקציות והיישומים השונים אך עם פחות התייחסות לצורכי אבטחה למידע הרגיש הטמון בחובן.
חשוב לציין, כי כיום יש שימת דגש על המידע הרגיש והסבירות לזליגתו באמצעות תקנות ורגולציות מחמירות ברמה הלאומית והבינלאומית.
Black box – מדובר בבדיקה כאשר לתוקף אין גישה לאזורים פנימיים והידע שלו על המערכת מוגבל על ידי שירותים זמינים פומבית. שיטה זו מחקה סביבה "העולם האמיתי" כדי למצוא חולשות באמצעות רבים מאותם כלים שהתוקפים ישתמשו.
Grey Box – מבדקים המשלבים בין תצורת White-Box לבין Black-Box לפיכך, בהתאם לצרכי הלקוח, מומחי האבטחה המבצעים את המבדק מקבלים מידע חלקי על המערכת הנבדקת: מסמכי ארכיטקטורה, הרשאות גישה וכדומה. הבדיקה נותנת מענה מקיף לארגון הן בדרישות תקנות הגנת הפרטיות, דרישות לקוחות הקצה / מכרזים, ועומדת בכלל היבטי אבטחת המידע המקובלים בתחום.
White Box – מדובר בבדיקה כאשר התוקף בעל ידע רב על מערכת ובעל גישה לאזורים פנימיים של המערכת כגון הרשאות מנהל וקבצי תצורה, הבדיקה מתארת התקפה מבפנים על ידי תוקף מאושר במערכת (משתמש)
אנו מציעים שירותי VULNERABILITY ASSESSMENTS השופכים אור על הפגיעויות אבטחה הקיימות ו/או
PENETRATION TESTSהנכנסים יותר לעומק ברמת הנזק ומה עשוי להיגרם עקב ניצול חלק מהחולשות הקיימות.
כחלק משירותנו אנו מציעים כלים לשימוש הלקוחות באופן עצמאי לגילוי הפרצות והבנת משמעותן. הבדיקה מתבצעת באמצעות כלים ייעודיים מתוחכמים כגון Acunetix המדמים ניסיונות חדירה למערכת המידע / אפליקציה מבוססת WEB של החברה באופן מכוון וכך לגלות את נקודות התורפה בפועל.
> טכנולוגיה מובילה באוטומטיזציה של אבטחת יישומי אינטרנט
> שימוש בטכנולוגית הסריקה האוטומטית של Acunetix מציפה את כל בעיות האבטחה הקיימות ומציעה דרכים לפתרונן
> שימוש בטכנולוגיה נותנת מענה מקיף והתאמה לדרישות תקינה ורגולציה כגון: HIPAA, PCI-DSS, ISO/IEC 27001
> מדובר בכלי סריקה אוטומטי ייעודי למבדקי חדירה אפליקטיביים בתצורות בסיס Black/Gray- Box, Client-side וOut-of-band .
> קבלת ממצאים לפי לוח הזמנים שלך ובהתאמה לסטנדרטים שלך
בדיקת חדירוּת (Penetration test) הינן מתקפה מתוכננת ומבוקרת על מערכת ממוחשבת שנעשית על ידי האקר,( pen-tester) במטרה למצוא חולשות אבטחה.
קיימים שני סוגים של בדיקות חדירה :
תשתית רשת (Network Infrastructure) אפליקציית רשת web application))
התקפה על תשתית הרשת העסקית>>>
התקפה מסוג זה הינה השכיחה ביותר
כלל התקפות רשת עשויות לכלול עקיפת מערכו הגנה על נקודות קצה, גניבת אישורים, ניצול שירותי רשת, גילוי מכשירים מדור קודם ומכשירי צד שלישי ועוד.
התקפה על אפליקציית רשת
בדיקה זו מתמקדת בכל יישומי האינטרנט הקיימים.
כיום ארגונים משתמשים ביישומי אינטרנט יותר מאי פעם לנוכח הדרישה של השוק לשירותי מסחר אונליין , טיוב נתונים במערכות השונות , ניהול מאגרי מידע ועוד.
בעידן של היום אפליקציות מהוות נכס משמעותי לארגון במילים אחרות, את הקפיטל הכי חשוב לארגון.
מושקעים משאבים אדירים בהקמת האפליקציות והיישומים השונים אך עם פחות התייחסות לצורכי אבטחה למידע הרגיש הטמון בחובן.
חשוב לציין, כי כיום יש שימת דגש על המידע הרגיש והסבירות לזליגתו באמצעות תקנות ורגולציות מחמירות ברמה הלאומית והבינלאומית.
ישנן 3 תצורות בסיס למבדקי חדירה אפליקטיביים
Black box – מדובר בבדיקה כאשר לתוקף אין גישה לאזורים פנימיים והידע שלו על המערכת מוגבל על ידי שירותים זמינים פומבית. שיטה זו מחקה סביבה “העולם האמיתי” כדי למצוא חולשות באמצעות רבים מאותם כלים שהתוקפים ישתמשו.
Grey Box – מבדקים המשלבים בין תצורת White-Box לבין Black-Box לפיכך, בהתאם לצרכי הלקוח, מומחי האבטחה המבצעים את המבדק מקבלים מידע חלקי על המערכת הנבדקת: מסמכי ארכיטקטורה, הרשאות גישה וכדומה. הבדיקה נותנת מענה מקיף לארגון הן בדרישות תקנות הגנת הפרטיות, דרישות לקוחות הקצה / מכרזים, ועומדת בכלל היבטי אבטחת המידע המקובלים בתחום.
White Box – מדובר בבדיקה כאשר התוקף בעל ידע רב על מערכת ובעל גישה לאזורים פנימיים של המערכת כגון הרשאות מנהל וקבצי תצורה, הבדיקה מתארת התקפה מבפנים על ידי תוקף מאושר במערכת ( משתמש)
כיועצי אבטחת ידע אנו מציעים את שירותנו במגוון הפורמטים הקיימים ובהתאמה מלאה לדרישות הלקוח המשתנות.
אנו מציעים שירותי VULNERABILITY ASSESSMENTS השופכים אור על הפגיעויות אבטחה הקיימות ו/או
PENETRATION TESTSהנכנסים יותר לעומק ברמת הנזק ומה עשוי להיגרם עקב ניצול חלק מהחולשות הקיימות.
כחלק משירותנו אנו מציעים כלים לשימוש הלקוחות באופן עצמאי לגילוי הפרצות והבנת משמעותן. הבדיקה מתבצעת באמצעות כלים ייעודיים מתוחכמים כגון Acunetix המדמים ניסיונות חדירה למערכת המידע / אפליקציה מבוססת WEB של החברה באופן מכוון וכך לגלות את נקודות התורפה בפועל.
ACUNETIX
> טכנולוגיה מובילה באוטומטיזציה של אבטחת יישומי אינטרנט
> שימוש בטכנולוגית הסריקה האוטומטית של Acunetix מציפה את כל בעיות האבטחה הקיימות ומציעה דרכים לפתרונן
> שימוש בטכנולוגיה נותנת מענה מקיף והתאמה לדרישות תקינה ורגולציה כגון: HIPAA, PCI-DSS, ISO/IEC 27001
> מדובר בכלי סריקה אוטומטי ייעודי למבדקי חדירה אפליקטיביים בתצורות בסיס Black/Gray- Box, Client-side
וOut-of-band .
> קבלת ממצאים לפי לוח הזמנים שלך ובהתאמה לסטנדרטים שלך
מידע שעשוי לעניין אותך
כמה תובנות מפריצת הסייבר לחברת שירביט
למרות מאות פריצות ואירועי סייבר מחוץ לארגון ומתוכו, עדיין ממשיכים ארגונים רבים להשקיע משאבים ניכרים בפתרונות אבטחת מידע היקפיים, במקום
התקפות הסייבר – פריצות לרשת המחשוב הארגונית המגיעות מכיוון האינטרנט – הפכו נפוצות מאוד בשנים האחרונות ומכוונות היום לכל עסק
העידן בו אנו חיים הוא עידן דיגיטלי, עידן בו הכל ממוחשב ומידע רב זורם אי שם בענן (ברשת האינטרנט) עסקים
אנו מלווים גופים מגוונים במשק בהטמעת דרישות התקינה והרגולטור הספציפיות. זאת, בשורה ארוכה של נושאים תוך התאמה מלאה של הרגולציה