בדיקת חדירות

בדיקת חדירוּתאנגלית: Penetration test; בקצרה: Pentest או PT) היא מתקפה מתוכננת ומבוקרת על מערכת ממוחשבת שנעשית על ידי בודק ("האקר", pen-tester) במטרה למצוא חולשות אבטחה, פוטנציאל הגישה לחולשות אלו, השימושיות שניתן להפיק מהגישה אליהן ואל המידע שהן מאחסנות.

התהליך

עריכה

בדיקת החדירות מתבצעת על פי הנקודות הבאות:

  1. זיהוי המערכות המיועדות לחדירה, והמטרה העיקרית
  2. בחינת המידע הזמין לבודק
  3. בחינת הכלים האפשריים להשגת המטרה

מטרת הבדיקה יכולה להיות בדיקות קופסה לבנה (כשיש לבודק את כל המידע לגבי המערכת המיועדת), או בדיקות קופסה שחורה (כשיש רק מידע בסיסי או אין מידע כלל חוץ משם החברה המיועדת לבדיקה). בדיקת חדירות תיתן הבנה האם המערכת חדירה ואילו מערכות הגנה נפרצו (אם נפרצה המערכת).

בתחילה הבודק עובד מול שכבת ההגנה הראשונה, במידה והוא ימצא פרצת אבטחה (אקספלויט) בשכבה זו הוא יתקדם אל עבר השכבה הבאה.

עלולות להיות בשכבה מסוימת כמה פרצות אבטחה אך ברגע שנמצאה אחת, הבודק יתקדם אל עבר המטרה שלו. זהו ההבדל בין בדיקת חדירות (לעומק) לבין בדיקה רוחבית שבה יש זיהוי פגיעות אבטחה בכלל המערכת (vulnerability assessment).

בעיות האבטחה מוצגות בסיום הבדיקה לאחראי המערכת (או מתאם הבדיקה מטעם החברה הנבדקת).

בדיקה איכותית תציג את בעיות האבטחה לצד הערכה מדויקת לנזק שיכול להיגרם לארגון הנבדק עקב ניצולן, ואת אמצעי הנגד שיכולים להגביר את האבטחה בנקודות אלו.

סיבות לביצוע בדיקה

עריכה

בדיקת חדירות יעילה מכמה סיבות:

  • בדיקת התכנות של מתקפות מסוימות
  • הרכבת מתקפה חזקה מכמה מתקפות חלשות על פי סדר מסוים
  • זיהוי חולשות שלא יחשפו על ידי כלים אוטומטיים (סורק חולשות באפליקציות/ברשתות)
  • זיהוי גודל הנזק העסקי והאופרטיבי שיגרם על ידי המתקפות (במידה ויצליחו)
  • בדיקה של יכולות מערך ההגנה של המערכת המיועדת לתקיפה מבחינת זיהוי מתקפות ואופן הטיפול בהן
  • לספק הוכחות לשיפור מערך האבטחה האנושי והטכנולוגי

ראו גם

עריכה

קישורים חיצוניים

עריכה