This site uses cookies to provide you with a more responsive and personalised service. By using this site you agree to our use of cookies. Please read our PRIVACY POLICY for more information on the cookies we use and how to delete or block them.

מבדקי חדירה

ל-BDO צוות תקיפה רחב ומיומן המביא עמו ראיית תוקף, וידע עכשווי בערוצי ודרכי התקיפה הננקטים על ידי תוקפי סייבר. בדיקות האבטחה נעשו חשובות יותר על מנת לקבוע האם בקרות האבטחה פועלות כמתוכנן, ולהעריך כיצד מוגנים נכסי המידע של הארגון. לשם כך, BDO פיתחה גישה ייחודית להערכת אבטחה עם מבדקי חדירה מתקדמים הנשענים על ניסיון עשיר עם מגוון סוגי ארגונים.

כמו כן, עבודת צוות התקיפה נשענת על ההתמחות העולמית המובילה של רשת BDO בעבודה עם מגוון כלים חדשניים לביצוע מבדקי חדירה לגופים שונים. הצוות הישראלי, בפרט, הינו בעל ידע והבנה ייחודיים לביצוע מבדקי חדירה עבור גופים צבאיים, ציבוריים וממשלתיים הייחודיים לישראל, לצד עבודה עם גופים פרטיים בגדלים שונים ומסקטורים מגוונים, כפי שפועלים בארץ ובעולם. יתרה מכך, מומחי האבטחה שלנו בקיאים ומנוסים בביצוע בדיקות מרוחקות של מערכות אינטרנט, מערכות פנימיות והערכת נקודות גישה קריטיות אחרות, בהתאמה מלאה לצרכי הארגון ונכסיו.

מבדקי חדירה אפליקטיביים

אפליקציות אינטרנטיות, ובפרט אפליקציות אשר פותחו בהתאמה אישית, דורשות מבדק משמעותי בשל המספר הרב של פגיעויות פוטנציאליות הטמונות בהן. בנוסף, פלטפורמות לבניית אתרי אינטרנט וממשקי API עשויים להכיל פגיעויות לוגיות וכשלי אבטחת מידע קריטיים, עבורם נדרשים מבדקי חדירה ייעודיים ומקיפים.

המתודולוגיה של BDO וסט הכלים שלה, מספקות לצוות התקיפה יכולת בדיקה מעמיקה המתבססת על OWASP Top 10 ועל SANS Top 25 - תקנים מחמירים ומקובלים בתחום אבטחת המידע האפליקטיבית ברחבי העולם. בדיקות יישומי האינטרנט כוללות מבדקי חדירה של הזרקת קוד זדוני, הזרקת שאילתות למסד הנתונים תוך שליפת מידע רגיש, בטיחות של שימוש באלגוריתמים קריפטוגרפים, כשלי תקשורת, טיפול לא נכון בהודעות שגיאה, כשלים במנגנון ניהול ההרשאות, חולשת Cross-Site Scripting, CSRF ועוד.

מבדקי חדירה פנימיים וחיצוניים

רשתות פנימיות מכילות, בדרך כלל, מערכות רבות יותר מאשר אלה הנחשפות אל רשת האינטרנט. בראי דברים אלו, הגישה לביצוע מבדקי חדירה פנימיים דורשת מיפוי מטרים של הרשת  - קרי, מבדקים חיצוניים מקדימים. על בסיס המיפוי המקדים, ניתן לקבוע את העדיפות והדחיפות בסדר הבדיקות של כלל הציוד והנכסים שנכללו בו.

מטרתם של אותם מבדקי חדירה חיצוניים הינה לסרוק את הרכיבים הפונים אל רשת האינטרנט ונגישים מחוץ לארגון, למפות רכיבים אלו ולאתר את החולשות וסוגי הפגיעות, ככל שקיימים בהם. מבדקים מסוג זה חשובים ביותר, שכן הם מהווים וקטור תקיפה משמעותי עבור גורמים זדוניים אשר תוקפים את הארגון מחוצה לו, בעודם משתמשים בחולשות רכיבי הרשת כפתח דרכו הם יכולים להגיע לאזורים עמוקים יותר ברשת - בדרך אל ליבתה ואל יעדם הסופי.

מבדקים אפליקטיביים של מכשירים ניידים

בשנים האחרונות, המכשירים הניידים הפכו חזקים מאוד מבחינה חישובית, בעודם מאפשרים לנו לתקשר עם רשת האינטרנט, עם נכסי הארגון ועוד. למעשה, מכשירי המובייל הפכו להיות כלי עבודה משמעותי העוזר לעובדים לתקשר על גבי הרשת האירגונית, להזדהות למערכות באמצעות אימות דו-שלבי ולבצע פעולות רבות נוספות הקשורות לפעילותם בארגון. בכך, לצד היתרונות הרבים, המכשירים הניידים הפכו לערוץ נוסף ופגיע - דרכו יכולות להתרחש תקיפות שונות כנגד הארגון, נכסיו והמידע האגור בו.

על כן, כחלק מהגנת הסייבר של הארגון ופעילויות אבטחת המידע הננקטות בו, נדרשת התייחסות ייעודית וביצוע מבדקי חדירה מתאימים למכשירים הניידים שבידי עובדים ומנהלים, הכרוכים בפעילות הארגונית. במיוחד עבור זה, פיתחה חברת BDO מתודולוגיה ייעודית לביצוע מבדקי חדירה ואבטחה במכשירים ניידים השואפת לקווים המנחים של תקן אימות האבטחה של OWASP. מתודולוגיה זו כוללת מגוון בדיקות ומבדקים, בהם:

  • מבדקי אבטחה במחזור החיים של פיתוח אפליקציה ניידת
  • מבדקי אבטחה סטטית ודינמית של אפליקציות מובייל
  • הנדסה לאחור (Reverse Engineering) של אפליקציות
  • הערכת הגנות תוכנה
  • מבדקי לוגיקה עסקית
  • מבדקי בקרת גישה
  • מבדקי חדירה וטיפול בקלט זדוני
  • מבדקים של מנגנונים קריפטוגרפים
  • מבדקים של טיפול בשגיאות ותיעוד
  • מבדקים של הגנת הפרטיות במידע
  • מבדקי חדירה להערכת רמת ההגנה באבטחת תקשורת
  • מבדקים של מנגנוני הזדהות ואימות

סקירת קוד מקור (Code Review)

נכון לאיומים הקיימים כיום, לכל מחשב נייד או מכשיר מובייל יש גישה לנתונים רגישים של החברה, בכלל זה כל יישום או אתר מפותח המאפשר גישה לנתונים רגישים. בהתאם, סקירת קוד מקור (Code Review) היא שלב נפוץ במחזור החיים של פיתוח תוכנה מאובטחת (SDLC) והיא אף נדרשת על פי תקנות מסוימות כחלק אינטגרלי מהעמידה בהוראותיהן. כך או כך, פעמים רבות נדרשת בדיקה מעמיקה של קוד המקור על מנת לאתר כשלי אבטחה, כאשר המטרה העיקרית היא לאפשר את איתור הכשלים עוד בשלבי הפיתוח המוקדמים.

כחלק משירותי התקיפה, צוות BDO מבצע סדרת בדיקות הנשענת על המתודולוגיה המקובלת של בדיקות קוד, בכללה ניתוח סטטי-אוטומטי ובדיקות ידניות של קוד המקור. הדו"ח המתקבל יציג לצוות הפיתוח בארגון פירוט של בעיות האבטחה שעלולות לגרום ליישום להיות פריץ או פגיע, לצד המלצות לתיקון הבעיות והפרצות בפועל. חברת BDO וצוות התקיפה בפרט, מנוסה ובעל בקיאות ענפה בכל שפות התכנות המרכזיות הנמצאות כיום בשימוש, לרבות C#, Java, C/C++, Objective C, Visual Basic, Perl, Python, Assembly ועוד.

מבדקי חדירה של רשתות אלחוטיות

רשתות אלחוטיות חשופות לעיתים קרובות מעבר לגבולות הפיזיים של המתקן או הארגון. בנוסף, פגיעות בנקודת גישה של רשת אלחוטית עשויה להוביל לפגיעה גם במכשירים הניידים של המחוברים אליה, כמו טלפונים סלולריים, טאבלטים, מחשבים ניידים וכדו'.

במסגרת שירותי צוות התקיפה, חברת BDO בוחנת רשתות אלחוטיות ומבצעת מבדקי חדירה, אבטחה וניטור במספר מיקומים שונים. המבדקים כוללים ביצוע התקפות Brute Force על הרשתות, בכדי לאמת או לוודא את הקושי של התוקף בעודו מנסה להשיג גישה אל הרשת.

המטרה העיקרית של הסריקות והמבדקים הינה לאתר פגיעויות ופרצות ברשתות הנוכחיות, בראשן:

מבדקי חדירה לבדיקת פרוטוקולי האבטחה, המאפשרים להעריך את סבירות התקיפה באמצעות מתקפת כוח גס ולאתר חולשות באלגוריתמים הקיימים להצפנה; חיפוש וסריקה של רשתות אלחוטיות לא-מוגנות, עבור מערכות רגישות או פגיעות, ותוך איתור פרצות ונקודות חולשה; לכידת תעבורה אלחוטית עבור מבדקי חדירה ייעודיים, בראשם ניסיונות לביצוע התקפות Replay Attack או מתקפות מילון ואת הסבירות להתממשותן; וכמובן - מתן המלצות מקצועיות ומקיפות לפעולות שיש לנקוט כנגד פגיעויות בסיכון גבוה, כפי שאותרו בסריקות ובמבדקים.

צרו קשר עם המומחים שלנו לביצוע מבדקי חדירה >