העידן הדיגיטלי ואינספור המערכות הממוחשבות שאנחנו נעזרים בהן פותחים בפנינו אפשרויות חדשות רבות. איכות החיים שלנו השתדרגה לא מעט בזכות מהפכת האינטרנט, ולפי כל התחזיות, עוד נזכה לחזות בעוד שלל טכנולוגיות מתקדמות מרשימות ומלהיבות. במקביל, העידן הדיגיטלי הביא גם סוג חדש של עבריינות – פשעי סייבר. כפי שהטכנולוגיות מתפתחות, כך גם עברייני הסייבר הולכים ומשתכללים, וככל שמערכת מחשב דומיננטית יותר, כך הפוטנציאל לנזק עקב מתקפת סייבר גדל.
Penetration test, ובעברית מבדק חדירה, הוא אחד הכלים החיוניים ביצירת מנגנוני הגנה בפני מתקפות דיגיטליות. בעמוד זה תמצאו מידע אודות הפרוצדורה, כדי שתוכלו להבין טוב יותר איך להיעזר בה.
בשנת 2017 נכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע). אחד הפרקים בתקנות אלה עוסק במיפוי מערכות מאגרי מידע וביצוע סקר סיכונים, ובין השאר נקבע בו במפורש כי במאגר שנדרש להתנהל ברמת אבטחה גבוהה, "ייערכו מבדקי חדירות... אחת לשמונה עשר חודשים לפחות; בעל המאגר ידון בתוצאות מבדקי החדירות ויפעל לתיקון הליקויים שהתגלו, ככל שהתגלו".
התקנות נועדו לאפשר את מימושו של חוק הגנת הפרטיות, וכמובן שמעבר לדרישת החוק Penetration test הוא גם אינטרס מובהק של כל מי שמחזיק במידע רגיש ומבין מה עלול להתרחש אם המידע לא יהיה מוגן לחלוטין.
מבדקי חדירה מתבצעים ע"י אנשי מקצוע מיומנים שנכנסים לדמות של עברייני סייבר. הצוות, שכמובן שואף לגלות כשלים במערכות ההגנה על-מנת להאיר עליהם ולתקן אותם, ולא כדי לגרום נזק לארגון או לעסק, מנסה לפרוץ אל מאגר המידע – ובסופו של המבדק מגיש את מסקנותיו לגורמים הממונים על אבטחת מידע בחברה שהזמינה את השירות.
יש 3 גישות אפשריות לביצוע מבדק חדירה: קופסה לבנה, קופסה שחורה וקופסה אפורה.
* קופסה לבנה (white box): גישה שבה המבדק מתנהל כשלצוות הבודק יש מידע מלא לגבי מערכות המידע כמו גם מערכות ההגנה של העסק או הארגון. זהו למעשה מבדק שנועד לבחון האם אדם מתוך החברה שירצה מכל סיבה שהיא לתקוף אותה יוכל לעשות זאת מבלי להתגלות.
* קופסה שחורה (black box): סוג זה של א Penetration test מדמה ניסיון חדירה מבחוץ, של פושע שאין לו ידע מוקדם לגבי המערכות והוא מנסה לאתר בהן חורים כדי להיכנס דרכם. בדרך כלל מבדק זה מצריך זמן רב יותר על-מנת שכל פגיעות קיימת אכן מאותרת.
* קופסה אפורה (gray box): גישה המשלבת את שתי הגישות הקודמות, כשלצוות ש"תוקף" את מאגר המידע יש ידע מוקדם לגביו, אבל חלקי ומוגבל.
על-מנת להפיק תועלת אמיתית מביצוע Penetration test חשוב להפקיד את המשימה בידיים מקצועיות מאוד. ההאקרים כאמור משתכללים באופן קבוע, ולכן רק צוות בעל יכולות גבוהות יכול להיכנס באמת לדמות של הפושע הדיגיטלי ולא לפספס שום פרצה. הבקיאות והניסיון חשובים גם על-מנת לבחור את הגישה האופטימלית בהתאם למאפייני מערכות המידע בחברה שלכם, ולאופי הסיכונים הקיימים.
