באיזו תדירות עלינו לעבור בדיקת עט?

קצב נפוץ: מדי שנה עבור יציבה כללית, לאחר שינויים גדולים (יישום חדש, שיפוץ ארכיטקטורה), וכנדרש על פי תאימות (PCI-DSS דורש בדיקות עט שנתיות עבור סביבות מחזיקי כרטיס).

מבחן עט מול צוות אדום - מה ההבדל?

בדיקות עט נועדו למצוא כמה שיותר פגיעויות ביעדים מוגדרים. התקשרויות של הצוות האדום מדמות התקפות ספציפיות בעולם האמיתי מקצה לקצה (גישה ראשונית, תנועה לרוחב, פליטה) כדי לבדוק יכולת זיהוי ותגובה. הצוות האדום רחב יותר, ארוך יותר, לעתים קרובות יותר גנב. עיין במאמר של צוות red .

האם חברה קטנה שווה בדיקת עט?

תלוי מה מונח על הכף. חברות SMB המטפלות בנתוני לקוחות, מקבלות תשלומים או פועלות בתעשיות מפוקחות נהנות. אתרי חוברות טהורים ללא נתוני משתמשים מקבלים פחות ערך. העלות נעה בין כמה אלפים עבור היקף צר לעשרות אלפים עבור מקיף.

האם מבחני עט יכולים למצוא כל פגיעות?

לא. הם מוצאים את מה שניתן לגלות בזמן שהוקצה על ידי בני אדם עם הכלים שהם משתמשים בהם. בדיקות מוגבלות בזמן מחמיצות דברים; בדיקות מספיק יסודיות יקרות מכדי להפעיל אותן לעתים קרובות. שלב עם סריקה רציפה ושפע באגים לכיסוי שכבות.

האם בודקי עטים צריכים לשבור דברים?

לִפְעָמִים. הדגמת השפעה דורשת לעתים קרובות ניצול ממשי. בודקים בעלי מוניטין מתקשרים לפני פעולות הרסניות, משתמשים בסטייג'ינג כשאפשר ומתעדים הכל. מסמך ההיקף צריך לציין מראש מגבלות פעולה הרסנית.

בדיקת חדירה מוסברת: מה בעצם עושים בודקי עטים

בדיקת חדירה - בקיצור בדיקת עט - היא סימולציה מורשית של התקפות נגד מערכות של ארגון כדי למצוא נקודות תורפה לפני יריבים. הדיסציפלינה הבשילה מאנשים חכמים שפורצים לרשתות לתעשייה מובנית עם מסגרות מתודולוגיות, הסמכות והכרה רגולטורית. ההבנה כיצד נראית בדיקת עט אמיתית מבהירה את ערכה ואת גבולותיה.

גוף המאמר המלא מסופק באנגלית להלן.

Penetration testing הוא הפרקטיקה המורשית של ניסיון לסכן מערכות של ארגון כדי לזהות חולשות אבטחה. בודקי עטים פועלים תחת הסכם כתוב שמגדיר מה מותר, מה אסור, ואיזה סוג דיווח יבוא. בדיקה לא מורשית - אפילו עם כוונות טובות - היא פעילות פלילית בסגנון הונאת מחשב ברוב תחומי השיפוט.

השלבים של בדיקת עט

Scoping. הגדר מה בהיקף (רשתות ספציפיות, יישומים, חלונות זמן), מה לא (מערכות קריטיות לייצור, נתונים של צד שלישי), אילו טכניקות מותרות (הנדסה חברתית כן/לא, DoS כן/לא). מתועד בכתב.
Reconnaissance. איסוף מידע. OSINT, מיפוי רשת, סריקת יציאות, זיהוי שירות.
זיהוי פגיעות. סריקה לאיתור נקודות תורפה ידועות, בחינת לוגיקה של יישומים מותאם אישית, זיהוי הגדרות שגויות.
ניצול. ניתן להדגים פגיעות נקודתיות. לא רק "זה יכול להיות רע" אלא "זה בדיוק מה שתוקף היה עושה."
Post-exploitation. לאחר השגת גישה ראשונית, בדוק מה יכול התוקף לעשות - תנועה לרוחב, גישה לנתונים, הסלמה של הרשאות. הופסק כאשר יעדי הבדיקה מתקיימים.
Reporting. ממצאים מפורטים עם שלבי רבייה, דירוגי חומרה, המלצות לתיקון.
Re-test. אימות שמתקן את העבודה, לאחר שהארגון הספיק לטפל ממצאים.

קטגוריות בדיקה נפוצות

בדיקת חדירה חיצונית. תקוף את הארגון מהאינטרנט הציבורי. מה יכול אדם מבחוץ לראות, לסרוק, לנצל?
מבחן חדירה פנימי. הנח דריסת רגל ראשונית (מחשב נייד של עובד בסיכון, פנימי זדוני). מה יכול התוקף להגיע משם?
Web test application. התמקדות באפליקציה ספציפית - הזרקת SQL, XSS, פגמים בלוגיקה עסקית, חולשות אימות.
Mobile application test. ריצת אפליקציה לאחור, APIs Reverse/Reverse/APKs ניצול.
API בדיקת חדירה. התמקדות בשכבת ה-API - פגמי הרשאה, חשיפה לנתונים, עקיפה של מגבלת שיעור.
Cloud הערכת תצורת Cloud. AWS/Azure/GCP exposed over-S3 exposed over-S3performs Lambda.
הערכה אלחוטית. בדיקות אבטחה של Wi-Fi.
בדיקת חדירה פיזית. מנסה להשיג גישה פיזית - תאחור, איסוף מנעולים, הנדסה חברתית בקבלה.XPL6 הערכה הנדסית קמפיינים של פישינג, ווישינג, ניסיונות לתמרן עובדים.

קופסה שחורה מול קופסה אפורה מול קופסה לבנה

קופסה שחורה. הבוחן יודע רק מה היה תוקף חיצוני. ריאלי אך איטי.
Gray box. מידע מוגבל מסופק (אישורי חשבון, דיאגרמות רשת). הנפוץ ביותר בפועל.
White box. גישה מלאה כולל קוד מקור, תיעוד ארכיטקטורה, אישורי מנהל. יסודי ביותר; מוצא בעיות בכלים אוטומטיים ובדיקות חיצוניות עלולות לפספס.

Methodology frameworks

OWASP Web Security Testing Guide. מסגרת מקיפה לבדיקת יישומי אינטרנט.
OSSTMM. מדריך מתודולוגיית בדיקת אבטחה בקוד פתוח.
PTES. תקן ביצוע בדיקות חדירה.

Tכלי המסחר

Reconnaissance,16 Massan,XReconnaissance,16 theHarvester, Recon-ng
בדיקות אינטרנט: Burp Suite (תקן תעשייתי), OWASP ZAP, sqlmap
Exploitation frameworks: Standard Empire, Cobal Strike, Team Metasploit, Sliver
Wireless: Aircrack-ng, Wifite, hcxdumptool
התקפות סיסמה: Hashcat, John the Ripper
XPLZ system: Kali Linux היא ההפצה הסטנדרטית המאגדת כלים רבים

Pen בדיקות לעומת סריקת פגיעות

לעתים קרובות מבולבלים; חשוב שונה:

Vulnerability scan - כלי אוטומטי המפרט בעיות ידועות. זול, מהיר, ניתן להפעיל מדי שבוע. מפספס פגמים לוגיים עסקיים, פגיעויות משורשרות, וקטורים הנדסיים חברתיים.
Penetration test — בודק אנושי עם שיטות יצירתיות. יקר, גוזל זמן, מוצא בעיות שסורקים מחמיצים. בדרך כלל שנתית או חצי שנתית.

תוכניות אבטחה בוגרות משתמשות בשתיהן - סריקות אוטומטיות לכיסוי שוטף, בדיקות עט תקופתיות לעומק.

Certifications

OSCP (Offensive Security Certified) תקן מעשי אבטחה פוגענית. בחינה מעשית של 24 שעות נגד מעבדה פגיעה.
OSCE3 — אפליקציית אינטרנט מתקדמת, פיתוח ניצול, הסמכות אלחוטיות מ-Offensive Security.
GPEN, GWAPT, GXPNXPLANS GIACX אישורים.
CEH (Certified Ethical Hacker) — אישור ברמת הכניסה, תיאורטי יותר מ-OSCP.
PNPT (בודק אבטחת חדירה מעשי ברשת) בידיים- TCM exam.

OSCP הוא האישור הנפוץ ביותר הנדרש על ידי חברות בדיקת עטים מכובדות.

השכבה המשפטית והאתית

Pen בדיקות ללא אישור בכתב היא פשע ברוב תחומי השיפוט - ארה"ב CFAA, חוק שימוש לרעה בארצות הברית, במקומות אחרים, חוק שימוש לרעה בבריטניה. אפילו עם הרשאה, זחילת היקף עלולה לגרום לבעיות משפטיות. ההרשאה הכתובה (הנקראת לפעמים "מכתב יציאה חינם מהכלא") היא ההגנה המשפטית של הבודקים.

חברות בדיקת עטים מכובדות מחזיקות ביטוח עבור תקריות, עוקבות אחר מדיניות טיפול קפדנית בנתונים עבור כל מידע רגיש שנתקל בהן, ויש להן נתיבי הסלמה ברורים אם הם נתקלים בפריצה מתמשכת של נתונים ממשיים או בארגונים רגישים 2Wh PL3Z. expect

A דוח בדיקת עט כולל בדרך כלל:

סיכום ביצועים למנהיגות לא טכנית
ממצאים מדורגים בדרגת חומרה עם ציוני CVSS
שלבי רפרודוקציה מפורטים עבור כל מציאה5ZPLZ4XSPLZPLZ4XSPLZXPLZ53 ראיות הוכחה למושג
המלצות תיקון ספציפיות
תצפיות מצטברות לגבי תנוחת האבטחה

הממצאים צריכים להיות ניתנים לפעולה. "פגיעות X קיימת ברכיב Y, הנה איך זה נוצל, הנה איך לתקן את זה" - לא "האבטחה שלך גרועה."

שאלות נפוצות

באיזו תדירות עלינו לעבור בדיקת עט?: קצב נפוץ: מדי שנה עבור יציבה כללית, לאחר שינויים גדולים (יישום חדש, שיפוץ ארכיטקטורה), וכנדרש על פי תאימות (PCI-DSS דורש בדיקות עט שנתיות עבור סביבות מחזיקי כרטיס).
מבחן עט מול צוות אדום - מה ההבדל?: בדיקות עט נועדו למצוא כמה שיותר פגיעויות ביעדים מוגדרים. התקשרויות של הצוות האדום מדמות התקפות ספציפיות בעולם האמיתי מקצה לקצה (גישה ראשונית, תנועה לרוחב, פליטה) כדי לבדוק יכולת זיהוי ותגובה. הצוות האדום רחב יותר, ארוך יותר, לעתים קרובות יותר גנב. עיין במאמר של צוות <a href="/learning/red-team-blue-team">red </a>.
האם חברה קטנה שווה בדיקת עט?: תלוי מה מונח על הכף. חברות SMB המטפלות בנתוני לקוחות, מקבלות תשלומים או פועלות בתעשיות מפוקחות נהנות. אתרי חוברות טהורים ללא נתוני משתמשים מקבלים פחות ערך. העלות נעה בין כמה אלפים עבור היקף צר לעשרות אלפים עבור מקיף.
האם מבחני עט יכולים למצוא כל פגיעות?: לא. הם מוצאים את מה שניתן לגלות בזמן שהוקצה על ידי בני אדם עם הכלים שהם משתמשים בהם. בדיקות מוגבלות בזמן מחמיצות דברים; בדיקות מספיק יסודיות יקרות מכדי להפעיל אותן לעתים קרובות. שלב עם סריקה רציפה ושפע באגים לכיסוי שכבות.
האם בודקי עטים צריכים לשבור דברים?: לִפְעָמִים. הדגמת השפעה דורשת לעתים קרובות ניצול ממשי. בודקים בעלי מוניטין מתקשרים לפני פעולות הרסניות, משתמשים בסטייג'ינג כשאפשר ומתעדים הכל. מסמך ההיקף צריך לציין מראש מגבלות פעולה הרסנית.