סדרת מאמרי סייבר

מאמר זה מציג כמה מהצעדים שחברות צריכות לנקוט כדי להגן על עצמן מפני האקרים, פושעי רשת ואיומים פוטנציאליים אחרים.

אלה חלק מהצעדים החשובים ביותר שחברות צריכות לנקוט כדי להגן על עצמן מפני מתקפות סייבר:

• לימוד ומודעות עובדים על מתקפות פישינג וכיצד לזהות מיילים חשודים
• אבטחת נתוני חברה רגישים
• שימוש באימות דו-שלבי
• שמירה על תוכנות ומערכות הפעלה מעודכנות
• ביצוע מבדקי חדירות תקופתיים לכלל המערכות
• דימוי תקיפות על הארגון וחשיפת נקודות תורפה

בדיקת חדירות

נתמקד רגע באחד המושגים שהוזכרו כאן – בדיקת חדירה, הבדיקה למעשה מהווה בחינה מעמיקה של אבטחת הרשתתשתית או אפליקציה, עוזרת לזהות נקודות תורפה אפשריות לפני שהן מנוצלות על ידי התוקפים.

בדיקות חדירה משמשות לעתים קרובות כאשר ארגונים שוקלים לבצע שינויים בתשתיות שלהם, כגון יישום טכנולוגיות חדשות או שדרוג תשתיות. כמו כן כמובן שניתן להשתמש בה לבדיקת סוגים אחרים של מערכות, כגון אפליקציות ויישומי אינטרנט.

שתי סיבות עיקריות לשימוש במבחן חדירה:

1. להעריך את החוסן הכולל של מערכת כנגד התקפות אפשריות
2. להעריך עד כמה יעילות בקרות האבטחה בארגון

בדיקות חדירה נערכות על מנת לאבחן את החולשה באבטחת המערכת, על ידי הדמיה של התקפה ולכן במידה ובדיקת החדירה מתוכננת היטב היא תזהה נקודות תורפה שלא בהכרח מודעים להן.

מתקפות פישיניג מתקפות דיוג

כעת נעבור למושג נוסף שהזכרנו – התקפת פישינג או התקפת דיוג.

התקפות פישינג הופכות יותר ויותר פופולריות ומתוחכמות בימים אלה. כתוצאה מכך, עלינו לחנך את עצמנו ואת עובדינו ולהיות מודעים לסימנים של התקפת דיוג פוטנציאלית.

1. דע עם מי אתה מתקשר: אם מישהו מבקש את המידע הרגיש שלך, ודא שאתה יודע מי הוא. הרבה פעמים אנשים התוקפים יוצרים אתרים בעלי מראה רשמי שנראים כמו האתר האמיתי כדי לגנוב את הנתונים שלך. השווה את מה שהם מבקשים לבין מה שבדרך כלל היית מתבקש בעת כניסה לחשבונות כמו פייסבוק, גוגל, אמזון, חשבון הבנק או כל שירות אחר.
2. שים לב לשגיאות כתיב: התוקפים לא תמיד מאייתים היטב את התוכן ולרוב טועים בהודעות ובמיילים שלהם. טעויות אלה עלולות לחשוף את הונאתן עוד לפני השלב בו הם מנסים לגנוב את הנתונים שלך.

המלצות

כמה כללי אצבע:

1. אין לחשוף מידע אישי בדוא"ל בהודעות, או בשיחות טלפון עם אנשים זרים.
2. יש לאפשר אימות דו שלבי (2Factor Authentication) בחשבון מדיה חברתית, חשבונות בנקיים ואתרים אחרים שבהם המידע האישי שלך משותף.
3. בדוק תמיד את כתובת האתר לפני הכניסה.
4. שנה את הסיסמאות שלך באופן קבוע, וודא שהן ייחודיות לכל אתר

טופס יצירת
קשר

הפוסט כיצד להגן על החברה שלך מפני איומי סייבר הופיע לראשונה ב-בדיקת חדירות.

סדרת מאמרי סייבר

שוקלים האם לבצע בדיקת חדירת לעסק? מוטב כי תבינו קודם כל מהן המטרות העיקריות של הבדיקה. לאחר שתכירו את המטרות העיקריות, תוכלו להבין עד כמה הבדיקה הזאת היא חיונית עבורכם. במאמר הבא החלטנו לרכז עבורכם את כל המטרות העיקריות של הבדיקה הספציפית הזאת. כך שתוכלו להחליט באופן אפקטיבי האם מבדק חוסן הוא הכרחי מבחינתכם או שלא. בשורה התחתונה אתם אלה שמכירים את העסק שלכם בצורה הכי טובה שיש. אתם אלה שתדעו האם הבדיקה הזאת יכולה לתרום או שלא. הרי אין שום טעם שתעשו החלטה שאיננה יכולה לתרום לעסק שלכם בראייה לטווח הרחוק.

מהי בדיקת חדירות?

מבדק חדירות זוהי בעצם שיטה לבחון את רמת האבטחה בעסק מסוים. כלומר עד כמה המערכות שבהן משתמש הארגון עמידות בפני מתקפות כאלה או אחרות. כפי שאנו יודעים מתקפות סייבר הם דבר שבשגרה, ולכן כל עסק חייב לדעת כיצד להתמודד איתן. באמצעות הבדיקות הללו אנשי מקצוע תוקפים את המערכות במודע כדי להבין את תמונת המצב. הבדיקה הזאת יכולה להיות בדיקה תקופתית או בדיקה המגיעה בגלל סיבות כאלה או בגלל סיבות אחרות.

תחפשו את נקודת התורפה

קשה מאוד לדעת מראש מהן נקודות התורפה של העסק מבחינת אבטחה. על ידי מבדק חוסן ניתן לקבל את תמונת המצב המלאה בכל מה שקשור לאבטחה. אחרי המבדק ניתן לראות בצורה ברורה מהן נקודות התורפה של העסק, וניתן לחשוב על רעיונות כדי לשפר את רמת האבטחה. אם לא תדעו מהן נקודות התורפה יהיה לכם קשה מאוד לנקוט בפעולות שונות שנועדות לשפר את האבטחה. אל תשכחו כי רמת האבטחה חייבת להיות בשיאה על מנת שתוכלו להיות רגועים. הנושא הופך להיות משמעותי יותר אם ישנו חשש לדליפת מידע של לקוחות לידיים הלא נכונות.

לבחון את מערכות האבטחה בזמן אמת

רכשתם מערכות אבטחה חדשות לעסק? יהיה לכם קשה מאוד לבחון אותם, הדרך היחידה לבחון מערכות אבטחה היא על ידי ניסיונות פריצה אמיתיים. בדיקת חדירות תאפשר לכם לדעת באמת רק רמת היעילות של מערכות אבטחה. תוכלו לדעת האם מערכות האבטחה מספקות את הסחורה או שהן מביאות איתן חורים רבים. כך לא תמצאו את עצמכם במצב שבו אתם סומכים על מערכות אבטחה שלא יספקו את הסחורה. מערכות אבטחה שבמציאות לא יעשו את העבודה שהבטיחו לכם שהן עושות.

חיסכון כספי אפשרי במניעת פריצות

כל פריצה למערכות הארגון תביא איתה להוצאה כספית גבוהה במיוחד, בטח אם זולג מידע לידיים הלא נכונות. אנו שומעים כל הזמן שהאקרים פורצים למחשבים של עסקים על מנת לדרוש כופר על המידע שברשותם. מבדק חדירות יסייע לכם למנוע פריצות עתידיות, ובכך יכול גם לסייע לכם לחסוך הרבה מאוד כסף. כך שגם אם העלות של המבדק היא לא עלות זולה, ברוב המקרים היא תהיה משתלמת. תוכלו למצוא את עצמכם במצב שבו אתם יודעים כי אף אחד לא יכול לחדור אל תוך מערכות העסק.

למנוע אי נעימות אל מול הלקוחות

המטרה שלכם היא תמיד לשמור על נראות טובה בעיניהם של הלקוחות שלכם. הרי אם הלקוחות לא רואים אתכם בצורה חיובית, הם ככל הנראה לא יהיו לקוחות שלכם. פרצות אבטחה הן ללא ספק מהאלמנטים שעשויים לשנות את כל התדמית של העסק. מהסיבה הזאת חשוב מאוד כי העסק שלכם יהיה מאובטח מקצה לקצה ללא חורים. מבדק חוסן יאפשר לכם לדעת כי אין לכם סיבה אמיתית לחשוש. העסק שלכם נמצא במקום הכי טוב שיש, והלקוחות יכולים להיות רגועים. הלקוחות יקבלו רושם כי המידע שהם מספקים לכם נמצא בידיים הכי בטוחות שיש.

הכינו את עצמכם לכל תרחיש מראש

אפילו אם העסק שלכם הוא עסק קטן, אסור לכם לחשוב כי לעסק שלכם לא יפרצו. האקרים יכולים לפרוץ לעסקים קטנים או לעסקים גדולים. מבחינתם פריצה למערכות של עסקים קטנים היא אפילו פשוטה יותר מאשר פריצה למערכות של עסקים גדולים. לכן בדיקת חדירות תאפשר לכם לדעת כי גם העסק שלכם מוגן מפני פריצות של האקרים. אל תחכו שיהיה מאוחר מידיי, כי אז כל העבודה שתצטרכו לעשות תהיה מורכבת יותר.

טופס יצירת
קשר

הפוסט מהן המטרות העיקריות של בדיקת חדירות לעסק? הופיע לראשונה ב-בדיקת חדירות.

לימוד סייבר אונליין

להלן דוגמה לשימוש בכלי המוכר NMAP המשמש בעיקר לסריקת פורטים פתוחים בהתקני רשת.
כלי זה משמש אותנו בעת ביצוע מבדק חדירות תשתיתי.

בדוגמה זו אנו עושים שימוש בכלי בכדי לזהות התקני רשת גלויים שאיתם אנו מצליחים לתקשר ברשת.

כתובת הרשת מהמחשב בו אנו מבצעים את הסריקה היא:
192.168.0.220

הרשת אותה אנחנו סורקים היא:
192.168.0.0/24

הפקודה אותה אנו מרצים היא:
nmap -sP 192.168.0.0/24

סרטון הדגמה:

טופס יצירת
קשר

הפוסט סריקת התקנים גלויים ברשת הופיע לראשונה ב-בדיקת חדירות.

סדרת מאמרי סייבר מקצועיים

ניטור ומבדקי חוסן

ניטור מכיל קרקע רחבה יותר מאשר רק בדיקה תקופתית או קבועה של לוגים כפי שציינתי במאמר בנושא. הניטור כולל את הפעילויות הבאות:

• Penetration testing
• Intrusion detection
• Violation analysis
• Keystroke monitoring

מבדקי חדירה (Penetration Testing)

מבדקי חדירות הוא המונח הכללי המתאר שימוש בכלים לגלות ולזהות פגיעויות אבטחה לוגיות ופיזיות. טכניקת ביצוע מבדקי החדירה כוללת:

סריקת פורטים (Port Scanning)

סריקת פורטים היא תוכנת אבטחת מידע, המשמשת לבירור אילו פורטים פתוחים במשאב מחשוב המחובר לרשת מחשבים.

באמצעות ניתוח תוצאות הסריקה ניתן לקבל תמונת מצב על התוכנותמערכות הקיימות בשרת אשר מתקשרות מול מערכות נוספות (הפורט פתוח) וגרסת מערכת הפעלה ברוב המקרים.

בדר"כ השלב הבא הוא לאתר פרצות אבטחה על בסיס סוג המערכת וגרסתה לצורך ביצוע התקפות שונות.

סריקת פגיעויות (Vulnerability Scanning)

בדומה לסריקת פורטים, סריקת פגיעויות משמשת לאיתור חורי אבטחה במערכות ותוכנות.

לרוב משתמשים בכלי סריקה למבדקי אתרים כגון Web Applications, מערכות הפעלה ובסיסי נתונים בכדי לאתר האם ישנם חורי אבטחה אשר עלולים לסכן את המערכת.

רחרחן מנות (Packet Sniffing)

כלי ללכידת תעבורת TCP/IP ברשת, לא רק עבור תעבורה בין המחשב עליו מותקן הכלי אלא עבור כלל התעבורה ברשת הארגון.

היקף התעבורה שנלכדת תלויה בנקודה שבה הכלי הותקן.

אם הכלי הותקן כתוכנה על מחשב המהווה נקודת קצה ברשת, רק התעבורה שתגיע אליו תתועד.

War Dialing

טכניקה המשתמשת במודם לסריקה אוטומטית של מספרי טלפון, בדר"כ מדובר בחיוג לכל מספר באזור חיוג מסוים לצורך איתור מחשבים, שרתים ומכשירי פקס.

גרסאות וכלים חדשים של תקיפה זו כגון WarVOX לא מצריך מודם לצורך ביצוע התקיפה מאחר וכלים מסוג זה יכולים להשתמש בטכנולוגיית VoIP מה שמגביר את כמות השיחות בשונה ממודם.

War driving

פעולה לחיפוש רשתות אלחוטיות Wi-Fi על ידי גורם ברכב נוסע, באמצעות מחשב נייד, טלפון חכם או מסייע דיגיטלי אישי (PDA).

ישנם כלים רבים להתקפה זו כגון; NetStumbler, InSSIDer, Vistumbler, Kismet.

הכלים משתמשים בציוד המכיל Wi-Fi ו – GPS לצורך הקלטת מקומות בהם קיימות רשתות אלחוטיות.

Dumpster Diving

מדובר בצורה פופולרית מאד להוצאת פסולת שהושלכה במכולות זבל, מגורים, תעשייה ובנייה לצורך איתור פריטים ומידע שיכולים להיות יעילים עבור התוקף.

האזנת סתר (Eavesdropping)

 הקלטה או הקשבה לשיחות ללא הסכמה של אף אחד מבעלי השיחה.

האזנת סתר משמשת בדרך כלל להשגת מודיעין או לחקירת מעשים שבוצעו בעבר, ונעשית לעתים באמצעות אמצעים סמויים.

ניתן לבצע האזנת סתר במגוון דרכים – כמו הקשבה לשיחות טלפון באמצעים גלויים או סמויים או האזנה לשיחות המתנהלות בחדר או במקום מסוים באמצעים אלקטרוניים.

הנדסה חברתית (Social engineering)

מניפולציה פסיכולוגית המופעלת על אנשים כך שימסרו מידע סודי, כל הטכניקות בהנדסה חברתית מבוססות על תכונות פסיכולוגיות מסוימות של האדם, בעיקר בתחום קבלת ההחלטות.

תכונות אלו, המכונות לעתים ניתנות לניצול בצירופים שונים כדי ליצור טכניקות התקפה.

בין סוגי ההתקפות קיימים: דיוג, איסוף מידע, תסריטים, הסחת דעת, פיתוי ועוד (ויקיפדיה).

לדוגמה, התקשרות לגורם פנימי בחברה והזדהות כתומך טכניה מבקש את פרטי החשבון בטענות שונות כגון שדרוג שרתים ובחינת גישה למערכת.

זיהוי ומניעת חדירות (Intrusion detection and prevention)

זיהוי חדירה הינה הטכניקה המשמשת לזיהוי פעילות לא מורשת ברשת הארגון.

מערכת זו נקראת גם IDS. שני סוגי פתרונות IDS בשימוש כיום הם:

Network Based Intrusion Detection – NIDS

פתרון NIDS בדר"כ מיושם על ידי הטמעתו בנקודה אסטרטגית בתוך רשת הארגון לצורך ניטור תעבורה מכלל משאבי המחשוב.

המערכת מבצעת אנליזה לתעבורה ומשווה את המידע מול בסיס נתונים של התקפות מוכרות וידועות, ובעת זיהוי מתקפה או התנהגות אנומלית נשלחת התראה מיידית לגורם הרלוונטי.

לעיתים רבות נדרש לבחון את המערכת ע"י ביצוע סימולציה למתקפות זדוניות, וכיום ישנן מערכות אשר מבצעות פעולה זו כגון OPNET, NetSim.

Host Based Intrusion Detection – HIDS

בניגוד ל – NIDS, פתרון HIDS מותקן על גבי תחנות ומשאבי מחשוב באופן אינדיבידואלי ברשת הארגון.

המערכת מנטרת את תעבורת המידע הנכנסת והיוצאת בתחנה ותשלח התראה לגורם האחראי בעת זיהוי תעבורה חריגה.

גם מודול NIDS ו – HIDS משתמשים במספר מתודות לצרכי ניטור וזיהוי, להלן:

מבוסס חתימה (Signature Based)

מתודה זו משווה את תעבורת הרשת המנוטרת מול רשימת דפוסי התנהגות בקובץ חתימה.

קובץ החתימה מזהה מתקפות מוכרות בלבד, ולכן במידה וגורם זדוני משנה את דפוס ההתנהגות במתקפה המבוצעת על ידו ייתכן והמערכת לא תזהה את ההתקפה.

מבוסס אנומליות (Anomaly Based)

מתודת זיהוי על בסיס אנומלי מנטרת את תעבורת המידע ברשת ומייצרת פרופילי תעבורה. לאחר זמן מסויים, המערכת תדווח על חריגות בהתאם לפרופילי התעבורה שנוצרו.

החסרון במתודה זו נעוצה בכך שהמערכת אינה משתמשת במאגר התקפות מוכרות כדוגמת מתודה מבוססת חתימה וכתוצאה מכך יתכן ויקפצו התראות שווא False-Positive רבות.

מערכת IDS אינה מונעת התקפה אלא מתריעה בלבד, מערכות Intrusion Prevention Systems – IPS מונעות מתקפות בפועל או לפחות מצליחות להאט את המתקפה.

תתייחסו אל מערכת IPS כמערכת IDS בעל יכולות לבצע פעולות בעת זיהוי כגון סגירת תעבורה, או פרוטוקול תקשורת.

אנליזת הפרת חוקים (Violation Analysis)

ניתוח הפרה הינו המדע של בחינת לוגים וביקורות לצורך זיהוי פעילויות זדוניות.

האנליזה משתמשת בהגדרות Thresholds שמבדילות בין הפרות זדוניות לבין שגיאות שאינן מקוטלגות כמתקפות.

לדוגמה; משתמשים במערכת מסוימת לפעמים מקלידים את סיסמאותיהם בצורה לא נכונה, אם כך כמה טעויות מותר לבצע לפני הקפצת התראה?

לצורך העניין, ניתן להגדיר עד ארבעה ניסיונות כושלים בשעה.

בכל פעם שלמשתמש יש פחות מארבעה ניסיונות כושלים, אין להתייחס לכך כאל הפרה, אבל כאשר אותרה פעולה שגרמה ליותר מארבעה ניסיונות כושלים בשעה, ניתן להסיק שמישהו מנסה לפרוץ למערכת על ידי ניחוש סיסמאות.

ניטור הקלדה (Keystroke monitoring)

פעולת ניטור אשר מתעדת את הקלט בתחנות עבודה וטרמינלים.

ניטור הקלדה מזין כמויות גדולות של נתונים בקבצי לוג.

לעיתים קשה מאד להסתיר את העובדה שהארגון מבצע שימוש בטכניקה זו וכמו כן ישנן סוגיות אתיות לגבי זכויות הפרט של המשתמשים ברמת עומק כזו של בדיקה ולכן מומלץ להשתמש בניטור הקלדה רק בזמן חקירה אקטיבית.

תגובה לאירועים (Responding to events)

אוקי, אז הגדרת את כל מערכות הניטור ויצרת את כל החוקים הנדרשים לצורך זיהוי פעולות חריגות וזדוניות ברשת החברה, אם כך מה עליך לבצע כאשר אחת ממערכות הניטור מצביעה על כך שישנם אירועי אבטחה?

איך ניתן לזהות שמשהו אינו תקין ואיך להגיב כראוי? כאן נכנס תהליך האיתור, תגובה, ותיקון הבעיה (נחשב גם כניהול אירוע – Incident Management).

אירועי אבטחה דורשים תכנון מראש להלן:

אחראי ניטור

מי הגורם המנטר את המערכות והלוגים ובעבור אילו אירועים

תגובה ראשונית

מה הם הצעדים הראשונים שיש לבצע כאשר אותר אירועי חשוד? רעיון טוב יהיה כמובן לכתוב נהלים מסודרים לטיפול באירוע

אישור

מי מבצע משימה זו, וכיצד הוא או היא עושים זאת? מישהו צריך לקבוע האם האירוע הוא אזעקת שווא או אכן מתקפה זדונית

הודעה

כיצד האירוע משפיע על ההמשכיות העסקית? במידה ומשתמש פנימי גורם להתראות, ייתכן וידרש להודיע לאנשי מפתח מאחר ותיתכן פגיעה בסודיות, אמינות וזמינות המידע. מי הגורם המודיע

הסלמה (Escalation)

מי מגדיר אילו מנהלים בכירים צריכים להיות נושעים לאירוע ומתי יש לעדכנם?

רזולוציה

איך אתה מתכנן כיצד למגר את האירוע? רוב הזמן, מישהו צריך לעשות משהו כדי לנהל את האירוע, כגון כיבוי והפעלה, אתחול מחדש לשרת, נעילת חשבון משתמש, השעיית שירות, או פעולות אחרות

דיווח

האם קיים פורמט דיווח סטנדרטי, ועל ידי אילו אמצעים יימסרו הדיווחים? צורת דיווח לאירועי אבטחה שונים נדרשים להיות מוכנים מראש

סקירת אירוע

כיצד בכוונתך לבחון את האירוע במונחים של פעולה ומניעה? בסיומו של האירוע, בעלי עניין נדרשים לדון במקרה בכדי לקבוע אם התגובה היתה מתאימה והאם הארגון יכול היה למנוע את האירוע

מעוניין במידע
נוסף
?

הפוסט סדרת CISSP: ניטור ומבדקי חוסן (Monitoring) הופיע לראשונה ב-בדיקת חדירות.

סדרת מאמרי סייבר מקצועיים

מהם מבדקי חדירה (Penetration Test – PT)?

מבחן חדירה מהווה את אחת השיטות האפקטיביות ביותר להערכת רמת האבטחה של רשתות מחשוב, יישומים ותשתיות ארגוניות.

בדיקת החדירות מדמה תרחישי תקיפה של גורם זדוני על היעד הנבדק וחושפת בפנינו ליקויי אבטחה.

תרחישי התקיפה מתוכננים מראש ומנוהלים על ידי בודק החדירות המבצע אותה.

את בודק החדירות ניתן לכנות "האקר" או "Pen-Tester".

אחת המטרות העיקריות של הבדיקה היא לחשוף חולשות אבטחה בכדי לטפל בהן וזאת לפני שתוקף אמיתי ינצל זאת אותן.

בדיקת החדירות מתבצעת הן על ידי בדיקות ידניות של בודק החדירות והן בצורה אוטומטית על ידי תוכנות וכלים לסריקת פגיעויות.

במהלך בדיקת חדירה אנו מתבססים על מתודולוגיות מוכרות בתעשייה כגון – OWASPPTESMITREOSSTMM

המטרות העיקריות של מבדק החדירה:

• חשיפת חולשות – לחשוף חולשות אבטחה במערכות, תשתיות ורשת הארגון

• יעילות – לבחון ולאמת את היעילות של מערכות ההגנה

• נראות – לספק לארגון פרספקטיבה על חולשות האבטחה הקיימות

• רגולציה – לספק מידע שימושי לצוותי הביקורת ולעמוד בסטנדרטים ורגולציות

• חסכון – לצמצם נזק עתידי באמצעות חשיפת הפערים וסגירתם

• אפקטיביות – לסייע בתיעדוף עבודה של מערך אבטחת המידע

כמו כן מבדק חדירה תורם לנו:

• להבין כיצד תוקף יכול לסכן את הרשת הארגונית
• לקבל תובנה אמיתית לגבי הנזק והסיכון העסקי שתוקף עלול לגרום לארגון
• קבלת דוח מקיף המתאר את חשיפות האבטחה לרבות המלצות לתיקון
• הכנת תוכנית פעולה המפרטת כיצד לשפר את רמת האבטחה

קיימים שני תרחישים עיקריים שעל פיהם מבצעים בדיקת חדירות:

• פנימי 
• חיצוני

מבדק חדירה פנימי

מבדק חדירות פנימי (Internal Penetration Test), מהווה בעיקר נקודת מבט של תוקף אשר כבר נמצא ברשת הארגון או לחלופין עובד זדוני שיש לו גישה לרשת וברצונו לחדור למערכות שאינן אמור להגיע אליהן או לנצלן לרעה.

חשוב להתייחס לאיום הפנימי כלא פחות חשוב מהאיום החיצוני.

במהלך בדיקת החדירות הפנימית ובהתאם להיקף הפעילות שסוכמה מראש טרום הבדיקה, בודק החדירות ינסה לזהות חולשות אבטחה ואף יעשה מאמצים להעלות את ההרשאותיו כמה שיותר (אסקלציה – Privilege Escalation) ובכך להגיע לצמתים שיובילו אותו אל היעד או לחלופין עמוק יותר ברשת הארגון.

מבדק חדירה חיצוני

מבדק חדירה חיצוני (External Penetration Test), מדמה מצב שבו תוקף ו/או כל גורם זדוני אחר אשר נמצא מחוץ לגבולות הארגון או המערכת מנסה לחדור פנימה.

לרוב במצב זה לבודק החדירות אין מידע מקדים על היעד הנבדק ו/או גישה פנימית לרשת ולכן על הבודק להצליח לחדור אל המערכת או הארגון מבחוץ ובאמצעות איסוף מידע עצמאי.

במבדק חדירה חיצוני, אחד השלבים החשובים ביותר הוא שלב איסוף המידע, בשלב זה הבודק ירכז כמה שיותר מידע על הארגון/מערכת מה שהווה בסיס מאוד משמעותי להמשך הבדיקה.

במידה ובודק החדירות יצליח לחדור פנימה, ניתן להמשיך את הבדיקה כבדיקה פנימית וזאת בצמוד למה שסוכם מראש בהיקף הבדיקה ואפיונה.

קיימים שלושה סוגים עיקריים של מבדקי חדירות:

• Black Box
• Grey Box
• White Box

מבדק חדירה מסוג Black Box

במבדק חדירות מסוג זה, בודק החדירות נכנס לנעליו של תוקף שאין ברשותו מידע מקדים על הארגון ו/או היעד הנבדק.

היתרון של מבדק חדירות מסוג זה הוא באותנטיות של הבודק על ידי הדמיית תרחישי תקיפה כמה שיותר קרובים למציאות.

החיסרון בבדיקה הוא שנדרש זמן רב בכדי ללמוד את היעד הנבדק וככל הנראה הכיסוי של הבדיקה יהיה מצומצם יותר ולכן ניתן להתחיל בבדיקה זו ולשלב אותה עם בדיקות אחרות.

מבדק חדירה מסוג Grey Box

במבדק חדירות מסוג זה, בודק החדירות מקבל מידע חלקי על הארגון ו/או היעד הנבדק.

המטרה של מבדק חדירות מסוג זה היא לקיים בדיקה רחבה ואפקטיבית על ידי קבלת מידע מקדים אך מתומצת על היעד הנבדק (חוסך זמן יקר לבודק החדירות המבצע את הבדיקה) וכמו כן, לשמור על הדמיית תרחישי תקיפה כמה שיותר מציאותיים ואותנטיים.

בדיקה זו נחשבת נפוצה יותר, היות והיא שילוב של השתיים האחרות. כפי שצוין לעיל, ניתן לשלב כמה סוגים של בדיקות.

מבדק חדירה מסוג White Box

במבדק חדירות מסוג זה, בודק החדירות מקבל את כל המידע הדרוש לו בכדי שיכיר כמה שיותר טוב את הארגון ו/או היעד הנבדק.

היתרון של מבדק חדירות מסוג זה הוא שרמת האפקטיביות והכיסוי של הבדיקה גבוהות יותר כי כל המידע מוצג מראש בפני בודק החדירות.

החיסרון הוא בחוסר האותנטיות של הבודק היות וברשותו מידע מקדים ומפורט על הארגון ו/או היעד הנבדק, מה שלא יהיה חשוף בפני תוקף אמיתי, ללא השקעת מאמצים באיסוף מידע.

תתי קטגוריות של מבדקי חדירה

• מבדק הנדסה חברתית
• בדיקת חדירות אפליקטיבית
• מבדק חדירה תשתיתי

מבדק הנדסה חברתית

בדיקות חדירה מסוג הנדסה חברתית מתמקד באנשים ותהליכים ובפגיעויות הקשורות אליהם ולא אל המערכות בצורה ישירה.

בדיקות אלה מורכבות יותר ודורשות מיומנות ומקצועיות, תוך כדי הקפדה עלך שמירת כללים ואתיקה מקצועית.

במבדק זה נזהה את החולשה בחוליה הכי חלשה בשרשרת וזה הגורם האנושי.

בדיקה מסוג הנדסה חברתית מתבצעת באמצעות ביצוע מניפולציות על האנשים עצמם בכדי לגרום להם לבצע פעולות שיעזרו לנו לחדור לארגון.

מטרת הבדיקה להגביר מודעות בקרב העובדים ולהציג הוכחת יכולת של הנזק העשוי להיגרם על ידי ניצול הגורם האנושי.

מבדק חדירה תשתית

בבדיקה מסוג זה, בודק החדירות יתמקד בצד התשתיתי של הרשת/ארגון/מערכת וזאת לרבות זיהוי ליקויי אבטחה בשרתים עצמם, מערכות הפעלה, התקני רשת, הקשחות, מעקף בקרות אבטחה ועוד.

מבדק חדירה פליקטיבי

בדיקת חדירות אפליקטיבית היא אחת הדרישות המרכזיות בתקני אבטחה ורגלוציות נפוצים כגון PCI DSS, HIPAA, FISMA ועוד.

חברות רבות רבות נוטות לחשוב שבדיקות אוטומטיות לאפליקציה או לחלופין תוכנות אוטומטיות לסריקת פגיעויות מספקות מענה לבדיקת חדירות, אך זה רחוק מהמציאות בשטח וקיים הבדל גדול בין בדיקה של בודק חדירות מומחה ומקצועי לבין הרצת כלים אוטומטיים בלבד.

להלן השלבים הבסיסיים במתודולוגיית מבדק חדירות (High Level)

• הצבת יעדים ומטרות
• איסוף מידע
• בניית מודל איומים
• ניתוח חולשות אבטחה
• ניצול חולשות אבטחה
• פעולות לאחר ניצול חולשות
• תיעוד וכתיבת דוח

מעוניין במידע
נוסף
?

הפוסט ביצוע מבדק חדירה \ מבדק חוסן – PT) Penetration Test) הופיע לראשונה ב-בדיקת חדירות.

סדרת מאמרי סייבר מקצועיים

זה קורה לטובים ביותר

קיבלתם שיחה טלפונית פתאומית וביקשו "בטעות" אדם אחר שאינכם מכירים, למרות טענתכם שמדובר בטעות עדיין אתם נשאלים מספר שאלות על ידי אותו גורם שהתקשר, האם הדבר מוכר לכם?

רוב הסיכויים שהתשובה היא כן, בהרבה מן המקרים אין זו באמת טעות אלא תרמית במטרה להוציא מכם מידע שאינכם הייתם מספקים לאדם זר שהיה מבקש זאת בסיטואציה אחרת.

תרמית זאת נקראת במונח המקצועי – הנדסה חברתית.

הנדסה חברתית קיימת בשימוש קבוע בחיי היומיום שלנו, בין אם זו הדרך שבה הילדים משכנעים את הוריהם לקנות להם ממתקים, בין אם זה על ידי אנשי מכירות שגורמים ללקוחות לקנות מוצרים שבכלל אינם חפצים בהם וכו'.

הנדסה חברתית הינה היכולת לתמרן את המוח האנושי לנקוט בפעולה כלשהי, כאשר אותה פעולה לא הייתה נראית לנו לגיטימית במידה והיינו מודעים למשמעותה או למטרה שלשמה נתבקשנו לבצעה.

ויקיפדיה מגדירה זאת: "מושג מתחום האבטחה ובפרט מתחום אבטחת מידע, שמשמעותו ניצול של תכונות פסיכולוגיות של האדם, אשר עשויות להביא אותו לציית לבקשותיו של הפורץ. הנדסה חברתית היא לכן, אחת מהטכניקות למימוש לוחמת סייבר."

לי זה לא יקרה

אז נכון, יש לכם חומת אש (Firewall) מהחדישות ביותר, מערכות לגילוי והתרעה על התקפות ברשת, אנטי-וירוסים בכל התחנות בארגון, בקרות גישה ביומאריות, חדרי הרתים מאובטחים היטב, מי מסוגל לפרוץ אליכם עם כל ההגנות האלה?

כאשר מדובר בהנדסה חברתית, להגנות אלו אין יותר מדי משמעות ואתם נותרים חשופים למגוון רחב של התקפות שדרכן ניתן בקלות רבה לחדור לארגונכם ולעקוף את כל ההגנות הפיזיות והאפליקטיביות הקיימות. היות ואין באמת הגנה על החולשה העיקרית – הגורם האנושי.

בעוד ארגונים מתקדמים טכנולוגית ומשפרים משמעותית את מערך אבטחת המידע שלהם, האקרים פונים לחלק הכי חלש בחוליה, העובדים.

כיום, עם מערכות ההגנה המתקדמות, התקפות על מערך אבטחת המידע בארגון הפכו ליותר מסובכות וקשות ליישום, מה שמאריך ומקשה מאוד את תהליך התקיפה.

לעומת זאת, בעזרת הנדסה חברתית, האקר יכול להגיע לתוצאות זהות בשעות עבודה ספורות בלבד.

המחשה

לארגונכם הגיע איש כיבוי אש המטפל במטפי הכיבוי בבניין, איש כיבוי האש ניגש תחילה לשומר הנמצא בלובי הבניין והסביר שבא לביקורת שגרתית ולכן השומר הכניסו ללא כל בעיה לבניין.

לאחר שיחה קצרה עם המזכירה בדלפק הקבלה "וזריקת" חיוך קטן :), איש כיבוי האש קיבל הכוונה למיקום חדר השרתים וניגש לאזור המעליות ועלה לקומה הראשונה בה נמצא מתחם השרתים של הארגון.

הכניסה למתחם השרתים מאופשרת רק לבעלי מורשי גישה ובאמצעות טביעת אצבע בלבד.

בדיוק כאשר יצא האיש מהמעלית, אחד מטכנאי המחשבים יצא מדלת המתחם לצורך הפסקת סיגריה קצרה וראה את איש כיבוי האש בדיוק בדרכו פנימה ולכן השאיר לו את הדלת פתוחה כדי שיוכל להיכנס.

לאחר שקיבל הסבר מאחד הטכנאים הנמצא במקום, הוא הופנה לחדר השרתים שבו מותקן מטף הכיבוי.

לאחר מבט מהיר הוציא מכיסו תווית קטנה והדביקה על המטף.

תווית זו מעידה כי המטף תקין, בזמן הוצאת התווית מכיסו, שלף דיסק און קי קטן, אשר אינו בולט לעיין והכניסו לאחד השרתים שהיו על ידו (בחלקו האחורי של השרת).

הבחור אמר שלום בחיוך ועזב את הבניין. עד לפעולה האחרונה שאותו "איש כיבוי אש" ביצע, ניתן להניח שממבט מבחוץ של עובד מן המניין, כל הפעולות שהוזכרו לעיל ייראו לגיטימיות לגמרי.

אך באם נבחן את מטרתו האמיתית של אותו "איש כיבוי אש" פעולותיו מתגלות כתרמית אחת גדולה אשר לא היינו מאפשרים לה לקרות במידה והיינו מודעים לה.

כל טכניקות ההנדסה החברתית מבוססות על היכולת להשפיע על החלטות המוח האנושי. מושג זה נקרא "הטיות קוגניטיביות".

אחת משיטות התקיפה הנפוצות ביותר בהנדסה חברתית הינה – דיוג (“פישינג”).

דיוג הינה שיטה לגנוב מידע, בעיקר מידע רגיש, על ידי התחזות לגורם לגיטימי המוכר לקורבן.

ניתן ליישם דיוג בטכניקות שונות לרבות: מסרים מידיים, דואר אלקטרוני, שיחות קוליות וכו'.

האתרים הנפוצים שבשמם מבוצעות פעולות פישיניג הינם אתרי בנקים, רשתות חברתיות כגון גוגל ופייסבוק, אתרי מסחר כגון איביי ועוד.

למרות כל ההגנות החדישות בתחום אבטחת המידע, עדיין אין הגנות המסוגלות לשמור מפני טעויות הנובעות מכשלים בהתנהלות הגורם האנושי.

זה קורה לטובים ביותר

לפי פרסומים משנת 2011, אחת המדינות (חוקרים רבים סבורים כי מדובר בסין) שמה לעצמה מטרה לפרוץ לחברת האבטחה מהגדולות והמוכרות בעולם – חברת RSA.

חברה בסדר גודל שכזה, יכולה להרשות לעצמה לממן טכנולוגיות אבטחת מידע מהחדישות ביותר בתחום.

אלא שאותם תוקפים נקטו בשיטת תקיפה שונה וחסכונית – עקיפת מערך האבטחה של מחשבי הארגון דרך עובדי החברה.

לאחר איסוף מידע מקדים, התוקפים שלחו לעובדי החברה מייל עם הנושא: "Recruitment plan 2011".

מייל זה הכיל בתוכו קובץ אקסל אשר ניצל פרצת אבטחה לתוכנת הפלאש.

עם הפעלת הקובץ על ידי העובדים, הותקנה למחשב תוכנה זדונית בשם Poison Ivy.

תוכנה זו מאפשרת שליטה מלאה על המחשב באמצעות מחשב מרוחק של התוקף.

לאחר השתלטות על התחנה בוצעה פריצה מלאה לרשת החברה.

אנו עדים כאן להתקפה מסוג הנדסה חברתית אשר הביאה לחדירה מלאה לחברת RSA.

אז מה כן ניתן לעשות?

הדרך היעילה ביותר כיום להגנה מפני התקפות מסוג הנדסה חברתית, הינה הגברת מודעות העובדיםמשתמשים.

ניתן ליישם זאת באמצעות שיטות שונות ובניהן:

• יצירת מסגרת אמון בין הארגון לעובדים והגדרת המצבים בהם מותר/אסור להעביר מידע רגיש לגורמים ספציפיים, אם בכלל.
• זיהוי המידע הרגיש בארגון והערכת חשיפתו להתקפות מסוג הנדסה חברתית.
• הכנת מדיניות ונהלים המטפלים באופן השימוש במידע רגיש.
• הכשרת העובדים בהתאם לתפקידם, מיקומם בשרשרת הארגונית ורמת רגישות המידע איתו הם עובדים.
• ניטור נסיונות להדלפת מידע מתוך הארגון.
• נהלים הדוקים לאבטחה פיזית והגברת המודעות של גורמי האבטחה.
• ביצוע מבדקי חדירה הכוללים שימוש בהתקפות מסוג הנדסה חברתית ולאחר מכן, עדכון העובדים בטעויותיהם.

מעוניין במידע
נוסף
?

הפוסט הנדסה חברתית הופיע לראשונה ב-בדיקת חדירות.