המרחב המקוון ממשיך לגדול במהירות, ופותח יותר הזדמנויות להתקפות סייבר בתוך מערכת מחשבים, רשת או יישום אינטרנט. כדי לצמצם ולהתכונן לסיכונים כאלה, בדיקת חדירה היא שלב הכרחי במציאת פרצות אבטחה שתוקף עשוי להשתמש בהן.
מהי בדיקת חדירה?
A מבחן חדירה, או "מבחן עט", הוא מבחן אבטחה שמופעל כדי ללעוג למתקפת סייבר בפעולה. א מתקפת סייבר עשוי לכלול ניסיון דיוג או פריצה של מערכת אבטחת רשת. ישנם סוגים שונים של בדיקות חדירה הזמינות לארגון בהתאם לבקרות האבטחה הנדרשות. ניתן להפעיל את הבדיקה ידנית או עם כלים אוטומטיים דרך עדשת דרך פעולה ספציפית, או מתודולוגיית בדיקת עט.
למה בדיקת חדירה ומי מעורב?
התנאים "פריצה אתית" ו"בדיקת חדירה" משמשים לפעמים לסירוגין, אבל יש הבדל. פריצה אתית היא תחום רחב יותר אבטחת סייבר תחום הכולל כל שימוש במיומנויות פריצה לשיפור אבטחת הרשת. מבחני חדירה הם רק אחת מהשיטות שהאקרים אתיים משתמשים בהם. האקרים אתיים עשויים גם לספק ניתוח תוכנות זדוניות, הערכת סיכונים וכלים וטכניקות פריצה אחרים כדי לחשוף ולתקן חולשות אבטחה במקום לגרום נזק.
יבמ עלות דוח הפרת נתונים 2023 מצאה שהעלות הממוצעת העולמית של פריצת מידע ב-2023 היא 4.45 מיליון דולר, עלייה של 15% במשך 3 שנים. אחת הדרכים לצמצם את הפרות הללו היא על ידי ביצוע בדיקות חדירה מדויקות ומחודדות.
חברות שוכרות בודקי עטים כדי להפעיל התקפות מדומה נגד האפליקציות, הרשתות ונכסים אחרים שלהן. על ידי ביצוע התקפות מזויפות, בודקי חדירה עוזרים צוותי אבטחה לחשוף פרצות אבטחה קריטיות ולשפר את עמדת האבטחה הכוללת. התקפות אלו מבוצעות לרוב על ידי צוותים אדומים, או צוותי אבטחה התקפיים. ה קבוצה אדומה מדמה טקטיקות, טכניקות ונהלים של תוקפים אמיתיים (TTPs) מול המערכת של הארגון עצמו כדרך להעריך סיכוני אבטחה.
ישנן מספר מתודולוגיות לבדיקת חדירה שכדאי לקחת בחשבון כשאתה נכנס לתהליך בדיקת העטים. בחירת הארגון תהיה תלויה בקטגוריית ארגון היעד, מטרת מבחן העט והיקף מבחן האבטחה. אין גישה אחת שמתאימה לכולם. זה דורש מארגון להבין את נושאי האבטחה ואת מדיניות האבטחה שלו כדי שיהיה ניתוח פגיעות הוגן לפני תהליך בדיקת העט.
צפה בהדגמות של בדיקת עט מ-X-Force
5 מתודולוגיות מובילות לבדיקת חדירה
אחד השלבים הראשונים בתהליך בדיקת העט הוא ההחלטה על איזו מתודולוגיה לפעול.
להלן, נצלול לחמש ממסגרות בדיקת החדירה ומתודולוגיות בדיקת העטים הפופולריות ביותר כדי לעזור להנחות בעלי עניין וארגונים לשיטה הטובה ביותר עבור הצרכים הספציפיים שלהם ולהבטיח שהיא מכסה את כל התחומים הנדרשים.
1. מדריך שיטות בדיקות אבטחה בקוד פתוח
מדריך שיטות בדיקת אבטחה בקוד פתוח (OSSTMM) הוא אחד מהסטנדרטים הפופולריים ביותר של בדיקות חדירה. מתודולוגיה זו עוברת ביקורת עמיתים לצורך בדיקות אבטחה, והיא נוצרה על ידי המכון לאבטחה ומתודולוגיות פתוחות (ISECOM).
השיטה מבוססת על גישה מדעית לבדיקת עט עם מדריכים נגישים ומתאימים לבודקים. ה-OSSTMM כולל תכונות מפתח, כגון מיקוד תפעולי, בדיקות ערוצים, מדדים וניתוח אמון במתודולוגיה שלו.
OSSTMM מספקת מסגרת לבדיקת חדירה לרשת והערכת פגיעות לאנשי מקצוע בבדיקת עטים. זה אמור להיות מסגרת עבור ספקים למצוא ולפתור נקודות תורפה, כגון נתונים רגישים ובעיות הקשורות לאימות.
2. פתח את פרוייקט אבטחת יישומי אינטרנט
OWASP, קיצור של Open Web Application Security Project, הוא ארגון קוד פתוח המוקדש לאבטחת יישומי אינטרנט.
מטרת העמותה היא להפוך את כל החומר שלו בחינם ונגיש לכל מי שרוצה לשפר את אבטחת יישומי האינטרנט שלו. ל-OWASP יש משלו 10 למעלה (הקישור נמצא מחוץ ל ibm.com), שהוא דוח מתוחזק היטב המתאר את חששות האבטחה והסיכונים הגדולים ביותר ליישומי אינטרנט, כגון סקריפטים חוצי אתרים, אימות שבור והימצאות מאחורי חומת אש. OWASP משתמש ברשימת 10 המובילים כבסיס למדריך הבדיקות שלה OWASP.
המדריך מחולק לשלושה חלקים: OWASP testing framework לפיתוח אפליקציות אינטרנט, מתודולוגיית בדיקת אפליקציות אינטרנט ודיווח. ניתן להשתמש במתודולוגיית יישומי האינטרנט בנפרד או כחלק ממסגרת בדיקות האינטרנט עבור בדיקת חדירה של אפליקציות אינטרנט, בדיקות חדירת אפליקציות לנייד, בדיקות חדירה של API ובדיקות חדירה של IoT.
3. תקן ביצוע בדיקות חדירה
PTES, או תקן ביצוע בדיקות חדירה, היא שיטת בדיקת חדירה מקיפה.
PTES תוכנן על ידי צוות של אנשי מקצוע בתחום אבטחת המידע והוא מורכב משבעה חלקים עיקריים המכסים את כל ההיבטים של בדיקת עט. מטרת PTES היא לקבל קווים מנחים טכניים כדי לתאר למה ארגונים צריכים לצפות ממבחן חדירה ולהנחות אותם לאורך כל התהליך, החל משלב טרום ההתקשרות.
ה-PTES שואף להיות קו הבסיס לבדיקות חדירה ולספק מתודולוגיה סטנדרטית לאנשי מקצוע וארגוני אבטחה. המדריך מספק מגוון משאבים, כגון שיטות עבודה מומלצות בכל שלב בתהליך בדיקת החדירה, מתחילתו ועד סופו. כמה מאפיינים מרכזיים של PTES הם ניצול וניצול לאחר. ניצול מתייחס לתהליך השגת גישה למערכת באמצעות טכניקות חדירה כגון הנדסה חברתית ופיצוח סיסמאות. ניצול פוסט הוא כאשר נתונים מופקים ממערכת שנפרצה והגישה נשמרת.
4. מסגרת הערכת אבטחת מערכת מידע
מסגרת אבטחת מערכות מידע (ISSAF) היא מסגרת לבדיקת עט הנתמכת על ידי קבוצת אבטחת מערכות מידע (OISSG).
מתודולוגיה זו אינה נשמרת יותר וסביר להניח שאינה המקור הטוב ביותר למידע העדכני ביותר. עם זאת, אחד היתרונות העיקריים שלו הוא שהוא מקשר בין שלבי בדיקת עטים בודדים לכלי בדיקת עטים ספציפיים. סוג זה של פורמט יכול להיות בסיס טוב ליצירת מתודולוגיה פרטנית.
5. המכון הלאומי לתקנים וטכנולוגיה
NIST, קיצור של המכון הלאומי לתקנים וטכנולוגיה, היא מסגרת אבטחת סייבר המספקת סט של תקני בדיקת עטים עבור הממשלה הפדרלית וארגונים חיצוניים. NIST היא סוכנות בתוך משרד המסחר האמריקאי וצריכה להיחשב כסטנדרט המינימלי שיש לפעול לפיו.
בדיקת חדירה של NIST תואמת את ההדרכה שנשלחה על ידי NIST. כדי לציית להנחיה כזו, ארגונים חייבים לבצע בדיקות חדירה בהתאם למערכת ההנחיות שנקבעה מראש.
שלבי בדיקת העט
הגדר היקף
לפני תחילת בדיקת עט, צוות הבדיקה והחברה קבעו היקף לבדיקה. ההיקף מתאר אילו מערכות ייבדקו, מתי הבדיקה תתבצע, והשיטות שבודקי עטים יכולים להשתמש. ההיקף גם קובע כמה מידע יהיה לבודקי העטים מבעוד מועד.
התחל את הבדיקה
השלב הבא יהיה לבדוק את תוכנית ההיקף ולהעריך פגיעויות ופונקציונליות. בשלב זה, ניתן לבצע סריקת רשת ופגיעות כדי לקבל הבנה טובה יותר של תשתית הארגון. ניתן לבצע בדיקות פנימיות ובדיקות חיצוניות בהתאם לצרכי הארגון. יש מגוון של בדיקות שבוחני העט יכולים לעשות, כולל מבחן קופסה שחורה, מבחן קופסה לבנה ומבחן קופסה אפורה. כל אחד מספק דרגות שונות של מידע על מערכת היעד.
לאחר הקמת סקירה כללית של הרשת, הבודקים יכולים להתחיל לנתח את המערכת והיישומים בהיקף הנתון. בשלב זה, בודקי עטים אוספים מידע רב ככל האפשר כדי להבין הגדרות שגויות.
דיווח על ממצאים
השלב האחרון הוא דיווח ותחקיר. בשלב זה, חשוב לפתח דוח בדיקת חדירה עם כל הממצאים מבדיקת העט המתארים את הפגיעויות שזוהו. הדוח צריך לכלול תוכנית להפחתה ואת הסיכונים הפוטנציאליים אם לא יתרחש תיקון.
בדיקת עט ו-IBM
אם תנסה לבדוק הכל, תבזבז את הזמן, התקציב והמשאבים שלך. על ידי שימוש בפלטפורמת תקשורת ושיתוף פעולה עם נתונים היסטוריים, אתה יכול לרכז, לנהל ולתעדף רשתות, יישומים, מכשירים ונכסים בסיכון גבוה כדי לייעל את תוכנית בדיקות האבטחה שלך. הפורטל האדום של X-Force® מאפשר לכל מי שעוסק בתיקון לראות את ממצאי הבדיקות מיד לאחר חשיפת נקודות התורפה ולתזמן בדיקות אבטחה בזמן שנוח להם.
חקור שירותי בדיקת חדירה לרשת מבית X-Force
האם המאמר הזה היה מועיל?
ישלא
עוד משינוי עסקי
ניוזלטרים של יבמ
קבל את הניוזלטרים ועדכוני הנושא שלנו המספקים את המנהיגות החשיבתית העדכנית ביותר ותובנות לגבי מגמות מתפתחות.
הירשם עכשיו
עוד עלונים
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.ibm.com/blog/pen-testing-methodology/
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 1
- 10
- 15%
- 16
- 19
- 2023
- 2024
- 23
- 29
- 30
- 300
- 35%
- 39
- 40
- 400
- 7
- 80
- 9
- 95%
- a
- אודות
- גישה
- נגיש
- מדויק
- פעולה
- הוסיף
- התקדמות
- פרסום
- לאחר
- נגד
- סוכנות
- קדימה
- מטרות
- מיישר
- תעשיות
- כְּבָר
- גם
- amp
- an
- אנליזה
- ניתוח
- ניתוח
- ו
- כל
- כל אחד
- API
- בקשה
- פיתוח אפליקציות
- אבטחת יישומים
- יישומים
- גישה
- אפליקציות
- ARE
- אזורים
- מאמר
- AS
- היבטים
- לְהַעֲרִיך
- הערכה
- נכסים
- At
- המתקפות
- ניסיון
- אימות
- מחבר
- אוטומטי
- זמין
- מְמוּצָע
- בחזרה
- בנקאות
- מבוסס
- Baseline
- בסיס
- BE
- מאחור
- הטוב ביותר
- שיטות עבודה מומלצות
- מוטב
- הגדול ביותר
- קופסה שחורה
- בלוג
- בלוגים
- כָּחוֹל
- תַחתִית
- מותגים
- הפרה
- פרות
- מביא
- שבור
- תקציב
- לִבנוֹת
- עסקים
- אשת עסקים
- אבל
- לַחְצָן
- by
- CAN
- קיבולת
- הון
- שוקי הון
- פַּחמָן
- כרטיס
- כרטיסים
- בזהירות
- נושאת
- חָתוּל
- קטגוריה
- לגרום
- לרכז
- שינוי
- שינויים
- ערוץ
- לבדוק
- לתשלום
- בחירה
- חוגים
- חבר עמים
- בכיתה
- שיתוף פעולה
- עמיתים
- צֶבַע
- מגיע
- מסחר
- תקשורת
- חברות
- חברה
- לְהַשְׁווֹת
- תחרותי
- מורכבות
- הענות
- להיענות
- מַקִיף
- התפשר
- המחשב
- דאגות
- לשקול
- נחשב
- צרכנים
- מכולה
- להמשיך
- ממשיך
- ברציפות
- חוזה
- לִשְׁלוֹט
- בקרות
- נוחות
- עלות
- דלפק
- קורס
- כיסוי
- מכסה
- פיצוח
- נוצר
- יוצרים
- קריטי
- CSS
- מנהג
- לקוח
- ציפיות של לקוח
- חווית לקוח
- נאמנות לקוחות
- לקוחות
- CX
- התקפת סייבר
- התקפות רשת
- אבטחת סייבר
- נתונים
- נתוני פרה
- אבטחת מידע
- תַאֲרִיך
- לְתַחְקֵר
- מחליטים
- ירידה
- מוקדש
- בְּרִירַת מֶחדָל
- הגדרות
- למסור
- מסירה
- דרישה
- הדגמות
- מַחלָקָה
- מחלקות
- לסמוך
- תלוי
- תיאור
- מעוצב
- קובע
- לפתח
- מתפתח
- צעצועי התפתחות
- התקנים
- הבדל
- אחר
- לגלות
- צלילה
- מחולק
- do
- עושה
- עשה
- כל אחד
- בקלות
- אדג '
- מתעורר
- מאפשר
- מאמץ
- לְהַבטִיחַ
- זן
- במיוחד
- נוסד
- Ether (ETH)
- אֶתִי
- אֲפִילוּ
- אירועים
- אי פעם
- כולם
- הכל
- אקסלנס
- הוצאת להורג
- יציאה
- לצפות
- הציפיות
- ניסיון
- המסביר
- ניצול
- היכרות
- חיצוני
- מפעל
- הוגן
- מְזוּיָף
- שקר
- תכונות
- פדרלי
- ממשלה פדרלית
- שדה
- שלח
- סופי
- לממן
- כספי
- שירותים פיננסיים
- מציאת
- ממצאים
- גימור
- חומת אש
- ראשון
- צעדים ראשונים
- חמש
- לסדר
- להתמקד
- לעקוב
- הבא
- גופנים
- בעד
- פוּרמָט
- הָלְאָה
- מצא
- קרן
- מסגרת
- מסגרות
- חופשי
- החל מ-
- פונקציה
- פונקציונלי
- עתיד
- זכייה
- איסוף
- גנרטור
- לקבל
- מקבל
- נתן
- גלוֹבָּלִי
- מטרה
- טוב
- סחורות
- ממשל
- ממשלה
- רֶשֶׁת
- קְבוּצָה
- לגדול
- הדרכה
- מדריך
- הנחיות
- מדריך
- האקרים
- פריצה
- לקרות
- לפגוע
- יש
- כותרת
- גובה
- לעזור
- מועיל
- גָבוֹהַ
- סיכון גבוה
- לִשְׂכּוֹר
- היסטורי
- הוליסטית
- איך
- איך
- אולם
- HTTPS
- יבמ
- ICO
- ICON
- מזוהה
- זיהוי
- if
- תמונה
- מיד
- פְּגִיעָה
- חשוב
- לשפר
- השבחה
- in
- בחנות
- לכלול
- כולל
- כולל
- להגדיל
- מצטבר
- מדד
- בנפרד
- תעשייה
- אינפלציה
- מידע
- אבטחת מידע
- מערכות מידע
- תשתית
- תובנות
- מכון
- יחסי גומלין
- אינטרס
- שערי ריבית
- פנימי
- אל תוך
- מעורב
- IOT
- בעיות
- IT
- שֶׁלָה
- יָנוּאָר
- jpg
- רק
- רק אחד
- מפתח
- נוף
- גָדוֹל
- האחרון
- לשגר
- מנהיגות
- Lens
- פחות
- סביר
- קו
- קשר
- קישורים
- רשימה
- מקומי
- אזור
- עוד
- נאמנות
- עשוי
- ראשי
- לתחזק
- גדול
- לעשות
- תוכנות זדוניות
- לנהל
- ניהול
- מדריך ל
- באופן ידני
- רב
- שוק
- שוק
- שוקי
- חוֹמֶר
- עניינים
- max-width
- מאי..
- התכוון
- שיטה
- מתודולוגיות
- מֵתוֹדוֹלוֹגִיָה
- שיטות
- מדדים
- יכול
- מִילִיוֹן
- דקות
- מינימום
- דקות
- להקל
- הֲקָלָה
- סלולרי
- יותר
- רוב
- הכי פופולארי
- הרבה
- צריך
- לאומי
- ניווט
- הכרחי
- נחוץ
- צרכי
- רשת
- אבטחת רשת
- רשתות
- חדש
- ראש השנה
- עלונים
- הבא
- ניסט
- לא
- ללא כוונת רווח
- שום דבר
- עַכשָׁיו
- להתרחש
- of
- כבוי
- מתקפה
- Office
- לעתים קרובות
- on
- ONE
- באינטרנט
- לפתוח
- קוד פתוח
- פתיחה
- מבצעי
- תפעול
- הזדמנויות
- מטב
- אופטימיזציה
- מיטוב
- or
- ארגון
- ארגונים
- אחר
- שלנו
- תוצאות
- מתווה
- קווי מתאר
- outlining
- בחוץ
- יותר
- מקיף
- סקירה
- שֶׁלוֹ
- בעלים
- בקצב
- עמוד
- כְּאֵב
- נקודות כאב
- חלק
- חלקים
- סיסמה
- ביקורת עמיתים
- חֲדִירָה
- לבצע
- ביצעתי
- ביצוע
- התרופות
- דיוג
- טלפון
- PHP
- תכנית
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- חיבור
- נקודות
- מדיניות
- פופולרי
- כניסה
- עמדה
- אפשרי
- הודעה
- פוטנציאל
- פרקטיקות
- להכין
- לחץ
- יְסוֹדִי
- קודם
- תיעדוף
- נהלים
- תהליך
- תהליכים
- רכש
- המוצר
- פיתוח מוצר
- איכות המוצר
- מוצרים
- אנשי מקצוע
- תָכְנִית
- פּרוֹיֶקט
- לספק
- ספקים
- מספק
- מטרה
- מרדף
- איכות
- שאלות
- רכס
- מהר
- תעריפים
- במקום
- קריאה
- ממשי
- זמן אמת
- Red
- הפחתה
- מתייחס
- להשאר
- תיקון
- לדווח
- דווח
- נדרש
- דורש
- מתגורר
- לפתור
- משאבים
- תגובה
- לִשְׁמוֹר
- הסיכון
- הערכת סיכונים
- סיכונים
- רובוטים
- חֶדֶר
- הפעלה
- s
- מכירות
- חיסכון
- סריקה
- לוח זמנים
- מדעי
- היקף
- סקופינג
- מסך
- סקריפטים
- סעיפים
- מגזרים
- אבטחה
- בדיקות אבטחה
- רגיש
- נשלח
- SEO
- שרת
- שרות
- שירותים
- סט
- שבע
- כמה
- קצר
- צריך
- לְהַצִיג
- הופעות
- צד
- לאותת
- אתר
- מיומנויות
- קטן
- חכם
- So
- פותר
- כמה
- לפעמים
- מָקוֹר
- מֶרחָב
- ספציפי
- לבלות
- ממומן
- ריבועים
- התמחות
- בימוי
- בעלי עניין
- תֶקֶן
- מְתוּקנָן
- תקנים
- התחלה
- החל
- להישאר
- שלב
- צעדים
- חנות
- אִסטרָטֶגִיָה
- חוזק
- חזק
- לימוד
- הירשמו
- מוצלח
- כזה
- נתמך
- מפתיע
- הסובב
- SVG
- מערכת
- מערכות
- טקטיקה
- יעד
- נבחרת
- צוותי
- טכני
- טכניקות
- טכנולוגי
- טכנולוגיה
- נוטה
- מונחים
- שלישי
- מבחן
- נבדק
- בודקי
- בדיקות
- בדיקות
- מֵאֲשֶׁר
- תודה
- זֶה
- השמיים
- המידע
- שֶׁלָהֶם
- אותם
- נושא
- שם.
- אלה
- הֵם
- לחשוב
- זֶה
- אלה
- מחשבה
- מנהיגות מחשבתית
- שְׁלוֹשָׁה
- דרך
- בכל
- זמן
- כותרת
- ל
- של היום
- יַחַד
- גַם
- כלים
- חלק עליון
- 10 למעלה
- נושא
- טרנספורמציה
- מגמות
- סומך
- לנסות
- נִסעָר
- סוג
- סוגים
- לָנוּ
- לגלות
- חָשׂוּף
- תחת
- להבין
- הבנה
- בלתי צפוי
- עדכן
- עדכונים
- כתובת האתר
- ש״ח
- להשתמש
- מְשׁוּמָשׁ
- שימושים
- באמצעות
- מגוון
- משתנה
- לצפיה
- נראה
- פגיעויות
- פגיעות
- הערכת פגיעות
- סריקת פגיעות
- W
- רוצה
- היה
- לבזבז
- דֶרֶך..
- we
- חולשות
- מזג אוויר
- אינטרנט
- אפליקציית רשת
- יישומי אינטרנט
- מה
- מתי
- אם
- אשר
- בזמן
- מי
- למה
- יצטרך
- עם
- בתוך
- וורדפרס
- עובדים
- עובד
- ראוי
- היה
- סופר
- כתוב
- XML
- שנה
- שנים
- אתה
- צעיר
- זפירנט