מתודולוגיות ותקנים לבדיקת חדירה - בלוג IBM

המרחב המקוון ממשיך לגדול במהירות, ופותח יותר הזדמנויות להתקפות סייבר בתוך מערכת מחשבים, רשת או יישום אינטרנט. כדי לצמצם ולהתכונן לסיכונים כאלה, בדיקת חדירה היא שלב הכרחי במציאת פרצות אבטחה שתוקף עשוי להשתמש בהן.

מהי בדיקת חדירה?

A מבחן חדירה, או "מבחן עט", הוא מבחן אבטחה שמופעל כדי ללעוג למתקפת סייבר בפעולה. א מתקפת סייבר עשוי לכלול ניסיון דיוג או פריצה של מערכת אבטחת רשת. ישנם סוגים שונים של בדיקות חדירה הזמינות לארגון בהתאם לבקרות האבטחה הנדרשות. ניתן להפעיל את הבדיקה ידנית או עם כלים אוטומטיים דרך עדשת דרך פעולה ספציפית, או מתודולוגיית בדיקת עט.

למה בדיקת חדירה ומי מעורב?

התנאים "פריצה אתית" ו"בדיקת חדירה" משמשים לפעמים לסירוגין, אבל יש הבדל. פריצה אתית היא תחום רחב יותר אבטחת סייבר תחום הכולל כל שימוש במיומנויות פריצה לשיפור אבטחת הרשת. מבחני חדירה הם רק אחת מהשיטות שהאקרים אתיים משתמשים בהם. האקרים אתיים עשויים גם לספק ניתוח תוכנות זדוניות, הערכת סיכונים וכלים וטכניקות פריצה אחרים כדי לחשוף ולתקן חולשות אבטחה במקום לגרום נזק.

יבמ עלות דוח הפרת נתונים 2023 מצאה שהעלות הממוצעת העולמית של פריצת מידע ב-2023 היא 4.45 מיליון דולר, עלייה של 15% במשך 3 שנים. אחת הדרכים לצמצם את הפרות הללו היא על ידי ביצוע בדיקות חדירה מדויקות ומחודדות.

חברות שוכרות בודקי עטים כדי להפעיל התקפות מדומה נגד האפליקציות, הרשתות ונכסים אחרים שלהן. על ידי ביצוע התקפות מזויפות, בודקי חדירה עוזרים צוותי אבטחה לחשוף פרצות אבטחה קריטיות ולשפר את עמדת האבטחה הכוללת. התקפות אלו מבוצעות לרוב על ידי צוותים אדומים, או צוותי אבטחה התקפיים. ה קבוצה אדומה מדמה טקטיקות, טכניקות ונהלים של תוקפים אמיתיים (TTPs) מול המערכת של הארגון עצמו כדרך להעריך סיכוני אבטחה.

ישנן מספר מתודולוגיות לבדיקת חדירה שכדאי לקחת בחשבון כשאתה נכנס לתהליך בדיקת העטים. בחירת הארגון תהיה תלויה בקטגוריית ארגון היעד, מטרת מבחן העט והיקף מבחן האבטחה. אין גישה אחת שמתאימה לכולם. זה דורש מארגון להבין את נושאי האבטחה ואת מדיניות האבטחה שלו כדי שיהיה ניתוח פגיעות הוגן לפני תהליך בדיקת העט.

צפה בהדגמות של בדיקת עט מ-X-Force

5 מתודולוגיות מובילות לבדיקת חדירה

אחד השלבים הראשונים בתהליך בדיקת העט הוא ההחלטה על איזו מתודולוגיה לפעול.

להלן, נצלול לחמש ממסגרות בדיקת החדירה ומתודולוגיות בדיקת העטים הפופולריות ביותר כדי לעזור להנחות בעלי עניין וארגונים לשיטה הטובה ביותר עבור הצרכים הספציפיים שלהם ולהבטיח שהיא מכסה את כל התחומים הנדרשים.

1. מדריך שיטות בדיקות אבטחה בקוד פתוח

מדריך שיטות בדיקת אבטחה בקוד פתוח (OSSTMM) הוא אחד מהסטנדרטים הפופולריים ביותר של בדיקות חדירה. מתודולוגיה זו עוברת ביקורת עמיתים לצורך בדיקות אבטחה, והיא נוצרה על ידי המכון לאבטחה ומתודולוגיות פתוחות (ISECOM).

השיטה מבוססת על גישה מדעית לבדיקת עט עם מדריכים נגישים ומתאימים לבודקים. ה-OSSTMM כולל תכונות מפתח, כגון מיקוד תפעולי, בדיקות ערוצים, מדדים וניתוח אמון במתודולוגיה שלו.

OSSTMM מספקת מסגרת לבדיקת חדירה לרשת והערכת פגיעות לאנשי מקצוע בבדיקת עטים. זה אמור להיות מסגרת עבור ספקים למצוא ולפתור נקודות תורפה, כגון נתונים רגישים ובעיות הקשורות לאימות.

2. פתח את פרוייקט אבטחת יישומי אינטרנט

OWASP, קיצור של Open Web Application Security Project, הוא ארגון קוד פתוח המוקדש לאבטחת יישומי אינטרנט.

מטרת העמותה היא להפוך את כל החומר שלו בחינם ונגיש לכל מי שרוצה לשפר את אבטחת יישומי האינטרנט שלו. ל-OWASP יש משלו 10 למעלה (הקישור נמצא מחוץ ל ibm.com), שהוא דוח מתוחזק היטב המתאר את חששות האבטחה והסיכונים הגדולים ביותר ליישומי אינטרנט, כגון סקריפטים חוצי אתרים, אימות שבור והימצאות מאחורי חומת אש. OWASP משתמש ברשימת 10 המובילים כבסיס למדריך הבדיקות שלה OWASP. 

המדריך מחולק לשלושה חלקים: OWASP testing framework לפיתוח אפליקציות אינטרנט, מתודולוגיית בדיקת אפליקציות אינטרנט ודיווח. ניתן להשתמש במתודולוגיית יישומי האינטרנט בנפרד או כחלק ממסגרת בדיקות האינטרנט עבור בדיקת חדירה של אפליקציות אינטרנט, בדיקות חדירת אפליקציות לנייד, בדיקות חדירה של API ובדיקות חדירה של IoT.

3. תקן ביצוע בדיקות חדירה

PTES, או תקן ביצוע בדיקות חדירה, היא שיטת בדיקת חדירה מקיפה.

PTES תוכנן על ידי צוות של אנשי מקצוע בתחום אבטחת המידע והוא מורכב משבעה חלקים עיקריים המכסים את כל ההיבטים של בדיקת עט. מטרת PTES היא לקבל קווים מנחים טכניים כדי לתאר למה ארגונים צריכים לצפות ממבחן חדירה ולהנחות אותם לאורך כל התהליך, החל משלב טרום ההתקשרות.

ה-PTES שואף להיות קו הבסיס לבדיקות חדירה ולספק מתודולוגיה סטנדרטית לאנשי מקצוע וארגוני אבטחה. המדריך מספק מגוון משאבים, כגון שיטות עבודה מומלצות בכל שלב בתהליך בדיקת החדירה, מתחילתו ועד סופו. כמה מאפיינים מרכזיים של PTES הם ניצול וניצול לאחר. ניצול מתייחס לתהליך השגת גישה למערכת באמצעות טכניקות חדירה כגון הנדסה חברתית ופיצוח סיסמאות. ניצול פוסט הוא כאשר נתונים מופקים ממערכת שנפרצה והגישה נשמרת.

4. מסגרת הערכת אבטחת מערכת מידע

מסגרת אבטחת מערכות מידע (ISSAF) היא מסגרת לבדיקת עט הנתמכת על ידי קבוצת אבטחת מערכות מידע (OISSG).

מתודולוגיה זו אינה נשמרת יותר וסביר להניח שאינה המקור הטוב ביותר למידע העדכני ביותר. עם זאת, אחד היתרונות העיקריים שלו הוא שהוא מקשר בין שלבי בדיקת עטים בודדים לכלי בדיקת עטים ספציפיים. סוג זה של פורמט יכול להיות בסיס טוב ליצירת מתודולוגיה פרטנית.

5. המכון הלאומי לתקנים וטכנולוגיה  

NIST, קיצור של המכון הלאומי לתקנים וטכנולוגיה, היא מסגרת אבטחת סייבר המספקת סט של תקני בדיקת עטים עבור הממשלה הפדרלית וארגונים חיצוניים. NIST היא סוכנות בתוך משרד המסחר האמריקאי וצריכה להיחשב כסטנדרט המינימלי שיש לפעול לפיו.

בדיקת חדירה של NIST תואמת את ההדרכה שנשלחה על ידי NIST. כדי לציית להנחיה כזו, ארגונים חייבים לבצע בדיקות חדירה בהתאם למערכת ההנחיות שנקבעה מראש.

שלבי בדיקת העט

הגדר היקף

לפני תחילת בדיקת עט, צוות הבדיקה והחברה קבעו היקף לבדיקה. ההיקף מתאר אילו מערכות ייבדקו, מתי הבדיקה תתבצע, והשיטות שבודקי עטים יכולים להשתמש. ההיקף גם קובע כמה מידע יהיה לבודקי העטים מבעוד מועד.

התחל את הבדיקה

השלב הבא יהיה לבדוק את תוכנית ההיקף ולהעריך פגיעויות ופונקציונליות. בשלב זה, ניתן לבצע סריקת רשת ופגיעות כדי לקבל הבנה טובה יותר של תשתית הארגון. ניתן לבצע בדיקות פנימיות ובדיקות חיצוניות בהתאם לצרכי הארגון. יש מגוון של בדיקות שבוחני העט יכולים לעשות, כולל מבחן קופסה שחורה, מבחן קופסה לבנה ומבחן קופסה אפורה. כל אחד מספק דרגות שונות של מידע על מערכת היעד.

לאחר הקמת סקירה כללית של הרשת, הבודקים יכולים להתחיל לנתח את המערכת והיישומים בהיקף הנתון. בשלב זה, בודקי עטים אוספים מידע רב ככל האפשר כדי להבין הגדרות שגויות.

דיווח על ממצאים

השלב האחרון הוא דיווח ותחקיר. בשלב זה, חשוב לפתח דוח בדיקת חדירה עם כל הממצאים מבדיקת העט המתארים את הפגיעויות שזוהו. הדוח צריך לכלול תוכנית להפחתה ואת הסיכונים הפוטנציאליים אם לא יתרחש תיקון.

בדיקת עט ו-IBM

אם תנסה לבדוק הכל, תבזבז את הזמן, התקציב והמשאבים שלך. על ידי שימוש בפלטפורמת תקשורת ושיתוף פעולה עם נתונים היסטוריים, אתה יכול לרכז, לנהל ולתעדף רשתות, יישומים, מכשירים ונכסים בסיכון גבוה כדי לייעל את תוכנית בדיקות האבטחה שלך. הפורטל האדום של X-Force® מאפשר לכל מי שעוסק בתיקון לראות את ממצאי הבדיקות מיד לאחר חשיפת נקודות התורפה ולתזמן בדיקות אבטחה בזמן שנוח להם.

חקור שירותי בדיקת חדירה לרשת מבית X-Force