דף הבית  >> 
 >> 

הרשם  |  התחבר


בדיקות חדירה, בדיקות חוסן - סוגי בדיקות ודגשים 

מאת    [ 22/08/2012 ]

מילים במאמר: 614   [ נצפה 2996 פעמים ]

בדיקות חדירה - תקשורת חיצונית (Penetration Testing - External Network)

  • כוללת תקיפה של מערך התקשורת מכיוון רשת האינטרנט לעבר רשת החברה. בדיקה זו תבוצע ברמת התקשורת אל מול ממשק התקשורת החיצוני של החברה (FW) האמור להגן על עמדות הקצה והשרת הפרוסים במשרדי החברה. מטרת הבדיקה- לקבל הרשאות גישה בלתי מורשות על הרשת המקומית וממנה להשתלט נכסי מידע.
  • הפעלת כלים ממוכנים המסוגלים למדמות מצבי תקיפה ומנסים לאתר חולשות ברמות השונות ולאתר חולשות, חוסר בתיקוני אבטחה מותקנים, הרשאות גישה חלשות וכו'.
  • ביצוע תקיפה ידנית המבוססת על הכלים הממוכנים בה מבוצעת הדמיית תקיפה פרטנית על מנת לאתר חולשות ולממשן ברמת התקשורת והרשת על מנת להביא לידי מצב בו המערכת מאפשרת גישה בלתי מורשית למשאביה בכל אחת מהרמות: מערכות ההפעלה או רכיבי התקשורת.

בדיקות חדירה - תקשורת פנימית (Penetration Testing - Internal Network)

  • כוללת תקיפה של מערך התקשורת הפנימי בארגון. בדיקה זו תבוצע ברמת התקשורת תוך התממשקות ל"נקודה חמה" ברשת הפנים ארגונית, במטרה לדמות גורם אשר קיבל קישור פנימי לא מורשה (כגון קבלן אשר חורג מתחום פעולתו או לחילופין עובד אשר מנסה להגיע למקורות מידע אשר אין לו הרשאות תקניות עבורן
  • מטרת הבדיקה- לקבל הרשאות גישה בלתי מורשות על הרשת הפנימית המקומית וממנה להשתלט נכסי מידע.

אופן ביצוע הבדיקות:

  • הפעלת כלים ממוכנים המסוגלים למדמות מצבי תקיפה ומנסים לאתר חולשות ברמות השונות ולאתר חולשות, חוסר בתיקוני אבטחה מותקנים, הרשאות גישה חלשות וכו'.
  • ביצוע תקיפה ידנית המבוססת על הכלים הממוכנים בה מבוצעת הדמיית תקיפה פרטנית על מנת לאתר חולשות ולממשן ברמת התקשורת והרשת על מנת להביא לידי מצב בו המערכת מאפשרת גישה בלתי מורשית למשאביה בכל אחת מהרמות: מערכות ההפעלה או רכיבי התקשורת.

בדיקות חדירה - אפליקציה  Penetration Testing - Application Level)

  • מבדקי החדירה המבוקרים יכללו סקירה היקפית, הלכה למעשה של אפליקציות מרכזיות בארגון, בין אם המשמשות את לקוחות החברה או את עובדיה לשימושים פנימיים. הבדיקה תבוצע ברמות המשתמש השונות (משתמש פשוט, משתמש פריוולגי וכו') הקיימות באפליקציות. בדיקצ החדירה האפליקטיבית תנסה לאמוד את היכולת של תוקף פוטנציאלי להסב נזק תדמיתי או כלכלי ללקוח ו/או לחברה.
  • הבדיקה האפליקטיבית תתבצע ברמת GrayBox ויתבצע ניסיון לאיתור פרצות כגון:
    • SQL Injection
    • Logical Attacks
    • Parameter and User Input Tampering
    • State & Session Management Attacks
    • Session ID Replay/Brute Force
    • XML poisoning
    • Injection Attacks
    • Cross Site Scripting
    • etc...

בדיקות חדירה VoIP - מערכות הטלפוניה

  • על ארגונים בכל הגדלים אשר אימצו Telephony IP לשקול ברצינות את נושא אבטחת המידע. אל מול מספרים גדלים והולכים של ארגונים המאמצים Telephony IP  עולים האקרים ופושעים מסוגים שונים המנצלים חולשות הקיימות בטכנולוגיה זו למטרותיהם. סקר אבטחת המידע המתקדם של Secaudit מסייע במתן מענה הגנתי אל מול איומים פנימיים וחיצוניים למשתמשים בטכנולוגיית Telephony IP.

האיומים הנפוצים ב Telephony IP הינם:

  • הונאה: גניבת שיחות מתרחשת כאשר תוקף חודר לרשת ולמרכזיית ה – IP תוך שהוא "חוטף" קווים לשם ביצוע שיחות חיוב מקומיות, שיחות מעבר לים, או כל שירות אחר המסוגל לבצע חיוב על בסיס קו טלפון.
  • ציטוט והאזנה: הגם שציטוט והאזנה אינם סיכון ייחודי ל - Telephony IP, הרי שאופי רשת ה IP  הופך אותה לנגישה וחדירה הרבה יותר. אין צורך עוד בגישה פיזית למרכזיה לשם ציטוט לקווים ומרגע שהושגה גישה ניתן לבצע האזנה רציפה מנקודה מרוחקת בכל מקום בעולם.
  • מניעת שירות - Denial of Service:  התקפות מניעת שירות מסוגלות להשפיע על כל רשת שהיא, כמו גם רשתות - Telephony IP. פעולת מניעת השירות מתבצעת ע"י "הצפת" הרשת בבקשות.
  • פריצה ל VoIP: כמו לכל מערכת המבוססת IP, גם ברשת Telephony IP  קיים סיכון של פריצה מבחוץ. פריצה מעין זו משפיעה של כלל המשתמשים ועלולה להסתיים בפריצה גם לרשת המידע הארגונית.
  • Spit - Spam over Instant Messaging: בעוד דואר אלקטרוני ניתן לבדיקה כי הוא נקי מספאם טרם העברתו למשתמש, הרי שספאם על ערוץ תקשורת הטלפוניה אינו ניתן לניקוי בשיטה דומה, לאור העברת המידע המידית המתרחשת בעת שיחה. בשל כך קיים הסיכון של :שיחות זבל" בדיוק כמו "דואר זבל".

אורן שני, מנכ"ל משותף SecAudit - כי הניסיון הוא ההבדל.  SecAudit הינו משרד המתמחה בתחום הבקרה ואבטחת המידע. למשרד התמחויות מגוונות לרבות ביקורת פנימית, ביקורת מעילות והונאות, ביקורת מערכות מידע וסקרי סיכונים, אבטחת מידע ותחקור נתונים.




מאמרים חדשים מומלצים: 

חשיבות היוגה לאיזון אורח חיים יושבני  -  מאת: מיכל פן מומחה
היתרונות של עיצוב בית בצורת L -  מאת: פיטר קלייזמר מומחה
לגלות, לטפח, להצליח: חשיבות מימוש פוטנציאל הכישרון לילדים עם צרכים מיוחדים -  מאת: עמית קניגשטיין מומחה
המדריך לניהול כלכלת משק בית עם טיפים ועצות לניהול תקציב -  מאת: נדב טל מומחה
חשבתם שרכב חשמלי פוטר מטיפולים.. תחשבו שוב -  מאת: יואב ציפרוט מומחה
מה הסיבה לבעיות האיכות בעולם -  מאת: חנן מלין מומחה
מערכת יחסים רעילה- איך תזהו מניפולציות רגשיות ותתמודדו איתם  -  מאת: חגית לביא מומחה
לימודים במלחמה | איך ללמוד ולהישאר מרוכז בזמן מלחמה -  מאת: דניאל פאר
אימא אני מפחד' הדרכה להורים כיצד תוכלו לנווט את קשיי 'מצב המלחמה'? -  מאת: רזיאל פריגן פריגן מומחה
הדרך שבה AI (בינה מלאכותית) ממלאת את העולם בזבל דיגיטלי -  מאת: Michael - Micha Shafir מומחה

מורנו'ס - שיווק באינטרנט

©2022 כל הזכויות שמורות

אודותינו
שאלות נפוצות
יצירת קשר
יתרונות לכותבי מאמרים
מדיניות פרטיות
עלינו בעיתונות
מאמרים חדשים

לכותבי מאמרים:
פתיחת חשבון חינם
כניסה למערכת
יתרונות לכותבי מאמרים
תנאי השירות
הנחיות עריכה
תנאי שימוש במאמרים



מאמרים בפייסבוק   מאמרים בטוויטר   מאמרים ביוטיוב