בדיקות חוסן וסקר סיכונים: התקפה שמונעת התקפה

המודעות לנושא אבטחת המידע בארגונים שונים בעולם התמקדה בעבר בעיקר בתחומי התקשורת והתשתית. בשנים האחרונות הוכח לא אחת, שמנגנונים אלה אינם מספקים פתרון מושלם להגנת הארגון ויש להגן על המערכות גם ברובד האפליקטיבי.מערכות אשר אינן מאובטחות ברמה היישומית, עלולות להיות פרוצות למשתמשים זדוניים בעלי כוונות פליליות או אחרות, הן מתו הארגון והן מחוצה לו.המונחים בדיקות חוסן וסקר סיכונים הפכו לפופולאריים במיוחד בשנים האחרונות, ואף נעשו שגורים לאחרונה גם בין אנשי IT אשר הקשר בינם לבין אבטחת מידע במקרים רבים הוא מקרי..כמו כל פעולה חיסונית אחרת למשל זריקה אצל האחות בקופת חולים, או ביקור אצל שיננית גם בדיקות החוסן וסקר בסיכונים, אינם מבין הפעולות אשר אדם חושב לערו באופן התנדבותי. בדיקות אלה נעשות עפי רוב משתי סיבות עיקריות:האחת, עמידה בתקינה או רגולציה הכרחית לארגון בתחומו למשל, תקינה 357 לארגונים בנקאיים. השניה, הצור בבדיקה תקופתית הנובעת מתו הארגון למשל באמצעות גוף אבטחת מידע או גוף ביקורת.בדיקות חוסן הן למעשה ניסיון מכוון של אנשי אבטחת מידע, לפרוץ בצורה יזומה ומבוקרת לרשת,למערכת או לאפליקציה, תו כדי שימוש בטקטיקות ובטכנולוגיות אשר נפוצות בידי קהילת ההאקרים. ניתן לבצע בדיקות אלה במספר דרכים, להלן שלוש מהן:קופסה שחורה -Black Box - הבודק אינו יודע דבר על מושא הבדיקה שלו, מלבד כתובת IP או URL כתובת האתר באינטרנט וניסיון הפריצה אשר נעשה מבוסס על ידע אשר נגיש בצורה פומבית לקהל הרחב. באופן זה, הבודק מגשש בחשיכה, תו כדי חיפוש אחר פרצות בהן יוכל לעבור. קופסה לבנה - White Box - בדיקה זו נעשית על ידי בודק אשר לידיו הגיע מידע נרחב על מושא הבדיקה שלו, כמו קוד המקור של המערכת או חלקיה ו/או תוכנית הרשת. החיפוש אחר חשיפות אפשריות נעשה על סמ המידע ועל כן, לרוב הנו יסודי יותר.הקופסה האפורה - Gray Box - הנה שילוב של המיטב של שני העולמות. הבודק בבדיקה זו יודע מספיק על המערכת בכדי לחפש נקודות תורפה מסוימות, א לא מכיר את כל המערכת על בוריה.בתהלי ביצוע סקר סיכונים, הסוקר משתמש בטכניקות מתונות יותר מפורץ פוטנציאלי וזהו תהלי פחות אופנסיבי התקפי מבדיקות חוסן. הכלים העומדים לרשות הסוקר הם תשאול ובקרה. עפי רוב, חלקו הראשון של הסקר יהיה מורכב מתשאול. התשאול נעשה הן ברמה העסקית, לדוגמה, שואלים את העובדים בארגון מהו הנזק האפשרי, לדעתם, העלול להיגרם מחשיפת מידע כלשהו לציבור ללא אישור הארגון? והן ברמה הטכנית, שבה בודקים מהם הפורטים הפתוחים למשתמש חיצוני, שמבקש לחדור אל תו הארגון. חשוב לציין, כי בשלב התשאול הסוקר מסתמ בממצאיו על מידע שסופק לו עי אנשי הארגון. החלק השני בסקר הסיכונים הוא השלב בו הסוקר מבצע בקרה על מערכות הארגון. הבקרה נעשית על-פי מדיניות הארגון אם קיימת ועל-פי המקובל בשוק Best practice.לרוב, לאחר שנעשה בארגון התהלי הראשוני של בדיקות חוסן וסקר סיכונים, קל יותר לערו ביקורת נוספת, וזאת מכיוון שכבר קיימת מודעות לתהלי הבקרה ולהשלכותיו בגופים המבוקרים. גם רמת אבטחת המידע בגופים אלה גבוהה יותר, מכיוון שהמודעות לצור ו הקלות הבלתי נסבלת גם היא קיימת.לסיכום, התהלי של ביצוע סקר סיכונים ובדיקות חוסן דומה ברובו לבדיקה אצל רופא מומחה, וגם כאן חשוב להקפיד על שני נושאים עיקריים: -עד כמה הרופא המיועד הוא בעל ניסיון נצבר ומיומנות נדרשת? -כמו כן, עד כמה אנו חשים בנוח לספר לו על מחלותינו..?לאחר שנשיב לשאלות הללו, נוכל לקבוע ולהגדיר מהן הדרכים שבהן נרצה ליישם את בדיקות החוסן בארגון ואילו תרופות יהיו האפקטיביות ביותר כדי שנוכל להחלים במהרה ולמנוע מחלה נוספת.***********חברת הקטיקס www.hacktics.com נוסדה בשנת 2004 במטרה לספק ללקוחותיה פתרונות מקצועיים ויצירתיים בתחום אבטחת המידע באפליקציות, מסדי נתונים ותשתיות ארגוניות. החברה מתמחה בפריצה מקצועית למערכות מידע וכן במתן ייעוץ והדרכה בתחומים אלה.הקטיקס מביאה לשוק מספר רב של כישורים ייחודיים בתחום הטכנולוגיה והמתודולוגיה, כמו גם יכולת מחשבה לא שגרתית ויכולת התחקות אחר דפוסי חשיבה של פורצים ומשתמשים זדוניים. שלושת מייסדי החברה, הם בעלי ניסיון רב בהערכת סיכונים פוטנציאליים ונקודות תורפה במערכות הארגון, ובניית פתרונות מתאימים בקרב ארגונים רבים בארץ ובעולם. שירותי החברה השונים מסייעים לארגון לפתח אפליקציות המבוססות על רמת אבטחה גבוהה ביותר, כבר משלב התכנון המוקדם. להקטיקס בסיס לקוחות הכולל כיום כ-65 לקוחות ארגוניים גדולים במגוון מגזרים כגון פיננסים, ביטוח, בריאות, תקשורת, תעשייה ובטחון, בהם כ-20 לקוחות בארהב ובאירופה. הקטיקס הנה חברה בבעלות פרטית בעלת ומשרדיה בהרצליה.לפרטים נוספים:סיגלית פרטל, דורן תקשורת, טל. 09-7750741, 050-7700661דנה דהן, דורן תקשורת, טל. 09-7750745, 054-4919558