בדיקות חדירות
ארגונים משקיעים משאבים רבים כדי לאבטח את מערכות המחשוב שלהם. זהו צורך ממשי וחשוב ביותר, כיוון שתקיפות מתבצעות כל הזמן, בהיקף נרחב ולמטרות שונות כמו יצירת נזק או גניבת מידע, והשלכותיהן הפוטנציאליות הן חמורות. במקרים מסוימים ההתקפות מתוכננות היטב, ומבוצעות לאורך זמן ובשלבים רבים (Advanced Persistent Threat או APT), ולפעמים מדובר רק באנשים המעוניינים לראות מידע רגיש לשם ריגול תעשייתי. בהקשר הזה תמיד נשאלת השאלה אם ההיערכות של הארגון טובה מספיק. כיצד עונים על שאלה זו? בדיקות חדירות הן אמצעי חשוב, ותיק ומבוסס מאוד, שאיתו כל חברה יכולה לבדוק את עצמה וכמה היא מוגנת מהאיומים שבחוץ.
מהן בדיקות חדירות?
בדיקות חדירות הן תחום מורכב, אך הרעיון הבסיסי שלו פשוט: הבדיקה מדמה תקיפה על מערכות המחשוב של הארגון. בדיקות אלה מכונות גם מבדקי חדירה או באנגלית Penetration Tests.
מה בדיקות חדירות בודקות?
בדיקות חדירות עוסקות בכל הפעולות שתוקפים עשויים לבצע וכל מה שעשוי לסייע להם בכך, למשל בדיקת היכולת של פורצים לעקוף הגנות ספציפיות, להיכנס למערכות רגישות, לגנוב מידע מסווג, לשבש פעילות של מערכות מחשוב חיוניות, להפיל אתרים ועוד. הבדיקות יכולות להיות ברמת תשתית המחשוב בארגון, כולל הרישות או ברמה אפליקטיבית. כמובן, בכל הנוגע לאבטחה חייבים כיום להביא בחשבון גם אבטחת מידע בענן ואת היישום הנרחב של שירותי מחשוב לעסקים בסביבות כאלה, ולכן תיבדק גם העבודה עם שירותי ענן ואתרים (למשל בהקשר של מתקפות למניעת שירות).
לרשות הבודקים עומדות רשימות מעודכנות של פרצות (או חולשות – vulnerabilities) בולטות ומעודכנות. באופן דומה יש גם מידע על דרכי ניצול (exploits) שהאקרים הספיקו לפתח עבור הפרצות, אבל מבדקי החדירה מחפשים גם תקלות בנהלי האבטחה של הארגון ובאופן שבו הם מיושמים בפועל. בהיבט זה בודקים את תגובת העובדים להתרחשויות שונות ולניסיונות להכשיל אותם ("הנדסה חברתית").
המטרות, התועלות והחשיבות של הבדיקות
בדיקות החדירה נועדו לזהות פרצות שהארגון לא מודע להן, לבדוק את היכולת לעמוד בהתקפות מסוגים שונים ולזהות כשלים במערכות ההגנה ובאופן שבו הן מופעלות. התועלות מכך כוללות שיפור ההגנות, צמצום הסיכונים מתקיפה וצמצום הנזקים של תקיפות עתידיות. בדיקות חדירה גם מסייעות לעמוד בתקני אבטחה שונים הדורשים ביצוע של בדיקות מסוג זה, למשל תקן PCI DSS בתחום כרטיסי האשראי.
אל מה פורצים ומהיכן?
מערכות המחשוב בארגונים מודרניים מורכבות למדי, והן עשויות להתפרס על פני רשתות פנימיות שונות וגם כמה מבנים פיזיים – מדאטה סנטר מרכזי, דרך מחשבים שולחניים במשרדים שונים ועד לפטופים, טאבלטים, סמארטפונים ועוד מכשירי קצה ניידים שהעובדים לוקחים איתם הביתה – כל אלו יכולים להיות יעדים פוטנציאליים לתקיפה.
אפשר לנסות ולגשת למערכות מחוץ לארגון או לגשת אליהן מבפנים, במטרה לבדוק את ההגנה על מערכות משנה ספציפיות. בכל סיטואציה של בדיקה צריך להביא בחשבון את הסיכונים השונים למערכות המחשוב השונות בארגון: ייתכן למשל מצב שבו מדובר בעסק קטן יחסית, אך בעל סיכון גדול לריגול תעשייתי, ובדיקות החדירה תהיינה בהתאם. במצב אחר זה עשוי להיות ארגון בין לאומי ידוע המזוהה עם מדינת ישראל, ולכן הוא מושך אליו תקיפות גם מצד גורמים אנטי ישראליים. כאן ניסיונות התקיפה יהיו באופי שונה, כיוון שהתוקפים לא בהכרח ישאפו להשיג מידע פנימי ואולי יתמקדו בפעולות כגון השחתת אתרים (Website defacement).
סיווג לפי היבט המידע המקדים
כמו בתקיפה צבאית, גם בהאקינג יש חשיבות לא קטנה למידע מודיעיני. למעשה, התקיפות מתחילות באופן שגרתי ממאמצי גישוש שונים, אשר אוספים מידע טכני חיוני.
אפשר לסווג את הגישות השונות לבדיקות החדירה לפי היקף המידע המקדים הזמין לבודקים ולחלק לשלוש קטגוריות. מומחי אבטחה המוזמנים למטרת בדיקות חדירה עשויים להיות בעלי היכרות קודמת עם העסק ומערכות ההגנה שלו. היכרות כזו טובה בזמן הפעילות השוטפת כי היא מסייעת לשפר את אבטחת העסק ולייעץ לו. אם בודקים אבטחה של תוכנה, הבודקים עשויים גם לבקש לראות את קוד התוכנה. אך כשזה מגיע למבדקי חדירה, הן יהיו אותנטיות יותר אם לא יהיה להם מידע מקדים שכזה. וכאן מגיעות שלוש הקטגוריות:
• קופסה לבנה – מדמה תקיפה מבפנים והיא בדיקה מהירה יחסית. בבדיקה הזו המומחים מחזיקים במידע המלא על המערכות ועל צורת הפעילות שלהן
• קופסה שחורה – מדמה תקיפה חיצונית והיא איטית יותר ויסודית פחות. כאן המערכת היא קופסה שחורה מבחינת הבודקים והם לא אמורים לדעת איך היא עובדת
• קופסה אפורה – מצבי ביניים שונים. בבדיקה כזו מספקים לבודקים מידע סלקטיבי כדי לבדוק נושאים ספציפיים
כמה כדאי להשקיע בבדיקות?
אין תשובה אחת לשאלה כמה כדאי להשקיע בבדיקות חדירות, והתשובה נובעת מהחלטות סובייקטיביות של הארגון עצמו. ההחלטות האלה צריכות להתבסס על ניתוח סיכונים יסודי ועדכני ועל ההשלכות של הסיכונים אם הם יתממשו. לתקיפה פוטנציאלית של מערכות מחשב ספציפיות עשויות להיות השלכות כספיות ואחרות שאפשר לתאר במדויק, או לפחות ברמת הערכה של סדר גודל. נקודת הייחוס הזו שסייעת להחליט כמה משתלם להשקיע בבדיקות ולבצע הערכות לגבי החזר ההשקעה באבטחה (ROSI). הבדיקות עצמן אינן זולות – הן דורשות עבודה של מומחים, בעלי הכשרה מיוחדת וניסיון רב. אך יש דרכים להוזיל אותן, כגון ביצוע בדיקות מדגמיות, והכול תלוי בהיקף ובעומק הבדיקות שצריך לעשות בהתאם לסיכונים העומדים בפני הארגון.
עוד נקודות חשובות
• גישה מסודרת לבדיקות החדירה היא חיונית כדי להבטיח שהן תהיינה יסודיות ככל האפשר. די בפרצה אחת כדי לחדור למערכות מחשוב של ארגון, ובארגונים גדולים יש פוטנציאל רב למציאת נקודות חדירה כאלה. זוהי הסיבה שבדיקות חדירה הן תחום מומחיות ותחום מקצועי שנלמד בפני עצמו, ויש לכך גם מתודולוגיות מסודרות, כגון Special Publication 800-115 של ה-National Institute of Standards and Technology בארצות הברית
• חשוב לבצע מבדקי חדירה באופן יזום ומתמשך, כי נושא האבטחה הוא דינמי מאוד. פרצות חדשות יכולות להתגלות כל הזמן, לצד דרכים למנף אותן לשם תקיפה. כמו כן, הארגון לא תמיד מספיק להתעדכן לגבי הפרצות בשגרה ולא תמיד מותקנים עדכוני אבטחה במהירות מספקת. גם שינויים שמבצעים במערכות המחשוב באופן שוטף משנים את התמונה, והם לפעמים יכולים להיות פתח לסיכונים חדשים
• מבדקי חדירה משלימים את השימוש בפתרונות אבטחה כגון חומת אש איכותית. הם עשויים לחשוף שימוש לא טוב באמצעים הקיימים, ובעקבות הבדיקה אפשר לשפר את ההגדרות של אמצעי האבטחה הקיימים ואולי להוסיף נוספים
לסיכום
בדיקות חדירות הן השקעה משתלמת לכל עסק כמעט. את התדירות ומידת ההשקעה בבדיקות צריך להעריך היטב ובצורה מחושבת. אך בלי בדיקות מסוג זה, לא תדעו אם ההשקעה השוטפת שלכם באבטחה אכן מספקת את התועלת שהיא אמורה לספק. בדיקות חדירות הן השלמה חיונית להשקעה הרגילה באבטחת המחשוב והמערכות בארגון.