Penetration test – לבדוק את הארגון מבחוץ



כבני אדם, אנחנו יודעים שהדרך הטובה ביותר לבדוק את עצמנו היא להעמיד את עצמנו במבחן; בפני הפחדים שלנו, החששות שלנו, והרשימה עוד ארוכה. איך ארגון בודק את עצמו? בעזרת Penetration test לאבטחת המידע שלו; בדיקה זו תוכל להתבצע בתוך תשתית המחשוב הארגונית, ובמערכת הקשורה ללקוח או אפילו למוצר. מטרתה של הבדיקה היא למצוא סיכונים פנימיים וחיצוניים, ולפתור את אותם באגים ותקלות כך שסיטואציה שכזו לא תוכל להתרחש בפועל

3 גישות של Penetration test

  • גישת ה- WhiteBox – גישה זו של Penetration test מתייחסת לבדיקה פנימית. איש המקצוע המומחה לבדיקות מסוג זה מסתמך על מידע מלא ושקוף שהוא מקבל, אודות הארגון כולו ומערכות המידע וההגנה שברשותו. ככל שיכיר יותר את הארגון כך יוכל לחשוב בצורה יצירתית על שיטות התקפה שאחרים כמוהו גם כן יוכלו לחשוב עליהן, רק שכאן יבצע אותן בכדי ליצור הגנה כנגדן. הייחודיות של גישה זו היא שכאן, התוקף מגיע מתוך הארגון עצמו ומכיר מקרוב את המערכות.
  • גישת ה- BlackBox – כאן מדובר על בדיקה חיצונית, כש"התוקף" (או האקר במידה ומדובר בסיטואציה אמיתית), לא מכיר את המערכת והתשתיות שבארגון כלל. במידה והגורם המבצע את הבדיקה הצליח לחדור לתוך המערכת, ימשיך לבחון אותה גם בשאר מערכות הארגון, במטרה להבין עד לאן יוכל להגיע ומהם הצעדים שיש לנקוט בכדי למנוע מתוקפים עתידיים להגיע כל כך עמוק לתוך המערכת. עם זאת, נראה שהבדיקה עצמה לא מכסה את כל שטחי המערכת שבארגון.
  • גישת ה- GrayBox – אצל רוב הלקוחות תתבצע Penetration test מסוג זה, מכיוון שרובם אינם עוסקים במידע רגיש במיוחד או שייכים לתעשייה הבטחונית ותעשיות רגישות אחרות. כאן, יקבל ה"תוקף" מידע מצומצם ומוגבל אודות החברה והמערכות שבה, והוא ינסה בעצמו להשתמש במידע שקיבל על מנת לחדור פנימה ולמצוא באגים ובעיות. הבדיקה תוכל להתבצע מחוץ לארגון או מתוכו, תלוי בארגון עצמו.

חשיבות הבדיקה במאה ה-21

ככל שהטכנולוגיה הולכת ומתקדמת, הצורך ב- Penetration test רק הולך וגובר, זאת משום שנראים כיום יותר האקרים המעוניינים לפרוץ לחברות ולעשות שימוש במידע שלהן לצרכים שונים, כמו גם יותר אירועי אבטחת וגניבת מידע. לצד אלו, גם הלקוחות הופכים מודעים יותר למצב ובודקים היטב את החברה לפני שהם צורכים את השירותים שלה; לקוח לא ישאיר את פרטיו אצל כל חברה, לא לפני שיבדוק האם פרטיו מוכנים היטב. בנוסף לכך, נוצרו רגולציות ותקנות שונות שמטרתן ליצור קו אחיד בין כל החברות בכל העולם, כנגד אותם האקרים ותוקפים ושמירה טובה יותר על פרטי הלקוחות.

רוצים לבדוק עד כמה אתם מוגנים מפני התקפות אפשרויות במרחב הוירטואלי? זה הזמן ליצור קשר בהקדם ולקבוע כבר עכשיו את הצעד הראשון שלכם לקראת אבטחת מידע ארגונית איכותית באמת.

רוצים לדעת גם על מערכות לניהול מידע רפואי דיגיטלי, היכנסו ל- hipaa

 
 
x
pikud horef
פיקוד העורף התרעה במרחב אשדוד 271, אשדוד 271, אשדוד 271
פיקוד העורף מזכיר: יש לחכות 10 דקות במרחב המוגן לפני שיוצאים החוצה