7 טעויות נפוצות במבדקי חדירה

7 טעויות נפוצות במבדקי חדירה

בועז שונמי

בשנים האחרונות, ובמיוחד על רקע הגידול המהיר בהיקף וברמת התחכום של מתקפות הסייבר, ארגונים רבים כבר הפסיקו לשאול 'האם תהיה מתקפת סייבר על הארגון' אלא 'מה התרחיש הקשה ביותר שעלול להתקיים במקרה של התקפת סייבר שכזו'. חשש מוצדק זה הביא לכך שארגונים החלו לשכור את שירותי חברות אבטחת מידע אשר מבצעות בדיקות חדירות (Penetration Test) ולמעשה "מתחפשים" להאקרים התוקפים את הארגון וכך מסייעים להעריך את רמת החשיפה של הארגון או של המערכות בו וולקבל תמונת מצב מהימנה החושפת נקודות תורפה פוטנציאליות.

עם זאת, בדיקה הנעשית על ידי גורמים לא מקצועיים עלולה לגרום לתוצאה ההפוכה - כלומר לחשוף אף יותר את הארגון לאיומי סייבר. מאמר זה ישרטט את הטעויות הנפוצות ביותר בביצוע מבדקי חדירה וכיצד אנחנו ממליצים להימנע מהם.  

1.      חריגה מתחום הבדיקה

מבדקי חדירות, מטבע הדברים, מכוונים  כלפי משאבי המחשוב של הארגון והאפליקציות הארגוניות אך לעתים במהלך הבדיקה, הצוות המבצע את הפעילות, חורג ממה שהוגדר מראש או מהמערכות אליהן ניתנה הרשאה מוקדמת. המשמעות היא שהארגון עלול לספוג מתקפות על מערכות שאינן ערוכות לכך ובכך להיחשף לאיומי סייבר מבלי לדעת על כך כלל. לכן כדי למנוע זאת יש להגדיר מראש יחד עם אנשי המקצוע את תהליך הבדיקה ובעיקר את טווחיה והיקפה ואיזה מערכות ואפליקציות היא כוללת.

2. שימוש בכלים לא-מאושרים

במסגרת הפעילויות של מבדקי החדירה נעשה שימוש בטכניקות וכלים רבים המאפשרים לצוות מרחב פעולות רב. חלק מהכלים הינם כלי OPENSOURCE ואחרים הינם כלים אשר ניתן להוריד מפורומים שונים באינטרנט. ייתכן וכלים אלו מכילים ב"דלת אחורית" (backdoor) והשימוש בהם ייצור מצב שבו המערכת הנבדקת תהפוך לפגיעה ובכך לסכן את הארגון ולחשוף אותו לזליגת מידע.

מבצעי הבדיקות אמורים להיות אנשי מקצוע מורשים ומנוסים החודרים לארגון כ – white hat אך לעיתים אותם גורמים רוכשים אמצעי סייבר ממקורות מפוקפקים ב - Darknet או במקומות אחרים וכלים אלו עלולים  לסכן את הארגון.

חשוב לבדוק כי הכלים ברשות הגורם המבצע הינם כלים מבוססים בעלי מוניטין ונתמכים על ידי קהילות מפתחים.

3. חוסר היכרות עם מאפייני השוק הספציפי של הארגון

בכל בדיקת חדירות ישנם מבדקי חדירה "סטנדרטים" וקבועים הכוללים סט בדיקות שגרתי של נקודות תורפה אפשריות. לא פחות חשוב מסט הבדיקות הבסיסי הוא להרחיב את היקף הבדיקה תוך התייחסות לאותם גורמי סיכון ספציפיים שמאפיינים את הסביבה העסקית בה פועל הארגון.

כל ארגון פועל בסביבה עסקית בעלת מאפיינים וסיכונים שונים ויש הבדל בין ארגון בתחום הביטוח לבין ארגון תשתיות קריטיות או חברת הייטק. מומלץ איפוא לבחון מהי מידת ההיכרות והניסיון של מבצעי הבדיקה עם המגזר בו אתם פועלים ולוודא כי כבר ביצעו בו מבדקים דומים.

4. פגיעה במערכות ייצור

ארסנל כלי ההתקפה בידי הבודקים הוא גדול מאי פעם ובידיהם כלים שונים לביצוע מתקפות על הארגון. באוסף כלי התקיפה של בודק או צוות מיומן יימצאו כלים מצויינים אך השאלה היא עד המשתמש בהם יודע לתפעלם כראוי. כפי שלא היינו נותנים כלי נשק כמו אקדח למשל, למישהו שאין לו את הידע, המיומנות וההכשרה המתאימים, כך גם חוסר הבנה ומיומנות בכלי תקיפה של סייבר עלול לגרום לפגיעה או להשבתה של מערכות ייצור ואף לפגוע בפעילות העסקית.

לכן חשוב לוודא את הגבולות וההיקף של הבדיקה ולוודא שהגוף המבצע אכן פועל בכפוף לתנאים כדי למנוע פגיעה בפעילות העסקית ויצירת downtime שתוצאותיו עלולות להיות הרסניות.

5. סיום הבדיקה לאחר חשיפת נקודת התורפה הראשונה

לא יהיה זה מוגזם לומר כי בארגונים או מערכות יתגלו נקודות תורפה כבר במהלך השלבים המוקדמים של הבדיקה. יחד עם זאת, אסור לעצור את תהליך הבדיקה לאחר שנחשפת נקודת התורפה הראשונה שיוצרת מצב של Game-ending אלא חשוב להמשיך ולבדוק חוליות חלשות נוספות רבות ככל האפשר.

חשוב לוודא כי הבודק אינו מפסיק את הבדיקה באמצע התהליך אלא משלים אותה ומנסה לאתר פרצות נוספות במערכת. לאחר השלמת התיקונים יש לבצע בדיקות חוזרות כדי לוודא שאכן נקודות התורפה תוקנו ולא נוצרו בעיות חדשות כתוצאה מהתיקון.

6. הערכת חסר או יתר של רמת הסיכון

בתום המבדק, נהוג כמובן להגיש ללקוח דוח המסכם את תוצאות הבדיקה וסוקר את מידת האיומים ורמת חומרתם בדירוג עולה של נמוך, בינוני, גבוה או קריטי. קיימים מקרים בהם הבודקים מגזימים ונוטים להחמיר את מידת האיום וכך להדגיש את איכות הבדיקה או היכולות המקצועיות. לחילופין קיימים מקרים של הערכת חסר של רמת החומרה ודירוג נמוך מדי של רמת הסיכון הנשקפת. 

על מנת לוודא את מידת הדיוק של דירוג החומרה חשוב לבדוק כיצד מוערך האיום ובאילו קריטריונים מקצועיים כגון הסבירות של הצלחת תקיפה, הסיכון שנוצר על ידי נקודת התורפה ומידת ההשפעה של תקיפה כזו על הארגון.

7. פרסום תוצאות הבדיקה

עד כמה שהדבר יישמע מוזר, כבר קרו מקרים שהדוח פורסם בפומבי לאחר הבדיקה כחומר שיווקי מטעם החברה המבצעת. דוחות כאלה מעוררים כמובן עניין רב בקרב אנשי מקצוע ולקוחות אך מצד שני עלולים לפגוע בדימוי החברה שבה בוצעה הבדיקה ולחשוף אותה לסכנות.

לכן, עד כמה שהדבר יישמע מובן מאליו, חשוב לוודא עם החברה המבצעת כי הנתונים לא מתפרסמים אלא באישור של הלקוח.  לסיכום, מבדקי חדירה הינם פרקטיקה נפוצה ואף נדרשת בארגונים רבים, אך יש להבין כי נדרשת מידה של זהירות בביצוע בדיקות אלו ואיך להתמודד איתן.

הכותב משמש כמנכ"ל משותף בחברת Komodo Consulting, המספקת שירותי ייעוץ לארגונים בתחום אבטחת מידע.

אולי יעניין אותך גם