לוגו של סייפר
צור קשר
בדיקת חדירה
הדרכה

מה לשאול בקניית בדיקת חדירה פרימיום לעסק שלך?

מה לשאול בקניית בדיקת חדירה פרימיום (PT) לעסק שלך?

מציאת ספק בדיקות חדירה טוב ומהימן היא לא משימה קלה, לא משנה מה הצרכים שלך. במאמר קצר זה, נעבור על ההיבטים העיקריים שעליכם לבדוק בעת קניות עבור ספק בדיקות חדירה.

לפני שנתחיל, חשוב להבין שאין פתרון אחד שמתאים לכולם. עסקים שונים דורשים ספקים שונים. זה תלוי בך כדי למצוא את המשרד המתאים ביותר לצרכים שלך. 

האם אני צריך בדיקת חדירה פרימיום עבור העסק שלי?

זוהי החלטה שאתה צריך לקבל בעצמך, ולא עם הספקים שאתה מדבר איתם. 'בדיקת חדירה' היא מונח רחב מאוד ויכול לשמש לתיאור ביקורות אבטחה אפשריות רבות בשוק.

ההבדל בין בדיקת חדירת אור לבין בדיקת פרימיום הוא בעיקר בכמות הזמן והמומחיות המושקעת בבדיקת האבטחה שלך. בסופו של דבר זה מתורגם לפיצוי שתדרשו לעשות.

ארבעת הגורמים העיקריים שיש לקחת בחשבון בעת ​​ההחלטה אם יש צורך בבדיקת חדירה איכותית עבורך הם:

  • מניעת פרצות אבטחה - אם פרצת אבטחה היא דבר שעלול להרוס את העסק שלך, לפגוע במוניטין שלך או למנוע מלקוחות לעבוד איתך בעתיד, מומלץ מאוד להשקיע בבדיקות חדירה איכותיות יותר על מנת להפחית את הסיכון ל- מִינִימוּם. 
  • לקוחות ארגוניים- בעת סגירת עסקאות חדשות עם לקוחות, במיוחד תאגידים, חלקם עשויים לדרוש ממך להציג דוח בדיקת חדירה כדי לוודא שהשירותים שלך מאובטחים ולא יפגעו בנתונים שלהם. אם בדיקת החדירה אינה עומדת בסטנדרטים שלהם הם עשויים לדחות אותה, או לבקש ממך לבצע בדיקה מקיפה יותר. זה יכול להיות שובר עסקות גדול עבור עסקים רבים.
  • נתונים רגישים - אם העסק שלך מחזיק בנתונים רגישים כמו מידע אישי או רישומי עסקאות פיננסיות, אתה עלול להיות בסיכון גבוה יותר להיות ממוקד על ידי גורמים זדוניים. יתרה מכך, במקרה של הפרה, אתה עלול להיאלץ על פי חוק לשלם פיצויים ללקוחות שפרטיהם נפגעו. לכן, בדיקת חדירה איכותית יותר מוצדקת כדי למנוע הפסדים עתידיים.

האם הספק הזה מנוסה בבדיקת הטכנולוגיה שלי?

מכיוון שיש מספר הולך וגדל של טכנולוגיות בשימוש בשוק, עליך לוודא שלספק שאתה בוחר יש ניסיון עם הטכנולוגיה הספציפית שבה אתה משתמש.

שתי הקטגוריות העיקריות לכך הן בדיקות חדירה של יישומים ותשתיות. 

בדיקת חדירה לאפליקציות ניתן לחלק על סמך הפלטפורמות השונות שהיישומים מכוונים אליהם, כגון אינטרנט, אנדרואיד/IOS, Windows/Linux/Mac. ספק בדיקות חדירה שיש לו ניסיון עם אנדרואיד, למשל, עשוי להיות בקיא ביישומי אינטרנט או לא. לכן עליך לשאול ספקים פוטנציאליים על הניסיון שלהם לפני התחייבות.

בדיקת חדירה לתשתיות ניתן לחלק לקטגוריות שונות. בדיקת תשתית עורפית לחברה רב לאומית עם מאות אלפי לקוחות היא חיה שונה לחלוטין מבדיקות תשתית עבור סטארט-אפ קטן. ספק בדיקת חדירה שאינו מנוסה בפעולות בקנה מידה גדול כנראה אינו מתאים לחברה גדולה יותר. הטכנולוגיה המשמשת בקצה האחורי שלך חשובה גם בעת מציאת ספק. עליך לבדוק את הספקים הפוטנציאליים שלך לאילו טכנולוגיות הם עבדו בעבר.

באופן כללי, בדיקת חדירה יכולה להיות או בוקס או לבן. בדיקת חדירה של Blackbox פירושה שהבודקים אינם חוקרים את פנימיות המערכת (קוד מקור וכו'), המדמים התקפה אמיתית. עם זאת, יש כמה חסרונות לשיטה זו. ראשית, תוקפים אמיתיים אינם מוגבלים בזמן כמו בודקים, ושנית, בודקים עלולים לפספס פגיעויות חשובות. בדיקת Whitebox היא בדיוק ההיפך, הבודקים נחשפים לפנימיות המערכת. זה כרוך לעתים קרובות בסקירת קוד יסודית, הדורשת יותר זמן ומאמץ מהבודקים. כך, בתורו, מייקר את הבדיקה.

ספקים מתמחים בדרך כלל ב-Blackbox או Whitebox PTs, ולכן חשוב לבדוק את הניסיון שלהם. ספק הבקיא בבדיקות Blackbox, למשל, עשוי שלא להיות מנוסה בשיטות סקירת קוד מתודיות.

במקרים רבים, שילוב של שתי הגישות ישיג את התוצאות הטובות ביותר. השם של מבחן משולב זה הוא בדיקת גרייבוקס. מכיוון שאין הגדרה מדויקת לבדיקה, היא תשתנה בין בדיקות וחברות שונות. העברת המועדים, הדרישות הטכניות והיעדים שלך עם הספק שלך יעזור להגדיר את בדיקת ה-graybox (מתן גישה ל-VPN, חשבונות מנהלים, רשימת נקודות קצה וכו'). בנוסף, תקשורת יעילה תהפוך את תהליך הבדיקה לאפקטיבי מבחינת זמן ומחיר.

מי יבצע את הבדיקה? 

הגורם החשוב ביותר, אך כמעט תמיד המוזנח ביותר בקביעת איכות ה-PT הוא הבוחן או הבוחנים שיבצעו את העבודה. 

בעת התחייבות ל-PT, ודא שאתה יודע את השם והכישורים של האנשים שיבצעו את הבדיקה. חשוב על השאלות הבאות כדי לשאול את הספק שלך לגבי הבודקים:

  • האם יש להם ניסיון של יותר משנתיים בתחום? 
  • האם הם עובדים ישירות עבור הספק או שהם קבלני משנה? הנוהג של האצלת עבודה לקבלני משנה נפוץ מאוד עבור ספקי אבטחה גדולים. נוהג זה עלול להשפיע לרעה על איכות השירות. בנוסף, האצלת עבודה לקבלני משנה יכולה גם לפגוע באחריות, שכן קבלני משנה נותרים בדרך כלל אנונימיים.
  • האם הבודקים מסורים לפרויקט שלי או עושים כמה פרויקטים בו זמנית?

בקשו לעיין בעבודה הקודמת שלהם. האם הם קיבלו CVEs (חולשות בפומבי) עבור ממצאים קודמים? האם הם עבדו עם מחסנית טכנולוגית דומה לשלי?

באיזו מתודולוגיה תשמש למבחן שלי?

ספק חדירה מכובד ישתמש במתודולוגיה ובמסגרת מוגדרות היטב כהבטחת איכות. ישנם תקנים מתחרים רבים - הנה סקירה קצרה:

  • מדריך לבדיקת אבטחת אינטרנט של OWASP (WSTG) - נקרא בעבר OTG (מדריך בדיקות OWASP). תקן זה הוא המדריך הטוב ביותר לאפליקציות אינטרנט ולנייד. הסיבה לכך היא שהוא הכי מעודכן, והכי אינפורמטיבי מבחינה טכנית לגבי הבדיקות שיש לבצע בזמן ביצוע בדיקת חדירה. תקן זה הוא כיום תקן דה פקטו בתעשייה עבור PT והוא בדרך כלל דרישה של תאגידים מהספקים שלהם.
  • תקן ביצוע בדיקות חדירה (PTES) - תקן ברמה גבוהה המכסה את המתודולוגיה הכללית שעל בודקי העט לבצע. התקן עצמו לא נכנס לפרטים הטכניים של בדיקת העט (כלומר מה לבדוק בדיוק) אלא יש לו הנחיה משלימה עם מידע נרחב מאוד. תקן זה עדיף לבדיקות חדירה לתשתיות. 
  • NIST Cybersecurity Framework (CST) - תקן זה של המכון הלאומי לתקנים וטכנולוגיה בארה"ב (NIST) המתאים ביותר לביקורת על מצב אבטחת הסייבר הכולל של ארגון. עם זאת, הוא לא נוצר במיוחד עבור בדיקות חדירה. NIST גם הוציאה מדריך (NIST 800-115) המכסה את ההיבטים הטכניים של בדיקות אבטחה.
  • בניית מודל אבטחה בבגרות (BSIMM) - מסגרת זו נוצרה בגישה שונה: במקור, המחברים סקרו את שיטות האבטחה של 9 בתי תוכנה מצליחים והציבו אותם במודל אחד. המהדורה האחרונה, BSIMM12, התבססה על שיטות העבודה של 128 ארגונים שונים. מסגרת זו דומה לזו של NIST מכיוון שהיא מכסה כל מיני פעילויות שארגונים צריכים לנקוט כדי לשפר את האבטחה שלהם, במקום להתמקד רק בבדיקות חדירה.
  • מסגרת אבטחת אבטחת מידע (ISSAF) – הוא תקן מיושן, הגרסה האחרונה שלו (0.2.1B) פורסמה במאי 2006, וככזה, חלק גדול מהמידע הטכני של ISSAF אינו רלוונטי במיוחד.

בעת רכישת בדיקת חדירה פרימיום או כל ביקורת אבטחה, ודא שהשימוש במתודולוגיה הנכונה. אם ספק ה-PT שלך לא משתמש בכל מתודולוגיה או משתמש במתודולוגיה מיושנת, זה יכול להוביל למבחן בסטנדרט נמוך, שלעתים קרובות יידחה על ידי הלקוחות שלך.

האם המבחן ידני או אוטומטי?

בדיקה אוטומטית טובה לבדיקת חדירת אור ותספק כיסוי ראשוני. הם זולים לביצוע ולכן יורידו את העלות הכוללת של הבדיקה. בדיקת חדירה ידנית טובה יותר למציאת "ימים אפס", פגיעויות לא ידועות בהגדרה שלך שעלולות להשפיע באופן דרסטי על העסק שלך.

PT איכותי צריך להיות תערובת של סקריפטים אוטומטיים ומחקר ידני שנעשה על ידי בודק מומחה. 

סקריפטים אוטומטיים נהדרים למצוא נקודות תורפה ידועות של יום אחד, הקיימות לעתים קרובות בשירותים ובספריות של צד שלישי.

בדיקה ידנית עוזרת לך למצוא נקודות תורפה בקוד האישי שלך, כלומר ההיגיון העסקי שלך. סוג זה של בדיקות פגיעות לא יכול להיות אוטומטי בקלות מכיוון שכל מערכת היא שונה וייחודית ויש לה חלק משלה של פגיעויות ייחודיות.

בעת רכישת בדיקה, כדאי לוודא שאתם משלמים על בדיקת חדירה איכותית שתספק גם סריקה אוטומטית וגם מחקר ידני. זכור שרוב הוועדה תלך למחקר ידני מכיוון שהוא עולה הרבה יותר לביצוע ולא ניתן לבצע אוטומטיות.

<br> סיכום

קניית בדיקת חדירה היא משימה מורכבת, במיוחד כאשר משווים בין שני ספקים. אנו ממליצים בחום להבין את מטרת מבחן החדירה לפני שמבקשים הצעות מחיר. האם זה להסמכה בלבד? האם הלקוחות שלך מבקשים זאת? עד כמה חשובה רמת האבטחה עבור החברה שלך? 

לאחר הבנת הצרכים הפנימיים שלך ודא שלספק שאתה עובד איתו יש ניסיון בתחום הטכנולוגי שלך. ולבודק החדירה שיעבוד על הפלטפורמה שלך יש ניסיון עבר בתחום כמו גם בעל CVEs זמינים לציבור. 

ודא עם הספק כמה מהתקציב מיועד לבדיקות אוטומטיות וכמה מיועד לבדיקות ידניות, בדיקות ידניות צריכות לקחת את רוב המחיר.

בקש מהספק דוח בדיקת חדירה לדוגמה וסקור את חומרת ומורכבות הממצאים, בקש גם הפניות מלקוחות עבר.

ולגבי כל ההחלטות המורכבות, סמכו על הבטן שלכם והישארו בטוחים!

הודעות קשורות

הדרכה

גלה את חברת ביקורת חוזים חכמה הטובה ביותר עבורך

מאי 11, 2023
הדרכה

פריצת גשרים

דצמבר 11, 2022
הדרכה

המחקר המשותף שלנו עם עדינות

דצמבר 8, 2022
עבור לתוכן