מבדק חדירות למערכות בענן

עולם הפיתוח עובר שינויים מהפכניים בשנים האחרונות. המעבר מאפליקציה מונוליטית לסביבת Micro services על גבי Containers מחייב התייחסות שונה בנושא אבטחת המידע. 

הגישה הנהוגה כיום היא שפעולות האבטחה שבמקור הוטלו על צוות IT ואבטחת מידע מועברות לסביבת הפיתוח, כלומר האחריות לרמת ההקשחה של הקוד מוטלת גם על המפתחים. בנוסף, הקצב המהיר של הפיתוח מחייב בדיקת חולשות עוד בשלב הפיתוח ולא להמתין עד סוף הפיתוח. 

החברות המובילות ב Cloud הן 

  • Amazon (AWS) – שירותי הענן נקראים Amazon Web Services והם מספקים פתרון מקיף ללקוח. היתרון העיקרי של AWS נעוץ בקהילת המשתמשים הגדולה ובגרות הפלטפורמה, אשר מסייעים לארגונים גדולים בגלל עושר השירותים והשותפים העיסקיים.
  • Google (GCP) – שירותי הענן נקראים Google Cloud Platform. מרבית הבוחרים בפלטפורמה הזו עושים זאת בגלל השילוב והתמיכה במערכות קוד פתוח. בנוסף לכך, למערכת יש חוזקותבתחום Machine learning וכן ביישומים שנכתבו במקור לענן.
  • Microsoft (Azure) – שירותי הענן של מיקרוסופט, נפוצים בגלל האינטגרציה שלהם עם שאר שירותי הפיתוח של החברה. בנוסף, הם מאפשרים סביבת עבודה היברידית בזכות היכולת להקים Domain Controller ב Azure. זהו יתרון שמאפשר יצירת סינרגיה קלה בארגונים שבהם משתמשים גם בשרתים On premise.
  • לכל אילו יש להוסיף את פרויקט נימבוס לאספקת שירותי ענן למשרדי הממשלה, אשר יהיה כפוף לחוקי מדינת ישראל וגורם להגירה של מערכות רבות אל ה Cloud שימוקם בשטח ישראל.

למי מיועד Penetration tests ב Cloud?

  • ארגונים שמבינים את הצורך בבדיקות אבטחה בכל שכבות הקוד. 
  • DevOps שמעוניין בהליך בדיקות אינטגרטיבי עם המפתחים וצוותי האבטחה השונים.

מהם היתרונות בביצוע Penetration tests ב Cloud?

  • בחינה מקצועית ואובייקטיבית של הקוד המפותח והממשקים
  • מתן מענה מלא ללקוח, תוך ראיה כוללת של המערכת שמכילה בדיקה סטטית ובדיקה דינמית.
  • בחינה של המערכת על ידי Penetration tester מקצועי, וקבלת רשימה מסודרת של ממצאים והנחיות לטיפול בחולשות שיתגלו.

מה יהיו הדגשים?

הבדיקות מתבצעות בהתאם למתודולגית NIST שמהווה את הסטנדרט הבינלאומי בתחום וכן Best Practice של ספקי הענן, והן כוללות בחינה של הנושאים הבאים: 

  • Accountability & Data Risk.
  • User Identity Federation.
  • Legal & Regulatory Compliance.
  • Business Continuity & Resiliency.
  • User Privacy & Secondary Usage of Data.
  • Service & Data Integration.
  • Multi-tenancy & Physical Security.
  • Incidence Analysis & Forensics.
  • Infrastructure Security.
  • Non-production Environment Exposure.

מדוע לעבוד איתנו?

  • מומחיות טכנולוגית – חברה טכנולוגית שעוסקת אך ורק ב Penetration tests ו – GRC (סקרי סיכונים ורגולציה). זו המומחיות שלנו והיא נמצאת ב DNA של החברה.
  • ניסיון – החברה הגדולה בארץ בתחום Penetration tests. פועלת עם כל הבנקים בישראל, וכן: הייטק, פיננסי, טלקום, אקדמיה, ביטוח והשקעות, תעשיה חכמה. 
  • שקט נפשי – כל העובדים הם בהיקף 100% משרה (אין אצלנו עובדי קבלן). לחברה סיווג בטחוני 3 ותקן ISO 27001.
  • מקצועיות – ניהול הפרויקטים מבוצע על ידי מנהל פרויקטים מקצועי, והחברה עומדת בתקינת ניהול ובקרת איכות ISO 9001. לעובדים יש הסמכות בינלאומיות ושנות ניסיון רבות.
  • אובייקטיביות – מדסק אינה עוסקת במכירה ושיווק של מערכות אבטחת מידע, ואין לנו אינטרס לקדם מוצר זה או אחר. במובן הזה, אנו שותפים שלך הלקוח ברמה הטכנולוגית.
  • נוכחות בשוק הסייבר – הכרות עם כל הגופים שעוסקים באבטחת מידע, דוגמת: מערך הסייבר והרשות להגנת הפרטיות. מרצים ומנחים כנסי אבטחת מידע טכנולוגיים.

Cloud Penetration Test מחייב בודק עם ניסיון בעולם ה Cloud. לניסיון יש השפעה מכרעת על כמות הממצאים ועל היכולת להעריך את חומרתם. אל תתפשרו בנושא, וודאו שמדובר ב Pen tester שהוא עובד החברה, בעל הסמכות מוכרות ושיש מאחוריו ביטוח אחריות מקצועית.

/ 5.

רוצים לשמוע עוד?
השאירו פרטים ונחזור אליכם.
דילוג לתוכן