מבדק חדירות תשתיתי

תשתיות רשת מהוות נקודת חדירה מהותית לתוקפים,
תן למומחים לבדוק האם השרתים, ציוד התקשורת והגיבויים שלך אכן מוגנים.

רוצים לשמוע עוד? השאירו פרטים ונחזור אליכם.

מבין לקוחותינו

הסמכות

מכונה גם ‘PT תשתיתי’, בדיקת חוסן לתשתית, ו- Infrastructure Penetration Test והוא מחולק לשתי קטיגוריות:

מבדק פנימי

תרחיש של תוקף שהשיג גישה לרשת הפנימית ומעוניין לתקוף את תשתיות הרשת, דוגמת: שרתים ועמדות, ציוד תקשורת וסביבות ענן. הבדיקה מתבצעת בתצורת Grey-Box והיא כוללת ניסיונות חדירה למערכות, דילוג בין רשתות, השגת שליטה ובדיקת היתכנות דלף מידע.

מבדק חיצוני

תרחיש של תוקף המנסה לפרוץ דרך האינטרנט אל הרשת הפנימית. במסגרת זו ימופו תחילה נכסי ושירותי הארגון הזמינים מהאינטרנט, ובהמשך יתבצעו ניסיונות במגוון טכניקות, במטרה לפרוץ לרשת הפנימית ולהגיע לנכסים הללו. הבדיקות מתבצעות בתצורת Black-Box.

Infrastructure Penetration מבוצע בהתאם למתודולוגית NIST 800-115 ו-MITRE Enterprise Tactics אשר מהווים יחדיו את הסטנדרט הבינלאומי בתחום מזה, בשילוב טכניקות ייעודיות שפותחו ע”י Madsec

למי מיועד Infrastructure Penetration Test ?

  • חברות שמעוניינות לבדוק באופן מקצועי האם האקר יכול לחדור לרשת הפנימית דרך התשתיות החיצוניות? 
  • חברות שבנו סביבת ענן מלאה ומעוניינים לבדוק אפשרויות חדירה ותקיפה. 
  • ארגונים שרוצים לוודא שתקיפה פנימית לא תוביל לפגיעה משמעותית.
  • מנהלי אבטחת מידע שמעוניינים למפות את כלל הסיכונים והחולשות ברשת הפנימית.

מהם היתרונות בביצוע Infrastructure Penetration?

  • בחינה של המערכת על ידי Penetration tester מקצועי, וקבלת רשימה מסודרת של ממצאים והנחיות לטיפול בחולשות שהתגלו.
  • עמידה ברגולציה דוגמת: הגנת הפרטיות, GDPR, HIPPA ודרישות ביטוח סייבר.
  • סביבת המחשוב כיום היא מאד מורכבת. בנוסף למערכות שנמצאות בסביבת On Premise, קיימים גם VPC (Virtual Private Cloud) שמשמשים את החברה. מכאן עולה שהתווספו משטחי תקיפה לארגון, וזה מעלה את הצורך לבצע בדיקת PT לכלל התשתיות.
  • קבלת המלצות להקשחת הרשתות מנקודת מבט של האקר מקצועי.

מה יהיו הדגשים?

  • חשיפת פגיעויות תוך שימוש במגוון טכניקות. 
  • ניצול Exploits קיימים למערכות פגיעות.
  • בחינת היתכנות של פגיעה בסודיות, אמינות או זמינות המידע בארגון.
  • גישה למערכות בעזרת Brute-Force. 
  • ניצול פגיעויות ידועות בשירותים פנימיים שונים עד לקבלת שליטה, כגון: SMB, RDP, SSH. 
  • דילוג בין רשתות שונות.
  • השתלטות על ציוד תקשורת, דוגמת: Firewall ו – Switches.
  • חדירה למסדי נתונים.
  • בחינת החוזק של פרוטוקולי ההצפנה. 
  • העלאת הרשאות (Privilege Escalation).

מבדק חדירות תשתיתי מחייב בודק בעל למעלה מחמש שנות ניסיון. לניסיון יש השפעה מכרעת על איכות הממצאים ועל היכולת להעריך את חומרתם. אל תתפשרו בנושא, וודאו שמדובר בבודק מנוסה, שהוא עובד החברה, בעל הסמכות מוכרות ושיש מאחוריו ביטוח אחריות מקצועית.

מאמרים נוספים

בדיקות חדירות לאתר אינטרנט – ככה תגנו על עצמכם ועל הלקוחות

בעולם של היום, מידע הוא מילת המפתח. מידע נגיש, אך גם חשוף, יותר מאי פעם. כיצד תוכלו להבטיח ללקוחותיכם שהמידע שהפקידו בידיכם יישאר בטוח?

DRP – תוכנית התאוששות מאסון ע”י חברת אבטחת מידע מקצועית

בעולם הדיגיטאלי של היום, רוב הארגונים והעסקים תלויים במערכות המחשב שלהם. למרות ההשקעה העצומה בהגנות, אף ארגון אינו חסין ב-100% מפני אירועים משבשים. לכן,

ביצוע בדיקות חדירות למערכות (IoT/IIoT/IoMT)

אבטחת מערכות Internet of things (IoT) מהווה אתגר מרכזי בארגונים רבים. זה נובע מהעובדה כי השימוש בו נמצא בעליה אקספוננציאלית והוא טומן בחובו מורכבויות

ממליצים

הצוות שלכם פשוט מדהים, פשוט תענוג לעבוד מולם, נרתמים ועוזרים בכל מצב, סבלניים מבינים ומקצועיים ביותר. מאוד מאוד מקווה שנמשיך לעבוד מולכם, כי שירות כזה קשה מאוד לקבל היום.תודה ענקית ממני ומכולם פה.
המלצות
שי
עיריית ירושלים
אנו עובדים עם חברת מדסק מזה מספר שנים. הצוות מיומן, סבלני, מקצועי מאוד ובנוסף ממליץ על דרכי פעולה.
המלצות
אורי איילון
מנמ"ר האקדמית גורדון
ברצוני להביא את תודתי על השירות הכולל שקיבלתי בחברתכם בנושא אבטחת מידע ברשתות SCADA, החל משלב ה Presale ואפיון הצרכים ועד העבודה בפועל. איש המכירות נתן לנו שירות אדיב ויוצא מן הכלל , כמו כן היה זמין ודאג כי מעגל השירות ייסגר עד לפרט האחרון.מומחה הסייבר התמודד מצוין עם האתגרים המורכבים והייחודיים לרשתות תפעוליות, היה זמין וידע לתת מענה לכל נושא טכני גם ברמות המורכבות ביותר .אשמח להפנות אליכם עוד לקוחות רבים שאני בטוחה שיהיו מרוצים .
המלצות
נירה דקל
מנמ"רית מתקן התפלה שורק
דילוג לתוכן