כמה עולה בדיקת חדירות היא שאלה שאין לה מחיר אחיד, מפני שהעלות נקבעת בעיקר לפי היקף הבדיקה, סוג המערכת, מספר הנכסים, מורכבות התהליכים ורמת העומק הנדרשת.
בדיקה של יישום קטן עם מספר מצומצם של מסכים והרשאות אינה דומה לבדיקת סביבת ענן, רשת ארגונית, כמה ממשקי API ואפליקציה סלולרית. לכן הצעת מחיר מקצועית מתחילה באפיון מסודר, ולא במספר שנשלף מטבלת מחירים כללית.
המטרה אינה לקנות סריקה טכנית, אלא לקבל תמונה אמינה של הדרכים שבהן גורם עוין עלול לנצל חולשות ולהשפיע על מידע, שירותים ותהליכים עסקיים. בעמוד בדיקות החדירות של MADSEC ניתן לראות שהתחום כולל בדיקות אפליקטיביות, תשתיתיות, ענן, סלולר ו-IoT. לכל אחד מהעולמות האלה היקף עבודה שונה.
תוכן עניינים
Toggleלמה אי אפשר לתת מחיר קבוע לבדיקת חדירות?
בדיקת חדירות איכותית מותאמת למערכת ולסיכונים שלה. גם כאשר שני ארגונים מבקשים לכאורה את אותו השירות, בפועל עשויים להיות הבדלים גדולים במספר המשתמשים, סוגי ההרשאות, הטכנולוגיות, חיבורי צד שלישי, ממשקי API, סביבת הענן והמידע הרגיש.
הצעת המחיר משקפת את הזמן הדרוש לבניית תרחישי בדיקה, לביצוע בדיקות ידניות וכלים אוטומטיים, לאימות הממצאים ולכתיבת דוח שאפשר לעבוד איתו. אם קיימים אילוצי ייצור, חלונות בדיקה קצרים או צורך בתיאום עם כמה צוותים, גם הם מוסיפים מאמץ תפעולי.
הגורמים המרכזיים שמשפיעים על מחיר בדיקת חדירות
| גורם | מה בודקים באפיון | איך הוא משפיע על העלות |
|---|---|---|
| סוג הבדיקה | אפליקציה, API, תשתית, ענן, סלולר או IoT | כל תחום דורש מתודולוגיה, כלים ומומחיות שונים |
| מספר הנכסים | דומיינים, כתובות IP, שרתים, אפליקציות וממשקים | יותר נכסים יוצרים יותר נקודות כניסה ותרחישי בדיקה |
| מורכבות עסקית | תהליכים, סוגי משתמשים, הרשאות ותלויות בין מערכות | לוגיקה מורכבת מחייבת בדיקות ידניות מעמיקות יותר |
| רמת הגישה | Black Box, Gray Box או White Box | כמות המידע והגישה משפיעה על אופן הבדיקה ועל חלוקת הזמן |
| סביבת הבדיקה | ייצור, בדיקות, מגבלות עומס וחלונות פעילות | מגבלות מחמירות דורשות תכנון, ניטור ותיאום נוספים |
| תוצרי הדוח | דוח טכני, תקציר הנהלה, מיפוי לתקן ושפת המסמך | תיעוד מפורט והתאמה לקהלים שונים מוסיפים זמן עבודה |
| בדיקה חוזרת | אימות תיקונים לאחר מסירת הדוח | יש להגדיר מראש אם Retest כלול ומהו היקפו |
סוג המערכת הוא נקודת המוצא לתמחור
בבדיקה אפליקטיבית בוחנים בין היתר הזדהות, הרשאות, ניהול Session, קלטים, לוגיקה עסקית, ממשקים והגנה על מידע. כאשר היישום כולל כמה תפקידי משתמש, פורטל ניהול וממשקים רבים, מספר תרחישי הבדיקה גדל. מידע נוסף על היקף כזה נמצא בעמוד מבדק חדירות אפליקטיבי.
לעומת זאת, בבדיקה תשתיתית מסתכלים על רשתות, שרתים, תחנות, שירותים חשופים, ציוד תקשורת ולעיתים גם על יכולת תנועה בין סביבות. מספר טווחי הכתובות, הפרדת הרשתות והצורך בבדיקה פנימית וחיצונית משפיעים ישירות על המאמץ. אפשר להעמיק בכך בעמוד מבדק חדירות תשתיתי.
בסביבת ענן יש לבחון גם הגדרות, זהויות והרשאות, משאבים, ממשקים וחיבורים בין שירותים. סביבה הכוללת כמה חשבונות או כמה ספקי ענן תהיה לרוב מורכבת יותר מסביבה מצומצמת. עמוד מבדק חדירות למערכות בענן מסביר את מאפייני הבדיקה בתחום זה.
Black Box, Gray Box או White Box: מה הקשר למחיר?
בבדיקת Black Box הבודק מקבל מעט מידע ומדמה גורם חיצוני. ב-Gray Box נמסרים פרטי גישה או מידע חלקי, וב-White Box מתקבלת חשיפה רחבה יותר לארכיטקטורה, לתיעוד ולעיתים לקוד. אין שיטה אחת שתמיד יקרה או זולה יותר. הבחירה צריכה לשרת את מטרת הבדיקה.
לדוגמה, מידע מקדים יכול לקצר את שלב המיפוי ולאפשר להקדיש יותר זמן לבדיקות עומק. מנגד, סקירה רחבה של ארכיטקטורה או קוד עשויה להוסיף משימות. לכן כדאי לתמחר לפי התוצרים והכיסוי המבוקש, ולא רק לפי התווית של שיטת הבדיקה.
איך חברת סייבר מחשבת את הצעת המחיר?
ברוב המקרים, לאחר שיחת אפיון מחלקים את העבודה לשלבים: תכנון והכנה, ביצוע הבדיקה, ניתוח ואימות, כתיבת דוח, הצגת ממצאים ובדיקה חוזרת אם נכללה. כל שלב דורש שעות עבודה של בודק בעל התמחות מתאימה ולעיתים גם בקרת איכות של מומחה נוסף.
היקף מצומצם
מערכת אחת, מעט תפקידים, מספר מוגדר של מסכים או ממשקים, תיעוד מסודר וסביבת בדיקות מוכנה. האפיון ברור ולכן ניתן להעריך את המאמץ בצורה מדויקת יחסית.
היקף מורכב
כמה מערכות מקושרות, תפקידים רבים, API, ענן ותשתית, ספקים חיצוניים ומגבלות ייצור. כאן נדרש תכנון רחב יותר, יותר תרחישים ולעיתים כמה מומחים.
המספר שמופיע בהצעה צריך לשקף את היקף הכיסוי בפועל. לכן חשוב לקרוא לצד המחיר גם את רשימת הנכסים, ההחרגות, מספר סבבי הבדיקה ותכולת הדוח.
מה חייב להופיע בהצעת מחיר לבדיקת חדירות?
הצעה ברורה מאפשרת להשוות ספקים על בסיס דומה ומצמצמת הפתעות במהלך הפרויקט. מומלץ לוודא שהיא כוללת:
- רשימה מדויקת של המערכות, הכתובות, הממשקים והתפקידים שנכללים בהיקף.
- סוג הבדיקה, רמת הגישה והמתודולוגיה המקצועית.
- מה מוחרג, אילו פעולות אסורות ומהם חלונות הזמן המותרים.
- מבנה הדוח, דירוג הממצאים והאם כלולות המלצות תיקון ישימות.
- לוח זמנים לביצוע ולמסירת התוצרים.
- האם מתקיימת פגישת הצגת ממצאים לצוות הטכני ולהנהלה.
- האם בדיקה חוזרת כלולה, מתי ניתן לבצע אותה וכמה ממצאים היא מכסה.
למה ההצעה הזולה ביותר לא תמיד באמת זולה?
פער מחיר יכול לנבוע מיעילות וניסיון, אבל לעיתים הוא נוצר מפער בתכולה. הצעה זולה במיוחד עלולה להתבסס בעיקר על סריקה אוטומטית, לכלול מעט בדיקות ידניות, להחריג ממשקים חשובים או להסתיים בדוח קצר ללא הכוונה מעשית.
כלי סריקה הם חלק חשוב מהעבודה, אך הם אינם מחליפים בודק שמבין לוגיקה עסקית, שרשרת הרשאות והקשר ארגוני. ממצא שלא אומת עלול לבזבז זמן, וממצא משמעותי שלא התגלה עלול להשאיר סיכון אמיתי. ההשוואה הנכונה היא בין רמת הכיסוי, איכות הבודקים, שימושיות הדוח והליווי לאחר המסירה.
איך לקבל הצעת מחיר מדויקת יותר?
ככל שהמידע הראשוני מסודר יותר, כך הספק יכול להעריך את היקף העבודה בצורה טובה יותר. לפני הפנייה כדאי להכין:
- רשימת נכסים עדכנית: דומיינים, כתובות IP, יישומים, API, חשבונות ענן ורכיבים חיצוניים.
- תיאור קצר של הארכיטקטורה, טכנולוגיות מרכזיות וחיבורים בין מערכות.
- מספר תפקידי המשתמש וההרשאות שצריך לבדוק.
- הגדרה אם הבדיקה מתבצעת בסביבת ייצור או בסביבה ייעודית.
- מגבלות עומס, שעות מותרות, אנשי קשר ותהליך דיווח על ממצא קריטי.
- דרישות דוח, תקן, לקוח, מכרז או ביטוח סייבר שהבדיקה צריכה לתמוך בהן.
איך לשלוט בעלות בלי לפגוע באיכות?
אפשר לצמצם בזבוז זמן מבלי לצמצם בדיקות חשובות. התחילו בתעדוף הנכסים הקריטיים, הגדירו גבולות ברורים, הכינו משתמשים לכל תפקיד וודאו שסביבת הבדיקה זמינה. תיעוד ארכיטקטורה, איש קשר טכני וזמינות לטיפול בתקלות מונעים עיכובים.
במערכות גדולות אפשר לתכנן את הבדיקה בשלבים: להתחיל בנכסים בעלי הסיכון העסקי הגבוה ביותר, ולאחר מכן להרחיב את הכיסוי. חשוב גם להגדיר מראש בדיקה חוזרת, כדי שאימות התיקונים לא יהפוך לפרויקט חדש ולא מתוכנן.
רוצים הצעת מחיר שמתאימה להיקף האמיתי?
אפיון קצר וממוקד יכול להבהיר אילו נכסים צריך לבדוק, איזו מומחיות נדרשת ומה יהיו התוצרים. כך מקבלים הצעה שקופה ואפשר להשוות אותה בצורה עניינית.
פנו ל-MADSEC לקבלת אפיון והצעת מחירשאלות נפוצות על מחיר בדיקת חדירות
האם מתמחרים בדיקת חדירות לפי יום או לפי פרויקט?
שתי השיטות קיימות, אך ללקוח מוצגת בדרך כלל הצעת מחיר לפרויקט מוגדר. מאחורי המחיר עומדת הערכה של ימי העבודה הנדרשים לכל שלבי הבדיקה והתוצרים.
האם סריקת חולשות אוטומטית יכולה להוזיל את הבדיקה?
סריקה מסייעת לאתר חלק מהחולשות, אך אינה מחליפה בדיקות ידניות, אימות ממצאים ובחינת לוגיקה עסקית. חשוב להבין אם ההצעה כוללת מבדק חדירות מלא או סריקה בלבד.
האם בדיקה חוזרת כלולה במחיר?
לא תמיד. כדאי לוודא מראש אם כלול Retest, כמה ממצאים אפשר לבדוק מחדש, מהו חלון הזמן לביצועו ואיזה מסמך מתקבל לאחר האימות.
האם עדיף לבדוק בסביבת ייצור או בסביבת בדיקות?
הבחירה תלויה במטרות ובסיכונים. סביבת בדיקות עשויה לאפשר חופש פעולה רחב יותר, אך עליה לייצג היטב את הייצור. בסביבת ייצור נדרשים גבולות ותיאום קפדניים.
כמה זמן נמשכת בדיקת חדירות?
משך הבדיקה נקבע לפי היקף הנכסים, המורכבות, סוג הבדיקה וזמינות הסביבה. לאחר אפיון ניתן לבנות לוח זמנים שכולל ביצוע, דוח, הצגת ממצאים ובדיקה חוזרת.
איזה מידע צריך למסור כדי לקבל הצעת מחיר?
רשימת נכסים, סוגי משתמשים, ארכיטקטורה בסיסית, סביבת הבדיקה, מגבלות ביצוע ותוצרי הדוח הרצויים. מידע מדויק מונע הערכת יתר או הצעה שחסרים בה רכיבים חשובים.





