סקר סיכוני סייבר ובדיקת חדירות הם שניים מהכלים החשובים ביותר לשיפור רמת ההגנה של ארגון. למרות זאת, מנהלים רבים משתמשים במונחים כאילו מדובר באותו שירות או מניחים שאחד מהם יכול להחליף את השני.
בפועל, כל אחד מהתהליכים עונה על שאלה אחרת. סקר סיכוני סייבר בוחן את תמונת הסיכון הרחבה של הארגון: אילו נכסים ותהליכים חשובים קיימים, אילו איומים עלולים לפגוע בהם, מהן החולשות ומה תהיה ההשפעה העסקית. בדיקת חדירות, לעומת זאת, היא בדיקה טכנית ממוקדת שמנסה לאמת האם ניתן לנצל חולשות במערכת, באפליקציה, ברשת או בסביבת ענן מוגדרת.
הבחירה הנכונה תלויה במטרה, בהיקף הנכסים, בשלב שבו נמצא הארגון ובשאלה שעליה ההנהלה רוצה לקבל תשובה. במקרים רבים, התשובה הנכונה אינה לבחור בין השניים, אלא לשלב ביניהם בסדר נכון.
תוכן עניינים
Toggleמהו סקר סיכוני סייבר?
סקר סיכוני סייבר הוא תהליך שיטתי שנועד לזהות, לנתח ולהעריך סיכונים העלולים לפגוע בפעילות הארגון. הוא אינו מתמקד רק בפרצה טכנית מסוימת, אלא בוחן את הקשר שבין נכסים, תהליכים עסקיים, איומים, חולשות, בקרות קיימות וההשפעה האפשרית של אירוע.
לפי מתודולוגיות מקובלות, רמת הסיכון נגזרת בדרך כלל משילוב בין הסבירות שאירוע יתרחש לבין חומרת ההשפעה שלו. לכן אותה חולשה טכנית יכולה לקבל עדיפות שונה בשני ארגונים שונים, בהתאם למידע, למערכות ולתהליכים העסקיים שעליהם היא משפיעה.
מה בודקים במסגרת סקר סיכונים?
היקף הסקר משתנה לפי גודל הארגון, תחום הפעילות והמתודולוגיה שנבחרה, אך סקר מקצועי עשוי לכלול:
- מיפוי מערכות, תשתיות, אפליקציות, שירותי ענן ומאגרי מידע.
- זיהוי תהליכים עסקיים קריטיים ותלויות בין מערכות וספקים.
- סקירת ארכיטקטורה, רשתות, הרשאות, גיבויים ומנגנוני התאוששות.
- בדיקת מדיניות, נהלים, חלוקת אחריות וממשל אבטחת מידע.
- בחינת ניהול משתמשים, הרשאות יתר וחשבונות בעלי הרשאות גבוהות.
- בדיקת ניהול חולשות, עדכונים, הקשחות ובקרות ניטור.
- בחינת ספקים, שירותי SaaS והעברת מידע לגורמים חיצוניים.
- זיהוי תרחישי איום רלוונטיים לארגון ולמגזר שבו הוא פועל.
- הערכת הסבירות וההשפעה של כל תרחיש.
- בניית תוכנית עבודה מתועדפת לצמצום הסיכונים.
התוצר המרכזי של סקר סיכונים מקיף אינו רק רשימת ליקויים. הוא אמור לספק להנהלה תמונת מצב, סדר עדיפויות והמלצות שניתן לתרגם לתוכנית עבודה, תקציב ואחריות ארגונית.
איזו שאלה סקר הסיכונים נועד לפתור?
השאלה המרכזית היא: מהם סיכוני הסייבר המשמעותיים לארגון, וכיצד נכון לתעדף את הטיפול בהם?
לכן סקר סיכונים מתאים במיוחד כאשר ההנהלה צריכה לקבל החלטות רחבות, להשוות בין סיכונים מסוגים שונים או להבין היכן להשקיע את התקציב.
מהי בדיקת חדירות?
בדיקת חדירות, המכונה גם Penetration Test או PT, היא בדיקה טכנית מבוקרת שבה בודקי אבטחה מנסים לזהות ולאמת חולשות במערכת מוגדרת. הבדיקה מדמה חלק מדרכי הפעולה של תוקף, בהתאם להיקף ולכללי הבדיקה שסוכמו מראש.
מטרת הבדיקה אינה רק להציג חולשות תיאורטיות או תוצאות של סורק אוטומטי. בודק חדירות מנסה להבין האם ניתן לנצל את החולשה בפועל, לחבר בין מספר חולשות, לעקוף מנגנוני הגנה או להגיע למידע ולפעולות שלא אמורים להיות נגישים.
NIST מתאר בדיקת חדירות כבדיקה שמאמתת עד כמה מערכת, התקן או תהליך עומדים בפני ניסיונות פעילים לפגוע באבטחתם. מדריך הבדיקות של OWASP מספק מסגרת מקובלת לבדיקות אבטחה של אפליקציות ושירותי Web.
מה אפשר לבדוק במסגרת בדיקת חדירות?
- אפליקציות Web וממשקי API.
- רשתות ותשתיות פנימיות או חיצוניות.
- מערכות ענן ותצורות אבטחה בענן.
- אפליקציות מובייל.
- רכיבי IoT ומערכות משובצות.
- מנגנוני זיהוי, אימות והרשאות.
- אפשרויות להסלמת הרשאות או תנועה רוחבית ברשת.
- חשיפה של מידע רגיש או פעולות עסקיות לא מורשות.
ניתן לבצע בדיקות חדירות ברמות שונות ובהתאם לסוג הנכס. לדוגמה, ארגון יכול להזמין מבדק חדירות אפליקטיבי, מבדק חדירות תשתיתי או מבדק חדירות למערכות בענן.
איזו שאלה בדיקת החדירות נועדה לפתור?
השאלה המרכזית היא: האם ניתן לנצל בפועל חולשות בנכס הטכנולוגי שהוגדר לבדיקה, ומה תהיה המשמעות של ניצול כזה?
בדיקת חדירות מספקת עומק טכני גבוה, אך רק בתוך ההיקף שהוגדר. בדיקה של אפליקציה אחת אינה מעידה בהכרח על רמת הסיכון של כל הארגון.
סקר סיכוני סייבר מול בדיקת חדירות: ההבדלים המרכזיים
| נושא להשוואה | סקר סיכוני סייבר | בדיקת חדירות |
|---|---|---|
| מטרת התהליך | להבין את תמונת הסיכון הרחבה ולתעדף טיפול | לאמת אם ניתן לנצל חולשות בנכס מוגדר |
| היקף | ארגון, יחידה, תהליך עסקי או מספר מערכות | אפליקציה, רשת, מערכת, API, ענן או נכס מוגדר |
| סוג הבדיקה | תהליכית, ארגונית, עסקית וטכנולוגית | טכנית, אקטיבית וממוקדת |
| התייחסות להשפעה עסקית | מרכיב מרכזי בקביעת רמת הסיכון | נבחנת בעיקר בהקשר של הממצאים הטכניים |
| ניצול חולשות בפועל | אינו בהכרח חלק מהסקר | מרכיב מרכזי, בהתאם לכללי הבדיקה |
| תוצר מרכזי | מפת סיכונים ותוכנית עבודה מתועדפת | דוח ממצאים טכני, ראיות והמלצות לתיקון |
| קהל יעד | הנהלה, CISO, CIO, ועדת סיכונים ובעלי תהליכים | צוותי אבטחה, IT, DevOps, ענן ופיתוח |
| תדירות | תקופתית ולאחר שינוי מהותי בפעילות | לפני עלייה לאוויר, לאחר שינוי מהותי ובמחזוריות מבוססת סיכון |
| האם מחליף את התהליך האחר? | לא | לא |
למה סריקת חולשות אינה בדיקת חדירות?
טעות נפוצה נוספת היא להתייחס לסריקת חולשות אוטומטית כאל בדיקת חדירות מלאה. סורק חולשות יכול לזהות גרסאות תוכנה, הגדרות מסוימות וחתימות של חולשות מוכרות. הוא כלי חשוב, אך אינו מבין תמיד את ההקשר העסקי ואינו מחבר בהכרח בין מספר חולשות.
בדיקת חדירות מקצועית משלבת עבודה ידנית, חשיבה של תוקף, אימות ממצאים וניסיון להבין כיצד חולשה אחת יכולה להוביל לפגיעה רחבה יותר. לכן דוח של סורק אוטומטי אינו תחליף לדוח PT שבוצע על ידי בודקים מיומנים.
בשורה התחתונה: סריקת חולשות מחפשת אינדיקציות לחולשות מוכרות. בדיקת חדירות בוחנת האם ניתן לנצל חולשות ולהתקדם לתרחיש תקיפה מעשי.
מתי הארגון צריך סקר סיכוני סייבר?
סקר סיכונים מתאים כאשר הארגון זקוק לתמונה רחבה ולתוכנית עבודה. מומלץ לשקול אותו במצבים הבאים:
- אין לארגון תמונת מצב עדכנית של נכסי המידע והסיכונים.
- הנהלה חדשה או CISO חדש מבקשים לבנות תוכנית אבטחת מידע.
- הארגון גדל, רכש חברה או שילב פעילות חדשה.
- בוצע מעבר משמעותי לענן או שינוי בארכיטקטורה.
- קיימת תלות גבוהה בספקים ובמערכות SaaS.
- הארגון נערך לדרישות רגולציה, לקוחות או תקן אבטחת מידע.
- נדרש לתעדף השקעות בין מספר רב של פרויקטים וממצאים.
- עבר זמן רב מאז הסקר האחרון או שהסביבה השתנתה מהותית.
מתי הארגון צריך בדיקת חדירות?
בדיקת חדירות מתאימה כאשר הארגון רוצה לבדוק נכס טכנולוגי מסוים לעומק. מומלץ לשקול אותה במצבים הבאים:
- לפני השקת אפליקציה, פורטל, מערכת או שירות חדש.
- לאחר שינוי מהותי בקוד, בתשתית או בארכיטקטורה.
- לאחר מעבר לסביבת ענן או שינוי בתצורת הענן.
- כאשר מערכת רגישה נחשפת לאינטרנט.
- כאשר לקוח, רגולטור או תקן דורשים בדיקה בלתי תלויה.
- כאשר סקר סיכונים הצביע על מערכת או תרחיש בסיכון גבוה.
- לאחר תיקון ממצאים, לצורך בדיקת אימות חוזרת.
- כאשר הארגון רוצה לבדוק את האפקטיביות של מנגנוני הגנה קיימים.
האם כדאי לבצע קודם סקר סיכונים או בדיקת חדירות?
אין סדר אחד שמתאים לכל ארגון. הבחירה תלויה במידע שכבר קיים ובשאלה הדחופה ביותר.
כאשר אין תמונת מצב ארגונית
בדרך כלל נכון להתחיל בסקר סיכונים. הסקר יסייע לזהות אילו מערכות ותהליכים חשובים יותר, היכן נמצאים הסיכונים המשמעותיים ואילו נכסים מצדיקים בדיקה טכנית מעמיקה.
כאשר קיימת מערכת קריטית לפני עלייה לאוויר
במצב כזה בדיקת חדירות עשויה להיות הצעד הדחוף יותר. אין צורך להמתין לסקר ארגוני מלא כדי לבדוק אפליקציה רגישה שעומדת להיחשף ללקוחות או לאינטרנט.
כאשר כבר קיים סקר סיכונים עדכני
אפשר להשתמש בתוצאות הסקר כדי לקבוע את סדר בדיקות החדירות. מערכות בעלות השפעה עסקית גבוהה, חשיפה חיצונית או מידע רגיש יקבלו בדרך כלל עדיפות.
הגישה המומלצת: סקר הסיכונים קובע היכן נמצאים הסיכונים החשובים. בדיקת החדירות מספקת עומק טכני ומאמתת את עמידותם של הנכסים שנבחרו.
איך משלבים בין סקר סיכונים לבדיקת חדירות?
תוכנית אבטחת מידע בוגרת אינה מסתפקת בתהליך אחד. שילוב נכון יכול להיראות כך:
- ממפים נכסים ותהליכים: מזהים מערכות, מידע, ספקים ותהליכים קריטיים.
- מעריכים סיכונים: בוחנים איומים, חולשות, סבירות והשפעה עסקית.
- מתעדפים נכסים לבדיקה: בוחרים את המערכות שבהן ניצול חולשה עלול לגרום לנזק משמעותי.
- מבצעים בדיקות חדירות: בודקים לעומק את האפליקציות, התשתיות או סביבות הענן שנבחרו.
- מעדכנים את תמונת הסיכון: משלבים את ממצאי הבדיקה הטכנית במפת הסיכונים.
- מתקנים ובודקים מחדש: מטפלים בממצאים ומבצעים בדיקת אימות לאחר התיקון.
- עוקבים לאורך זמן: מעדכנים את הסקר ואת תוכנית הבדיקות בהתאם לשינויים בארגון.
איך לבחור ספק מתאים?
בין אם הארגון מזמין סקר סיכונים ובין אם הוא מזמין בדיקת חדירות, חשוב לוודא שההצעה אינה מבוססת על שם כללי בלבד. יש להגדיר מראש את המטרה, ההיקף, המתודולוגיה והתוצרים.
בבחירת ספק לסקר סיכונים מומלץ לבדוק:
- האם הסקר כולל היבטים עסקיים, ארגוניים וטכנולוגיים.
- האם המתודולוגיה והדרך לחישוב רמת הסיכון מוגדרות.
- האם יתקיימו ראיונות עם בעלי תפקידים ולא רק סקירת מסמכים.
- האם התוצר כולל סדרי עדיפויות ותוכנית עבודה ישימה.
- האם יוצג סיכום ברור להנהלה לצד הפירוט המקצועי.
בבחירת ספק לבדיקת חדירות מומלץ לבדוק:
- האם היקף הבדיקה והנכסים הנכללים בה מוגדרים במדויק.
- האם הבדיקה כוללת עבודה ידנית ולא רק סריקה אוטומטית.
- האם הוגדרו כללי בדיקה, שעות פעילות ואנשי קשר למצבי חירום.
- האם הדוח כולל ראיות, השפעה, דירוג חומרה והמלצות ברורות.
- האם כלולה בדיקת אימות לאחר תיקון הממצאים.
- האם לבודקים ניסיון בסוג המערכת ובטכנולוגיות הרלוונטיות.
טעויות נפוצות שכדאי להימנע מהן
- להזמין PT בלי להגדיר מטרה: בדיקה רחבה מדי או עמומה עלולה להחמיץ את הנכסים החשובים.
- להניח שבדיקת חדירות מכסה את כל הארגון: PT מוגבל להיקף שנקבע ואינו מחליף הערכת סיכונים רחבה.
- לבצע סקר סיכונים ללא בדיקות עומק: במערכות קריטיות נדרש לעיתים אימות טכני ולא רק הערכה תהליכית.
- להסתפק בסריקה אוטומטית: סריקה היא כלי עזר, אך אינה שוות ערך לבדיקה ידנית ומבוקרת.
- לא לבצע בדיקת אימות: תיקון שנראה נכון אינו בהכרח סוגר את נתיב התקיפה.
- להשאיר את הדוחות במגירה: הערך נוצר רק כאשר הממצאים מקבלים בעלים, מועד יעד ומעקב.
- לבצע בדיקה חד-פעמית: מערכות, קוד, ספקים ואיומים משתנים לאורך זמן.
אז מה הארגון שלכם צריך?
אם הנהלת הארגון שואלת “מהם סיכוני הסייבר המרכזיים שלנו ובמה צריך לטפל קודם?”, נקודת הפתיחה המתאימה היא בדרך כלל סקר סיכוני סייבר.
אם השאלה היא “האם תוקף יכול לפרוץ למערכת הספציפית הזאת ומה הוא יוכל לעשות?”, נדרשת בדיקת חדירות.
אם מדובר בארגון שמפעיל מערכות קריטיות, מחזיק מידע רגיש או תלוי בשירותים דיגיטליים, מומלץ לבנות תוכנית שמשלבת בין השניים. הסקר מספק את תמונת המאקרו ואת סדר העדיפויות, ובדיקת החדירות מספקת עומק טכני ואימות מעשי.
איך MADSEC יכולה לסייע?
MADSEC מסייעת לארגונים לבנות תמונת סיכון מלאה ולבחון את החוסן הטכנולוגי של מערכות קריטיות. השירותים כוללים סקרי סיכונים מקיפים, בדיקות חדירות לאפליקציות ולתשתיות, בדיקות בסביבות ענן וליווי מקצועי בתיקון הממצאים.
התהליך מותאם למטרות הארגון, לטכנולוגיות שבשימוש, לרמת החשיפה ולדרישות הרגולציה והלקוחות. כך ניתן להימנע מבדיקות כלליות שאינן מספקות ערך ולקבל תוכנית עבודה ממוקדת, מדידה וישימה.
צרו קשר עם MADSEC כדי לבחון איזה תהליך מתאים לארגון שלכם
מקורות מקצועיים
- NIST SP 800-30: Guide for Conducting Risk Assessments
- NIST SP 800-115: Technical Guide to Information Security Testing and Assessment
- OWASP Web Security Testing Guide
שאלות נפוצות על סקרי סיכונים ובדיקות חדירות
האם בדיקת חדירות מחליפה סקר סיכוני סייבר?
לא. בדיקת חדירות בוחנת נכס טכנולוגי מוגדר ומנסה לאמת חולשות בפועל. סקר סיכונים בוחן תמונה רחבה יותר הכוללת תהליכים, נכסים, איומים, ספקים, השפעה עסקית ובקרות ארגוניות.
מה כדאי לבצע קודם?
כאשר אין תמונת מצב עדכנית, מומלץ בדרך כלל להתחיל בסקר סיכונים ולבחור על בסיסו את המערכות שייבדקו לעומק. כאשר מערכת קריטית עומדת לעלות לאוויר, בדיקת חדירות עשויה להיות הצעד הדחוף יותר.
האם סריקת חולשות אוטומטית נחשבת לבדיקת חדירות?
לא. סריקת חולשות היא כלי חשוב לזיהוי חולשות מוכרות, אך בדיקת חדירות כוללת עבודה ידנית, אימות ממצאים, בחינת הקשר וחיבור בין חולשות כדי לבדוק תרחישי תקיפה מעשיים.
כל כמה זמן צריך לבצע בדיקת חדירות?
התדירות צריכה להיקבע לפי רמת הסיכון, קצב השינויים ודרישות רגולציה או לקוחות. מומלץ לבצע בדיקה לאחר שינוי מהותי, לפני השקת מערכת רגישה ובמחזוריות המתאימה לחשיפה ולחשיבות הנכס.
כל כמה זמן צריך לעדכן סקר סיכונים?
יש לעדכן את הסקר באופן תקופתי ולאחר שינויים משמעותיים, כגון מעבר לענן, רכישת חברה, הכנסת מערכת קריטית, שינוי בתהליך עסקי או התקשרות עם ספק מהותי.
האם בדיקת חדירות עלולה לפגוע במערכת?
בדיקה פעילה כוללת סיכון מסוים, ולכן יש להגדיר מראש כללי בדיקה, שעות פעילות, מגבלות, אנשי קשר ותהליך עצירה. בדיקה מקצועית מתוכננת כדי לצמצם את הסיכון ולמנוע פגיעה בפעילות.
מה מקבלים בסיום כל תהליך?
סקר סיכונים אמור לספק מפת סיכונים ותוכנית עבודה מתועדפת. בדיקת חדירות אמורה לספק דוח ממצאים טכני הכולל ראיות, חומרה, השפעה והמלצות לתיקון, ובדרך כלל גם אפשרות לבדיקת אימות.





