שוועו בנפשכם מצב ובו הייתה לכם האופציה לסכל פריצת מחשוב לארגון שלכם, הצפנת נתונים ואיבוד זמן יקר ולא ניצלתם את האופציה משום שלא הכרתם את המושג PEN TEST.
מה זה PEN TEST
Penetration testing או בעברית מבדקי חדירה הם סט של בדיקות המתבצעות פנים וחוץ ארגוני על מנת למצוא ולחשוף את הנקודות הרגישות באבטחת המידע הארגוני.
הבדיקות מתחלקות לכמה חלקים:
מבדק חיצוני, פנימי, אפליקטיבי, איפיונים ונהלים.
במרבית המקרים הבדיקות תתבצענה ע"י גורם צד שלישי שאינו מטפל בלקוח ושאינו מכיר או נחשף קודם לכן לרשת.
כלים צד שלישי בד"כ קוד פתוח ישמשו את האיש הטכני והבדיקה החיצונית תכלול סריקה מקיפה של פורטים הפתוחים לעולם,
שירותי ענן שאינם מוגנים באימות דו שלבי או סיסמאות חזקות, חיבורי VPN תקינים הכוללים אימות דו שלבי ע"י טוקנים וכו'.
הבדיקה הפנימית תנסה לשפוך אור על מצב הרשת מבחינת האבטחה המקומית, דברים כגון חומות אש פעילות, אנטי וירוסים עדכניים, EDR פעיל, מדיניות סיסמאות ונעילת מחשבים,
הפרדת רשתות וסיגמנטים וכו'.
בדיקה אפליקטיבית תדגום את האפליקציות או תכנות כמו CRM או ERP המשמשים את הארגון בגישה מבפנים או מבחוץ.
בסיום הבדיקה ניתנים דוחות למנהל הרשת או מנמר החברה כולל המלצות לביצוע והידוק נהלי אבטחת המידע.
אז למה לא כולם עושים מבדקי חדירה?
חשוב לציין שבתקופה האחרונה המודעות כלי נושא אבטחת המידע בעלייה מתמדת ולצד המודעות גם עסקים רבים שהפנימו והבינו שהמוכנות והבדיקה למרות עלותה יכולה לחסוך לא מעט ממון בהמשך,
אלו שבוחרים לא לבצע מבדקים בד"כ נרתעים מהעלות ואומרים נגיע לגשר.. אבל שמגיעים מבינים שאין גשר? זה כבר סיפור אחר.
כאשר מחלקים את עלות הבדיקה, כל ארגון והמורכבות שלו כמובן, למשך תקופה מסוימת אזי מבינים שהשד לא נורא, יש יאמרו שמדובר בחובה לכל ארגון שהמידע בו חשוב.
המבדק בין היתר בודק דבר נוסף חשוב שהוא נושא DLP המונע זליגת נתונים מהעסק החוצה.
הדבר האחרון שחברת סטרטאפ או כל חברה המחזיקה על שרתיה חומר מסווג הייתה רוצה לראות זה את החומר שלה דולף החוצה למתחרים או לכל גורם צד שלישי.
שווה לכם.