בדיקות תקיפה הם סימולציות המאפשרות לארגון לראות היכן הוא עומד ביחס לסטנדרטים המקצועיים אליהם הוא שואף להגיע.
אך מנקודת מבט של מישהו שעוסק במקצוע נראה כי הארגונים לא משתמשים בכלי זה בצורה מסודרת וקבועה (מלבד הארגונים הנתונים לרגולציות של המערכת הבנקאית או הביטוחית).
עכשיו זה לא שאני מנסה למכור את התחום הזה יותר אלא אני באמת מאמין שכלי זה הוא אחד הכלים המרכזיים אשר יכול לשפר את רמת האבטחה בארגון. והרבה פעמים אני נוטה לראות כי כלי זה הוא הרבה יותר חזק מכל המוצרים האחרים הנמכרים בתחום מכיוון שכלי זה מדגים בצורה מחולטת את הסכנה המידית בטווח הקצר ובטווח הארוך.
אך כמו בכל כלי צריך לדעת איך להשתמש בו, ועל פי הנראה בשטח לא תמיד יודעים איך להשתמש דוגמא קלאסית היא השימוש בכלים אוטומטים כגון SKYBOX ודומים לו. האם באמת כלי שכזה יכול לאפשר לנו לראות היכן אנחנו עומדים?
בתשובתי לשאלה זו היא לא. כלי אוטומטי בחיים לא יכול לבצע מה שאדם חושב.
מניסיוני ניתן לראות כי הרבה פעמים מחשבה ושילוב של מספר דברים יחדיו משיגים את המטרה ולכלי אוטומטי אין את הבינה הזאת.
אני מעריך שחברות המוצרים הנ"ל יטענו כי הם מבצעים תשאול של הלקוח והבנת הרשת ופה זה מכוון אותי לשאלה הבא איך בוחרים מי יבצע את בחינת התקיפה שהזמנו.
האם לכל אחד יש רישיון להחזיק אקדח ולהשתמש בו ?
לא כל אחד שפותח חברה יכול לבוא ולבצע בדיקות חדירה ראו מקרה בנק הדואר למי שמכיר את הפרטים הקטנים אחד מהאנשים שביצע את התקיפה מכר שירותי יעוץ לאבטחה למספר רב של ארגונים.
אם לא זה אז מה הניסיון שלו, אם הוא יודע לדבר על אבטחת מידע האם זה אומר בהכרח שהוא יודע לבצע אבטחה ?!
איך בחרנו את החברה איתה אנחנו עובדים ?
האם עשינו השוואה במערכות שהם בחנו או שמענו שמועה שהם טובים?
מי מבצע את בדיקת החדירה אצלי, מה הניסיון שלו האם הוא יכול לראות את התמונה המלאה של הארגון שלי?
ועוד מספר רב של שאלות שאני מעריך שאם תעצרו ותישאלו את עצמכם תוכלו לדעת היכן אתם עומדים.
בנוסף אני נוטה לראות כי כלי זה מיושם בד"כ בסוף סקר במטרה לסגור את כל הפינות הקיימות ולראות האם ביצעו את סגירת מעגלי האבטחה כראוי אך האם זה נכון להשתמש בו אך ורק בסוף למה לא להשתמש בו בכל התהליך ולשפר את ההגנה תוך כדי. יכול להיות שבסוף זה יהיה מאוחר מדי ויעלה יותר מדי לתקן.
ותחשבו על זה ;)
אך מנקודת מבט של מישהו שעוסק במקצוע נראה כי הארגונים לא משתמשים בכלי זה בצורה מסודרת וקבועה (מלבד הארגונים הנתונים לרגולציות של המערכת הבנקאית או הביטוחית).
עכשיו זה לא שאני מנסה למכור את התחום הזה יותר אלא אני באמת מאמין שכלי זה הוא אחד הכלים המרכזיים אשר יכול לשפר את רמת האבטחה בארגון. והרבה פעמים אני נוטה לראות כי כלי זה הוא הרבה יותר חזק מכל המוצרים האחרים הנמכרים בתחום מכיוון שכלי זה מדגים בצורה מחולטת את הסכנה המידית בטווח הקצר ובטווח הארוך.
אך כמו בכל כלי צריך לדעת איך להשתמש בו, ועל פי הנראה בשטח לא תמיד יודעים איך להשתמש דוגמא קלאסית היא השימוש בכלים אוטומטים כגון SKYBOX ודומים לו. האם באמת כלי שכזה יכול לאפשר לנו לראות היכן אנחנו עומדים?
בתשובתי לשאלה זו היא לא. כלי אוטומטי בחיים לא יכול לבצע מה שאדם חושב.
מניסיוני ניתן לראות כי הרבה פעמים מחשבה ושילוב של מספר דברים יחדיו משיגים את המטרה ולכלי אוטומטי אין את הבינה הזאת.
אני מעריך שחברות המוצרים הנ"ל יטענו כי הם מבצעים תשאול של הלקוח והבנת הרשת ופה זה מכוון אותי לשאלה הבא איך בוחרים מי יבצע את בחינת התקיפה שהזמנו.
האם לכל אחד יש רישיון להחזיק אקדח ולהשתמש בו ?
לא כל אחד שפותח חברה יכול לבוא ולבצע בדיקות חדירה ראו מקרה בנק הדואר למי שמכיר את הפרטים הקטנים אחד מהאנשים שביצע את התקיפה מכר שירותי יעוץ לאבטחה למספר רב של ארגונים.
אם לא זה אז מה הניסיון שלו, אם הוא יודע לדבר על אבטחת מידע האם זה אומר בהכרח שהוא יודע לבצע אבטחה ?!
איך בחרנו את החברה איתה אנחנו עובדים ?
האם עשינו השוואה במערכות שהם בחנו או שמענו שמועה שהם טובים?
מי מבצע את בדיקת החדירה אצלי, מה הניסיון שלו האם הוא יכול לראות את התמונה המלאה של הארגון שלי?
ועוד מספר רב של שאלות שאני מעריך שאם תעצרו ותישאלו את עצמכם תוכלו לדעת היכן אתם עומדים.
בנוסף אני נוטה לראות כי כלי זה מיושם בד"כ בסוף סקר במטרה לסגור את כל הפינות הקיימות ולראות האם ביצעו את סגירת מעגלי האבטחה כראוי אך האם זה נכון להשתמש בו אך ורק בסוף למה לא להשתמש בו בכל התהליך ולשפר את ההגנה תוך כדי. יכול להיות שבסוף זה יהיה מאוחר מדי ויעלה יותר מדי לתקן.
ותחשבו על זה ;)
