New-Tech Military Magazine | July-August 2018

עובדים על אותה עמדת עבודה עם גישה למידע שהוגדרה לעובד הקודם שכבר סיים את עבודתו. עם השלמת שלל בדיקות החדירה, ההאקרים המוסריים מדווחים על התצפיות והמהלכים שביצעו והמידע שנחשף בפניהם עם המלצות למפתחים בנוגע לדרכים אפשריות לסגירת חורי האבטחה והבאגים. בדיקות הנדסה חברתית אחרי שהשלמנו את ההגנה על החומרה, התוכנה והרשת הפיזית, המרכיב האחרון שצריך לבדוק הוא עובדי החברה. פושעי סייבר עושה שימוש ביצירתיות כדי לגנוב את המידע העסקי והחסוי שמאוחסן. ) היא Social Engineering הנדסה חברתית ( באמצעותם חושפים Pen testing סוג של את החולשות של הרשת האנושית לצורך חדירה לרשת הממוחשבת. קווין מיצניק אומר: "הנדסה חברתית היא שימוש במניפולציה, השפעה והטעייה של אדם הגון מתוך הארגון לבצע בקשה, אשר לרוב כוללת מתן מידע או ביצוע פעולה לטובת התוקפים". הודעות פישינג, לדוגמא, יכולות לגרום לעובדים ללחוץ על קישורים או למלא בקשות למידע שמכניס את התוקפים למידע החסוי של החברה. ישנם מספר סוגים של בדיקות הנדסה ) Mind games חברתית: משחקי חשיבה ( הן בדיקות שנועדו לבחון את הרגישות של אנשים להטעייה, בעיקר כאשר פושעי הסייבר נוקשים על דלתות הפארנויה. הודעת מייל שנשלחת לעובד ובו נכתב כי אותרה תנועה לא מאושרת במחשב, אשר דורשת כניסה באמצעות לחיצה על קישור לצורך קבלת אישור ממנהל הרשת כדי למנוע עבירה על פעולות אסורות. אותה הפעולה של הלחיצה על הקישור התמים לכאורה, בו העובד רוצה לפועל לכאורה על פי הנהלים, היא זו שתגרום לפריצה של ההאקר פנימה ותסכן את המידע של הארגון. בדיקות פעילות שגרתית ) היא בדיקה שבאה Humdrum activity ( לבדוק את החולשות שמתבצעות כתוצאה מהשגרה השוחקת. האקרים מנסים לחקות פעילות סייבר שגרתית כדי לנצל את חוסר העמידה על המשמר, אם אפשר לקרוא לזה כך, של העובד והפעולות שהוא

עושה באופן קבוע כמעט מבלי לשים לב. לדוגמא, הודעת אימייל שנראה כאילו או IT נשלחה ממנהל הרשת, אחראי ה- מחלקת כוח האדם, בה העובד מתבקש למלא סקר או ללחוץ על קישור למענה על שאלון, לעדכן תוכנה מסוימת או לעדכן מידע אישי באתר העובדים של החברה. לחיצה על הקישור, שנשלחת מכתובת שיכולה להתחזות באופן כמעט מושלם לכתובת האמיתי, לרוב עם שינוי שקשה לשים לב אליו (אות מיותרת, סיומת מייל שונה), היא הפתח של ההאקר למערכת. בדיקה אופיינית נוספת היא הפעילות ): פושעי Suspicious activity החשודה ( סייבר שולחים לעיתים אזהרות מזויפות אשר דורשות מהנמען לפתוח היפר-לינק או קובץ מצורף בהודעות הנחזות לחברה מוכרת או אשר נראות דומות בצורה כמעט מלאה להודעות מייל אמיתיות מהבנק, הדואר, אתר קניות וכדומה. ההודעות נראות באותו גופן, צבע, גודל ותמונות כמו ההודעות השגרתיות שאותו נמען מקבל מגופים איתם הוא עובד ועליהם הוא סומך. לחיצה על קישור תמים לכאורה הוא הפתח לתוך המידע הארגוני. כלל בדיקות ההנדסה החברתית מסייעות להעריך את המודעות של העובדים על או אבטחת הסייבר של IT ידי אחראי ה- הארגון. האקרים מוסריים יכולים לבחון את החולשות של העובדים לניסיונות פריצה באמצעותם ולהעלאות את המודעות שלהם לסכנות שמאיימות על הארגון. אם נסתכל על כלל הבדיקות שנעשו, נראה כי השילוב של כולן, הן בהיבטי החומרה, התוכנה ואמצעי האבטחה והן באמצעות ניסיונות לחדור באמצעות עובדי החברה, הן תנאי מקדים לכל ארגון או חברה שמאחסנת מידע יקר ערך על התשתיות שלה. הדבר הנכון לעשות הוא לבצע את כלל הבדיקות כבר בשלבי הקמת המערכות ובשלבי ההרצה הראשוניים כדי לגלות את כל הפרצות האפשרויות בשלב מוקדם עד כמה שניתן. השיטות שמבוצעות על ידי האקרים מוסריים יכולים לחסוך לארגונים כסף רב, כאב ראש וכן להעלות את המודעות של כלל עובדי החברה לכמה צעדים פשוטים, חשדנות בריאה והתנהלות נכונה.

בצורה שקולה. המטרות העיקריות הן לזהות חולשות כמו באגים בשורות הקוד או הגדרות מערכת שאינן מתאימות להפעלה ולצרכים. הדבר מסייע לאתר תוקפים פוטנציאליים שיכולים לחשוף חולשות בתהליכי האבטחה או במערכות הפנימיות. לאחר מכן, רצוי לתעד את החולשות כך שהמפתחים והאחראים למערכותשאותרו כפגיעות יבינו מה התגלה וימצאו את הדרכים לחסום אותן. הערכת החולשות מאפשרת למפתחים להבין את כל הדרכים והתהליכים שמתבצעים בקרבי המערכות ולהציע פעולות מתקנות לסגירת החורים כולל ההבנה מה הנזקים שעלולים להתרחש אם לא יסגרו אותן בהקדם. בדיקות חדירה ברגע בו מזוהות החולשות, מגיע הזמן Penetration לסגור אותן. בדיקות חדירה ( , Pen Test ), שלעיתים מכונות Testing הן התקפות מתוכננות על המערכת, רשת או אפליקציית רשת של ארגון או חברה, אשר מאשרות בצורה חוקית ומסודרת את התקיפה על המידע של החברה דרך אחת הפרצות שנמצאו - בדיוק כפי שהאקר היה יכול לבצע. המטרות העיקריות של בדיקות אלה הן למדוד את כמות המידע שניתן לגנוב, לזהות את נקודות החדירה האפשריות ולחשוף את החולשות. ישנן מספר סוגי בדיקות חדירה. הבדיקות החיצוניות מתמקדות במקורות חיצוניים, שיכולים להיות בשימושם של ההאקרים. ברגע שהמידע ממקורות חיצוניים לארגון נאסף, בדיקות החדירה מתבצעות באמצעות ניסיון דילוג מעל השרתים, חומות האש וכדומה. הבדיקות הפנימיות כוללות שימוש במידע זמין מתוך הארגון שמשמש לאיתור חורים באבטחה. כפועל יוצא, האקרים מוסריים ינסו להגיע למידע החסוי והסודי באמצעות סיסמאות ושלל שיטות admin username דומיין, פשוטות אך רווחות להיכנס למידע בצורה קלה ולכאורה לא מסובכת. האקרים לעיתים נכנסים לכתובות מייל או חשבונות באמצעות שימוש בסיסמאות פשוטות או שם משתמש וסיסמא זהים). 1234( איום פנימי נוסף יכול להיות הרשאות לא נכונות לגישה למידע לעובדים הלא- מתאימים או אי עדכון בזמן של חילופי

43 l New-Tech Military Magazine