בדיקות חדירות והמטרות שלהן
בדיקות חדירות מבוצעות כיום בתדירות גבוהה ויש להן מספר מטרות ברורות. המטרה הראשונה והעיקרית היא לבדוק איזה חולשות אבטחה יש במערכת ממוחשבת מסוימת, מה אפשר לעשות איתן ומה פוטנציאל הנזק עבור הארגון שעומד מאחוריה. בגלל שהבדיקה עצמה היא יוזמה של הארגון, היא מתבצעת בצורה סטרילית ומבוקרת. המשמעות היא שהתוצאות של הבדיקה לא יוצאות החוצה, אבל הן כן יכולות לשמש את הארגון לטובת שיפור מערך האבטחה הקיים.
מטרה אחרת ולא פחות חשובה של בדיקות חדירות היא לבצע הערכת סיכונים. אם
יודעים איזה סיכונים בדיוק נשקפים לכל סוג של מערכת ממוחשבת, יש סיכוי גבוה יותר
שניתן יהיה למצוא את הפתרונות הרלוונטיים מראש. אז מצד אחד, אי אפשר להגן על כל
מערכת בצורה הרמטית. מצד שני, התוצאות של בדיקות חדירות מראות איזה איום רלוונטי
יותר מאחרים.
מתי כדאי לבצע בדיקות חדירות?
האמת היא שכדאי לשלב את המטרות השונות של בדיקות חדירות בכל שלבי ההקמה והפעולה של הארגון. בדיקות כאלה רלוונטיות למשל עבור ארגונים חדשים שרוצים להשתלב בתחום קיים ולהוכיח את האמינות שלהם בפני הלקוחות, אבל ניתן בקלות ליהנות מהיתרונות שלהן גם עבור ארגון קיים. בנוסף, בדיקות חדירות יכולות לעזור לשפר את המוניטין של ארגון שכבר נפגע.
מבחינת תדירות, הרבה תלוי בממצאים של בדיקות חדירות ובמאפיינים של המערכת הממוחשבת. ככל שהמערכת רגישה או פרוצה יותר, כך צריך להגביר את התדירות של הבדיקות. כאשר התדירות גבוהה, המשמעות היא גם שמשתמשים בכלים מעודכנים יותר.
זו בסופו של דבר המטרה העיקרית של בדיקות חדירות: לדמות בדיקה אמיתית של פורצים. בשביל שהדימוי יהיה נאמן למציאות, על הבדיקה להתבצע בכל האמצעים הקיימים והרלוונטיים לתחום ולשוק.