התשובה הקצרה: לפחות פעם בשנה, ואחרי כל שינוי משמעותי בסביבה. אך התדירות הנכונה תלויה בקצב השינוי שלכם, במה שאתם מגנים עליו ובאילו רגולציות חלות. התייחסות למבחן חדירה כאירוע חד-פעמי היא טעות נפוצה ויקרה – משטח התקיפה משתנה כל הזמן, וכך גם מפת האיומים.
הבסיס: שנתי ובעת שינוי
מבחן חדירה שנתי הוא המינימום המקובל, ומספק מדד סדיר ובר-השוואה לעמידות. אך תמונת מצב שנתית מפספסת כל מה שמשתנה בין לבין, ולכן יש להפעיל בדיקה גם בעקבות שינוי משמעותי.
אירועים שצריכים להפעיל בדיקה
- שחרורי גרסה גדולים או תכונות חדשות המשנות את אופן הטיפול במידע.
- שינויי תשתית או ארכיטקטורת ענן משמעותיים, או הגירות.
- מיזוגים ורכישות המכניסים מערכות לא מוכרות לסביבה.
- כניסה לשוק או למשטר ציות חדש המחייב בדיקות.
- אחרי אירוע אבטחה, לאימות שהגורם השורשי טופל במלואו.
- במידה ויש לארגון מאגרי מידע הוא מחויב לבצע אחת ל 18 חודש.
מה דורשת הרגולציה
מסגרות שונות קובעות ציפיות שונות. PCI DSS דורש בדיקה לפחות שנתית ואחרי שינויים משמעותיים. ISO 27001 מצפה לבדיקה כחלק מהבטחה מבוססת-סיכון. חובות אבטחת המידע בישראל דוחפות להערכה סדירה מבוססת-סיכון, ויותר ויותר לקוחות ארגוניים דורשים דוח מבחן חדירה עדכני לפני חתימה.
מעבר לבדיקה נקודתית
מכיוון שסביבות משתנות מדי יום, הארגונים העמידים ביותר משלימים מבחנים תקופתיים בניהול משטח תקיפה רציף ובבדיקה חוזרת של נכסים קריטיים. תוכנית מבוססת-סיכון בודקת מערכות "תכשיטי כתר" בתדירות גבוהה יותר מנכסים בסיכון נמוך.
Persist Security מסייעת ללקוחות לעבור ממבחנים חד-פעמיים לתוכנית מבחני חדירה מובנית ומבוססת-סיכון, בהשלמת סקרי אבטחה שוטפים, ויכולה לבנות מפת דרכים רב-שנתית דרך שירות ה-vCISO. צרו קשר להגדרת תדירות הבדיקה הנכונה.
