לזהות את הפערים —
לפני שתוקף יעשה את זה במקומכם.
מבדקי חדירות ותרגילי Red Team שמדמים תקיפות אמת מול היישומים, התשתיות והאנשים בארגון. הממצאים מגיעים מצוות שגם בנה הגנות וגם פרץ אותן — בהתבסס על מתודולוגיות OWASP ו-NIST, עם 15+ שנות ניסיון על מערכות קריטיות.
הגנות שלא בודקים — אינן הגנות.
לקוחות, רגולטורים וחברות ביטוח דורשים יותר ויותר מבדק חדירות חיצוני כהוכחה שהאבטחה אכן עובדת. מבדק חושף את מה שסריקות ונהלים מפספסים — את הפערים שתוקף אמיתי באמת ינצל כדי להיכנס.
המבדקים מובלים אישית על ידי מייסד AYIT ובמקרה הצורך נתמכים על ידי מומחים שנבחרו בהתאם לסוג המערכת ולהיקף. כל שיתוף של מומחים נוספים מתואם מראש עם הלקוח ומחויב בחובות הסודיות החלות על ההתקשרות. התוצר אינו דוח של סורק אלא תמונת חשיפה מעשית, ברמת הפירוט שתוקף אמיתי היה מגיע אליה.
מאפליקציה בודדת ועד שרשרת תקיפה מלאה.
- מבדקי חדירות לאפליקציות ווב ומובייל (OWASP Top 10 ומעבר)
- מבדקים חיצוניים לתשתית — שירותים חשופים לאינטרנט, דואר, VPN
- מבדקים פנימיים — מה תוקף יכול לעשות לאחר השגת אחיזה ראשונית
- סקירת הגדרות ענן — AWS, Azure, Google Cloud, Microsoft 365
- תרגיל Red Team — שילוב של תקיפה טכנית, פישינג והנדסה חברתית
- סימולציית פישינג לצוות, כולל מפגש הסבר וחיזוק לעובדים
- דוח מתועדף (P0 / P1 / P2 / P3) עם צעדי תיקון קונקרטיים
- מפגש סיכום משותף ובדיקה חוזרת לאחר תיקון הממצאים
התקשרות מסודרת, ללא הפתעות.
פגישת פתיחה והגדרת היקף
אנחנו מגדירים יחד מה בדיוק בהיקף, אילו מערכות מחוץ לתחום, חלון הבדיקה וכללי ההתקשרות. NDA חתום, אישור בכתב לביצוע הבדיקה.
איסוף מידע וביצוע
מיפוי משטח התקיפה, איתור נקודות תורפה וניסיון מבוקר לנצל אותן. כל ממצא קריטי מדווח אליכם מיד — לא מחכים לדוח.
דוח ומפגש סיכום
דוח כתוב עם ממצאים מתועדפים, צילומי מסך וצעדי תיקון — בליווי מפגש סיכום משותף שעובר על הממצאים ומסביר את ההשפעה העסקית של כל אחד.
בדיקה חוזרת
לאחר שתתקנו את הממצאים, אנחנו בודקים שוב את הפריטים הקריטיים ומנפיקים דוח מעודכן — כזה שלקוחות enterprise רוצים לראות.
הבדיקה תפריע לפעילות?
הבדיקה מתוכננת כדי לצמצם ככל האפשר את ההשפעה על הפעילות. חלון הבדיקה, הפעולות המותרות והחרגות רגישות נקבעים מראש, ולא מתבצעת פעולה בעלת סיכון תפעולי ללא אישור.
מה ההבדל בין מבדק חדירות לבין Red Team?
מבדק חדירות מתמקד במערכת מוגדרת (אפליקציה, רשת, חשבון ענן) ומחפש ממצאים טכניים. תרגיל Red Team מדמה תוקף עם מטרה — למשל "להגיע למסד נתונים מסוים" — ומשלב תקיפה טכנית, פישינג והנדסה חברתית. הוא בודק גם את האנשים והתהליכים, לא רק את הטכנולוגיה.
נקבל דוח שאפשר להציג ללקוחות או לרגולטור?
הדוח יכול לשמש כחלק מהראיות הנדרשות בתהליכי ביקורת, שאלוני לקוחות והיערכות לתקן, בהתאם לדרישה הספציפית. הוא בנוי כך שיתאים גם לדירקטוריון וגם לבודק חיצוני — תקציר מנהלים, מתודולוגיה, ממצאים מתועדפים, ראיות וצעדי תיקון.
אפשר לשלב עם ניהול שוטף (CISO כשירות)?
ניתן לשלב מבדק חדירה עם ליווי קבוע של ניהול סייבר שוטף, אך השילוב אינו חובה. המבדק חושף את הפערים הטכניים; ליווי שוטף יכול לתמוך בסגירת הממצאים ובשמירה על תמונת המצב לאורך זמן, בהתאם לבחירת הלקוח.