fbpx

האם בדיקות חדירה אוטומטיות יכולות להחליף בודקים אנושיים?

בסקר של איגוד ההייטק בהתאחדות התעשיינים (אוגוסט 2021) נמצא, אחת מכל ארבע חברות ישראליות עברה מתקפת סייבר במהלך השנה שעברה, כאשר ב-25 אחוזים מהמקרים מדובר במתקפות בהם התוקפים הצליחו לחדור למערכות המחשב של החברה.

הנזקים כתוצאה ממתקפת סייבר עלולים להיות קשים לארגון: גניבת מידע, השחתת מידע, מחיקת מאגרי מידע קריטיים, והדלפת פרטי לקוחות העלולה לחשוף את החברה לתביעות מצד הלקוחות ואף להוביל לצעדים רגולטוריים קשים. התגברות מתקפות הסייבר בשנתיים האחרונות מעלה יותר מאי פעם את הצורך בשירותי בדיקות חדירה בזמן אמת שידמו התקפות שונות, ישקפו אסטרטגיות תקיפה ופגיעות עדכניות, ויאפשרו לארגון להיערך נכון להתקפות אמיתיות. בדיקות חדירה יכולות להיעשות באופן ידני, באופן אוטומטי, או באמצעות שילוב של השתיים.

מהו הליך בדיקות חדירה?

לעתים קרובות נדרש לביצוע מבחן חדירה עבור שירותים ופלטפורמות מבוססות אינטרנט, זאת בכדי להבטיח את אבטחת המערכת שלהם, לקיים סטנדרט מינימלי של אבטחה וכן איכות וחווית משתמש –  הדבר נעשה על ידי פריצה או מניפולציה מכוונת של המערכת, במטרה לחקור את רמת האבטחה ולבדוק אם נקודות תורפה קיימות עשויות להיות כלי לניצול.

בדיקות חדירה אלו יבוצעו על ידי אנשי מקצוע בסיוע מומחים אחרים מעת לעת. הליך בדיקה זה ידוע כיום כבדיקת חדירה ידנית, בדיקה זו מצריכה משך זמן ארוך ותשומת לב רבה להשגת ביצוע מוצלח.

גיא חורש_צילום_בינת
בתמונה: גיא חורש, כותב המאמר. צילום: בינת

מהו הליך בדיקות חדירה אוטומטי?

הדרישה הגוברת לבדיקות חדירה והמורכבות הכרוכה בביצוע בבדיקה כזו, הובילו לפיתוח של כלים ונהלים אוטומטיים כדי להפוך את בדיקת החדירה לזמינה, מהירה ויעילה יותר. בשונה מבדיקות חדירה ידניות, בדיקות חדירה אוטומטיות עושות שימוש בכלים ותהליכים אוטומטיים לביצוע בדיקות החדירה. לדוגמה, במקום לעבור על שורות קוד כדי לבדוק שגיאות, ניתן לפרוס סורק המאפשר לסרוק מספר גדול של קודים תוך זמן קצר.

בבדיקות החדירה האוטומטיות, כלים דיגיטליים ותוכנה מבצעים את המשימות שבודקים אנושיים היו עושים בדרך כלל. כלים אלו מחקים פעולות בודק או פעולות משתמש בהתאם לצרכי הבדיקה. כלי הבדיקה האוטומטי מתחבר למערכת/רשת וחוקר את התשתית על ידי ביצוע סריקה כללית.

הסריקה מכוונת את הכלי לתחום תפקידו. כמובן, ייתכן שכלי או תוכנית בדיקה אחת לא תטפל בכל צורכי הבדיקה; ייתכן ויעלה צורך לפרוס מספר כלים שונים עם פונקציות שונות למטרות בדיקה שונות. לדוגמה: נניח שפותח כלי אוטומטי עבור בדיקת ה-GUI ופונקציית המשתמש קדמי (Front-end). במקרה זה, הכלי, לאחר סריקה כללית, מתחיל לחקור את הפרטים הדרושים, שכן מדובר ב-GUI ותפקוד המשתמש (כניסה לאפליקציה/אתר לדוגמה). לאחר מכן, תוכנית הבדיקה תדמה התקפה או ניצול כמו התקפה כוחנית (brute force attack).

כלים אוטומטיים עבור בדיקות חדירה פותחו כדי לפעול כסוכנים פולשים תוך שימוש בטכניקות הפריצה העדכניות ביותר, בעוד ההגשה ההתנהגותית של כלים אלו תחקה התנהגות של בודק אנושי – כלי הבדיקה האוטומטים פתחו לפעול כפי שבודק אנושי פועל, בדרך כלל באמצעות אותם מדדים ושלבים.

יתרונות שימוש בכלי בדיקת חדירה אוטומטיים

חסכון בזמן – כלים אוטומטיים מצמצמים את מסגרת הזמן של בדיקות החדירה בפער משמעותי. באותו אופן, דוחות נערכים כמעט מיד לאחר סיום הבדיקה.

ביצוע מספר בדיקות במקביל – יתרון מרכזי אחד של בדיקות אוטומציה הוא ריבוי משימות. כלי בדיקה אוטומטי יכול להריץ מספר בדיקות בו-זמנית, בניגוד לבדיקות ידניות.

מקדם את תדירות הבדיקה הנכונה – הכלים האוטומטיים פועלים כך שניתן לשכפל בדיקה לפי הצורך, לפעמים מספר פעמים ביום. זה מאפשר לבודקים להיות מעודכנים בבעיות אבטחה ופגיעיות במערכת.

הגברת פרודוקטיביות – בדיקות אוטומטיות, מאפשרות לבודקים ולמפתחים להתרכז בפרויקטים ומשימות אחרות הדורשות תשומת לב אנושית, כגון חיפוש אחר ביצוע חדירה מתוחכמת יותר.

עדכונים ורלוונטיות – באמצעות עדכונים וסקריפטים כלי בדיקה אוטומטים לחדירה ניתנים לעדכון המאפשר לשקף בדיקות חדירה עדכניות. לבודק אנושי נדרש זמן רב יותר לעדכן את הידע בתחום בדיקת חדירה.

האם כלי בדיקות חדירה אוטומטים מספיקים ואף יכולים להחליף בודקים אנושיים?

התשובה אינה חד משמעית, אומנם בדיקות אוטומטיות זכו לאימוץ משמעותי בשנים האחרונות והיתרונות של הכלים הללו רבים – רוב המפתחים והבודקים משתמשים בכלים אוטומטיים במטרה לקדם יעילות ולחסוך זמן. למרות שכלי בדיקת חדירה אוטומטים מקלים בהרבה על העבודה, הם עדיין לא פותחו במלואם עד לשלב של עצמאות מוחלטת. במקרים מסוימים, עדיין נדרש בודק אנושי כדי להגדיר את הכלי, לפרש את תוצאות היומן וליישם פתרונות.

כמו כן, הכלים האוטומטיים עדיין מוגבלים בהיקף הבדיקה ובתחולתם. לא כל פונקציית בדיקה יכולה להתבצע על ידי כלי אוטומטי. לדוגמה, בעוד שכלי אוטומטי עשוי להיות מושלם להפעלת מבחני רגרסיה (בדיקת יעילות של פונקציונליות קיימות) וניתוח, הוא בהחלט מתקשה להתמודד עם בדיקות גישוש (בדיקת תוצאות צפויות ובלתי צפויות כאשר פונקציונליות חדשה מתווספת למערכת).

כמו כן, האוטומציה בתחום בדיקות חווית משתמש עדיין מוגבלת. לדוגמה, אלמנטים ויזואליים ומיקומים של כרטיסיות ותפריטים. משוב אמיתי של משתמשים נשאר מתאים ונחוץ ל-QA. לכן, לקבלת יעילות מרבית ותוצאה מיטבית יש צורך בשילוב של בדיקות אוטומטיות ובדיקות אנושיות.

הכותב הוא גיא חורש, מהנדס פרה-סייל בחברת בינת תקשורת מחשבים

דילוג לתוכן