סקר הקשחות: איך בודקים תשתיות, ענן ואפליקציות באותו סטנדרט

כשארגון אומר “אנחנו מאובטחים”, הוא בדרך כלל מתכוון לטכנולוגיות שקנה. אבל בפועל, חלק גדול מהסיכון יושב דווקא בקונפיגורציה: הרשאות רחבות מדי, שירותים פתוחים, מדיניות זהויות לא עקבית, לוגים שלא נאספים, או אפליקציות שעולות לייצור בלי בקרות בסיסיות.
סקר הקשחות (Hardening Assessment) נועד לעשות סדר:

לבדוק איך המערכות באמת מוגדרות, לזהות פערים שמגדילים סיכון, ולהוציא תכנית תיקון ישימה.

למה “סקר הקשחות” ולא עוד בדיקה נקודתית

סקר הקשחות הוא לא “בדיקת חדירה” (שמדמה תוקף ומנסה לפרוץ),
אלא בדיקה שיטתית של הגדרות אבטחה (Configuration) ובקרות מול פרקטיקות מומלצות, סטנדרטים ארגוניים ודרישות רגולציה/לקוח.

המטרה של הסקר:
לצמצם את “משטח התקיפה” עוד לפני שמישהו ינצל אותו ולייצר בסיס אחיד לניהול והקשחה מתמשכת.

סקר הקשחות מערכות תשתית (IT / Network / AD)

בממד התשתיתי אנחנו בודקים האם הסביבה בנויה “נכון” מבחינת הפרדה, שליטה ונראות:

• Identity & Access: Active Directory/Entra, קבוצות והרשאות, MFA, חשבונות שירות, מדיניות סיסמאות, Privileged Access.
• Network: סגמנטציה, פורטים ושירותים פתוחים, גישה מרחוק, VPN, חומות אש, ניהול ציוד תקשורת.
• Logging & Monitoring: האם יש איסוף לוגים מרכזי, איכות לוגים, שמירה/Retention, התראות.
• Backups & Recovery: גיבויים, הפרדה, בדיקות שחזור, הגנות נגד מחיקה/כופרה.

סקר הקשחות מערכות ענן (Cloud Hardening / CSPM-Style)

בענן הרבה טעויות הן “קלות ליצירה” וקשות לזיהוי בלי סקר מסודר:

• IAM בענן: Role-based, הרשאות עודפות, מפתחות/Secrets, גישה בין חשבונות/Subscriptions.
• Network & Exposure: Security Groups, Public endpoints, ניהול גישה ל־Admin ports, WAF, Private connectivity.
• Storage & Data: דליפת נתונים ממאגרים, הרשאות שיתוף, הצפנה במנוחה ובתנועה, מדיניות DLP (כשיש).
• Workloads: קונטיינרים/קוברנטיס, VM baseline, תמונות (Images), Patch & vulnerability management.
• Governance: Tagging, הפרדה בין סביבות, Policy/Guardrails, יומני Audit, התראות.

סקר הקשחות שרתים ועמדות קצה (Servers & Endpoints)

כאן אנחנו יורדים לרזולוציה שמייצרת בפועל חוסן ביום-יום:

• Baseline הקשחה לשרתים ותחנות (שירותים מיותרים, RDP/SSH, הרשאות מקומיות, Firewall מקומי).
• עדכונים וטלאים: פערי Patch, תיעדוף לפי סיכון, SLA לתיקון.
• EDR/AV: כיסוי אמיתי, מדיניות, חריגים (Exclusions), מצב Telemetry.
• ניהול הרשאות מקומיות: מי Admin ומתי, Just-in-Time/Just-Enough-Access (אם קיים).
• דפדפנים ו־Office hardening: Macro policies, הגנות הורדות, סינון, הגבלות.

Application Security Assessment (סקר אבטחת אפליקציות)

כאן המיקוד הוא באפליקציה ובמסלול הפיתוח/העלאה לייצור—לא רק ב“קוד”:

• סקירת ארכיטקטורה: זרימת נתונים, רכיבים, תלותים, הפרדות, חשיפות API.
• בקרות בסיסיות: Authentication/Authorization, ניהול סשנים, הרשאות ברמת פעולה/אובייקט.
• אבטחת API: הגנות Rate limit, validation, tokens, scopes, מנגנוני Abuse prevention.
• ניהול חולשות: תהליך SAST/DAST (או כלים חלופיים), תלותים (Dependencies), ספריות צד ג’.
• CI/CD & IaC: הרשאות Pipeline, Secrets, ניהול סביבות, הקשחת Infrastructure-as-Code.
• הקשחת סביבת ייצור: headers, TLS, WAF, חיבוריות, הרשאות DB, הפרדת סביבות.

איך נראה תהליך סקר הקשחות נכון (בפועל)

1. הגדרת היקף (Scoping): מה נכנס, מה קריטי, ומה “מייצר סיכון עסקי”.

2. איסוף תמונת מצב: נכסים, טופולוגיה, זהויות, תצורות, לוגים, תהליכים.

3. בדיקה מול Baseline: סטנדרט ארגוני/מומלץ, דרישות לקוח/רגולציה, ומדיניות פנימית.

4. דירוג ממצאים לפי סיכון: הסתברות × השפעה + הקשר עסקי (מה באמת כואב).

5. תכנית עבודה לתיקון: Quick wins + פרויקטים + סדר עדיפויות ברור.

6. ולידציה/בדיקת סגירה (אופציונלי אבל מומלץ): לוודא שהפערים נסגרו בפועל.

מה התוצרים

• דוח ממצאים מסודר (עם הסבר, הוכחות/אינדיקציות, ורמת חומרה).

• Roadmap לתיקון: פעולות מיידיות, פעולות לטווח קצר, וצעדים אסטרטגיים.

• שיפור מדיד: מה השתנה ומה נשאר פתוח, כדי שהסקר לא יישאר “מסמך במגירה”.

• בסיס ל־Evidence מול ביקורות/לקוחות (כשנדרש).

6 שאלות ראשונות לסריקה ראשונית (לפני שנכנסים לעומק)

1. האם יש Inventory עדכני של נכסים (שרתים, שירותי ענן, אפליקציות)?

2. האם יש הפרדה בין סביבות (Prod/Test/Dev) והרשאות בהתאם?

3. האם MFA מופעל לכל גישה קריטית (כולל אדמינים)?

4. האם נאספים לוגים קריטיים ויש Retention ראוי?

5. האם הגיבויים מבודדים ונבדקים בשחזור?

6. האם יש ניהול חולשות + תיעדוף תיקון?

איך זה משתלב עם בדיקות חדירה ורגולציה

סקר הקשחות “סוגר חורים” ברמת ההגדרות והבקרות, בעוד שבדיקות חדירה בוחנות איך תוקף יכול לנצל חולשות בפועל.
השילוב ביניהם מייצר תמונה מלאה:
גם מה לא מוגדר נכון, וגם מה באמת ניתן לניצול.

בנוסף, סקר הקשחות טוב עוזר לתמוך בדרישות ציות וביקורות—כי הוא מייצר סדר, תיעוד ותכנית עבודה.

רוצים להפוך את ההקשחה לתכנית עבודה ישימה?

אם אתם צריכים סקר הקשחות לתשתיות, לענן, לשרתים ועמדות קצה, ובמקביל Application Security Assessment לאפליקציות קריטיות,
אפשר לבנות היקף מדורג שמתחיל ב”מה הכי מסוכן עכשיו” ומתקדם לשיפור עקבי.
בואו נדבר ונגדיר יחד היקף, תעדוף ותוצרים שיתאימו לגודל הארגון ולסיכונים בפועל.