למה Penetration Testing חשוב יותר מאי פעם, ב-2026
ב-2021 חברת Israeli healthtech גילתה שמשתמש רגיל יכול לגשת לתוצאות בדיקות דם של כל אחד אחר על ידי שינוי מספר אחד ב-URL. הסריקה האוטומטית לא מצאה את זה. Pentester שחשב כמו תוקף, כן. זו בדיוק הנקודה: כלים אוטומטיים מוצאים מה שהם מתוכנתים לחפש. בני אדם מוצאים את מה שהמתכנן לא חשב עליו.
Anthropic עצמה הכירה בחשיבות הנושא: ב-אפריל 2026 פתחה את Project Glasswing, שבו Claude Mythos Preview משמש לביצוע pentest מורשה על מערכות קריטיות. ישראל היא שחקנית מרכזית בעולם: 32% מ-150 החברות הסייבר החדשניות בעולם הן ישראליות, ותמימות הגיוס לתפקידי אבטחה בסטארטאפים בת"א מחייבת הבנה בסיסית של מתודולוגיה. שיעור זה לא מלמד לתקוף, מלמד לחשוב כמו תוקף כדי להגן טוב יותר.
אזהרה חוקית: Penetration Testing ללא הרשאה מפורשת בכתב הוא עברה פלילית בישראל (חוק המחשבים, 1995) ובכל מדינה בעולם. השיעור הזה עוסק אך ורק בגישה הגנתית, כיצד להבין, להזמין, לקרוא ולפעול על בסיס pentest report.
מתודולוגיה, PTES ו-OWASP WSTG
שני הסטנדרטים הנפוצים ביותר:
- PTES (Penetration Testing Execution Standard): 7 שלבים, Pre-engagement, Intelligence Gathering, Threat Modeling, Vulnerability Analysis, Exploitation, Post-Exploitation, Reporting. בעיני המגן, כל שלב הוא הזדמנות לסגור חלון לפני שהתוקף ינצל אותו.
- OWASP WSTG (Web Security Testing Guide): מדריך בדיקה ידנית מקיף לאפליקציות web, עם קטגוריות ספציפיות: Authentication (AUTHN), Authorization (AUTHZ), Input Validation (INPVAL), Session Management, ועוד. ה-OWASP Top 10:2025 עדכן את הדירוג, Supply Chain Failures עלה לראש הרשימה.
ההבדל בין סוגי הבדיקה:
| סוג | מה הבודק יודע | מתי מתאים |
|---|---|---|
| Black Box | כלום, כמו תוקף חיצוני | בדיקת exposure חיצוני, לפני launch |
| Gray Box | מידע חלקי (user account, API docs) | הכי נפוץ ב-web apps |
| White Box | גישה מלאה לקוד ולארכיטקטורה | code audit, compliance, לפני M&A |
Claude כ-Study Partner וכ-Report Analyst
מחקר השוואתי שפורסם ב-2025 (arXiv 2501.06963) מצא ש-Claude Opus ביצע consistently better מ-GPT-4 ו-Copilot בכל שלבי PTES בסביבה מבוקרת, במיוחד בשלבי הניתוח, הדיווח והמסלול לתיקון. Claude לא יוצר exploit code למערכות לא מורשות, אבל הוא כלי חזק ביותר לשלושה תרחישים:
- ניתוח pentest report: הדבקת ממצאים, קבלת triage לפי חומרה, business impact ו-remediation plan
- בניית checklist בדיקה: לפי OWASP WSTG לפי ה-tech stack שלך
- Root Cause Analysis: זיהוי pattern ארכיטקטוני משותף ל-10 ממצאים שנראים שונים
דוגמה לפרומפט יעיל לניתוח report:
ממצאים נפוצים ואיך לתקן, הדוגמה הישראלית
סטארטאפ SaaS ישראלי בת"א עם 50 עובדים. הם שכרו pentest לפני Series A. ה-pentester מצא IDOR (Insecure Direct Object Reference) על endpoint אחד: כל משתמש מחובר יכול לגשת לנתוני חשבון של כל לקוח אחר על ידי שינוי ה-account_id ב-URL. ה-impact: חשיפת כל נתוני הלקוחות, GDPR violation, ואיום ישיר על ה-due diligence של ה-Series A.
הפרומפט שנתנו ל-Claude:
ממצא מpentest report: IDOR על /api/v1/accounts/{account_id}/data
משתמש מחובר יכול לגשת לחשבון של כל לקוח אחר.
ספק: remediation לNode.js/Express, acceptance criteria, ו-unit tests.Claude החזיר authorization middleware, 3 unit tests (A מנסה לגשת ל-B, 403, A ניגש לשלו, 200, admin ניגש לכל, 200), ופוינטר לבדיקת IDOR בכל endpoints האחרים.
טעויות נפוצות, ומה לעשות במקום
- בדיקה ישירה על production: אפילו על מערכת שלך, סריקות load יכולות להפיל שירותים. תמיד staging, תמיד הרשאה בכתב. Pentera (פתח תקווה) בנתה platform שמאפשר בדיקה רציפה בסביבה מבוקרת.
- הסתמכות רק על automated scanning: כלים אוטומטיים כמו Nessus, Burp Suite מוצאים פגיעויות ידועות. Business logic flaws, כמו האפשרות להעביר כסף שלילי בין חשבונות, דורשים חשיבה אנושית. ב-2025, Claude Opus הפגין יכולת לזהות logic flaws שכלים אוטומטיים החמיצו.
- Report ללא remediation plan: pentest report שמפרט בעיות בלי פריוריטיזציה ותוכנית פעולה הוא חצי עבודה. בקש מהpentester, ומ-Claude, quick wins (48 שעות), sprint items (שבועיים), ו-architectural changes (רבעון).
Responsible Disclosure, הכללים שמגנים עליך
מצאת פגיעות במוצר של חברה אחרת? הנוהל המקובל:
- תיעוד מלא: צילומי מסך, בקשות HTTP, תנאי שחזור
- יצירת קשר פרטית: דרך security@company.com או security.txt
- 90 ימים לתיקון: זהו הסטנדרט של Project Zero של Google ושל CVD (Coordinated Vulnerability Disclosure)
- פרסום אחרי תיקון: או אחרי 90 יום גם אם לא תוקן, עם הגנה משפטית מקדימה
בישראל: Bug Bounty programs של חברות ישראליות כמו Wix, Monday.com, Fiverr מאפשרות לחקור ולדווח בצורה מוגנת.
טיפ מתקדם, Root Cause Analysis עם Claude
בעת קבלת pentest report, בקש מ-Claude לבצע root cause analysis: "הנה 5 ממצאים מ-pentest report שלנו. עבור כל אחד, זהה את ה-root cause הארכיטקטוני, לא רק התיקון הספציפי. האם יש pattern משותף? מה השינוי הארכיטקטוני שיסגור את כל הממצאים בבת אחת?" לעיתים קרובות 10 ממצאים שנראים שונים הם סימפטומים של בעיה ארכיטקטונית אחת, כמו היעדר authorization middleware גלובלי.
מקורות: OWASP WSTG | PTES | Anthropic Cyber Safeguards | Project Glasswing
