דלג לתוכן

// שירות · אבטחת מידע

אבטחת
מידע

השאלה היא לא אם תותקפו. השאלה היא מתי — וכמה תהיו מוכנים.

חברות חושבות שאבטחה זה משהו ל"גדולים". טעות. רוב המתקפות היום אוטומטיות — בוטים שסורקים את האינטרנט ומחפשים פגיעויות. הם לא יודעים אם אתם סטארטאפ של חמישה אנשים או חברה ציבורית. הם רואים פגיעות — הם נכנסים.

באג זה מעצבן. דליפת מידע זה אסון. לקוחות שעוזבים, קנסות של רגולטור, פגיעה במוניטין שלוקח שנים לשקם. אנחנו עושים אבטחה אמיתית — מתחילת הקוד ועד הניטור השוטף. לא ויידג'ט. לא תעודה. הקשחה בכל רמה.

תראו לי איך אנחנו עובדים

// 01 · מה אנחנו עושים

מה אנחנו עושים

אבטחה בכל שכבה — מהקוד, דרך ה-APIs וה-Cloud, ועד הניטור והעמידה בתקנים. כי תוקף לא בוחר איפה לנסות. הוא מנסה הכל.

  • 01

    בדיקות חדירה (Penetration Testing)

    מנסים לפרוץ למערכות שלכם לפני שמישהו אחר עושה את זה. מקצועי, מתודי, עם דוח מפורט.

  • 02

    סקירת קוד אבטחתית

    עוברים על הקוד בעין של תוקף. SQL Injection, XSS, CSRF, פגיעויות לוגיות, סיסמאות בקוד.

  • 03

    OWASP Top 10

    הגנה מפני 10 הפגיעויות הנפוצות באפליקציות Web. הבסיס שבלעדיו אתם פתוחים לכל מי שגוגל "איך לפרוץ".

  • 04

    אבטחת API

    APIs הם היום הפתח הכי גדול לתקיפה. Authentication, Rate Limiting, Input Validation, Authorization.

  • 05

    אבטחת ענן

    AWS, GCP, Azure — יש להם כלי אבטחה חזקים, אבל הגדרות ברירת מחדל הן לא בטוחות. אנחנו מקשיחים את כל המערך.

  • 06

    ניהול סודות

    סיסמאות, מפתחות API, סודות מסד נתונים — הם לא צריכים להיות בקוד. אנחנו מטמיעים Secrets Management נכון.

  • 07

    MFA וזיהוי משתמשים

    אימות דו-שלבי, Passkeys, SSO. כדי שגם אם סיסמה דלפה, החשבון נשאר מוגן.

  • 08

    הצפנה

    בתעבורה (TLS) ובאחסון (AES-256). לא רק "יש לי SSL". הצפנה אמיתית איפה שצריך.

  • 09

    ניטור ותגובה

    לוגים מרכזיים, התראות על פעילות חשודה. אם משהו קורה — אנחנו יודעים מיד.

  • 10

    עמידה בתקנים

    GDPR, חוק הגנת הפרטיות הישראלי, ISO 27001, SOC 2, HIPAA. אנחנו מלווים את העמידה בדרישות.

// 02 · מה אנחנו רואים בשטח

מה אנחנו רואים בשטח

מהפרויקטים שאנחנו בודקים. הדברים האלה — הם 90% מהסיבות לפריצות. אנחנו מטפלים בהם.

  • 01

    OWASP

    פגיעים לפחות ברמה אחת

    רוב האתרים פגיעים ל-OWASP Top 10 ברמה כלשהי. SQL Injection, XSS, Broken Auth — עדיין בכל מקום.

  • 02

    MFA

    מערכות פנים-ארגוניות בלי

    לא מעט מערכות פנים-ארגוניות עדיין בלי אימות דו-שלבי. סיסמה אחת מדלפת — הכל פתוח.

  • 03

    API

    פתוחים לחלוטין

    APIs פתוחים לחלוטין — בלי Rate Limiting, בלי בדיקת הרשאות, בלי לוג. תוקף יכול להוציא הכל בלי שתדעו.

  • 04

    AWS

    הגדרות ברירת מחדל מסוכנות

    חשבונות AWS עם הגדרות ברירת מחדל שמעניקות גישה רחבה מהנדרש. S3 Buckets פתוחים, IAM שלא מצומצם.

  • 05

    GIT

    סיסמאות בקוד ציבורי

    סיסמאות, טוקנים ומפתחות API ב-GitHub. עדיין רואים את זה ב-2026.

// 03 · הטכנולוגיות שלנו

הטכנולוגיות שלנו

סטאק שלם של כלי SAST ו-DAST, ניהול סודות, אימות, ניטור אבטחה והגנה ברמת ה-WAF. הכלים הנכונים לכל שכבה.

  • SAST
    • Snyk
    • SonarQube
    • Semgrep
  • DAST
    • OWASP ZAP
    • Burp Suite
  • Secrets Management
    • HashiCorp Vault
    • AWS Secrets Manager
    • Doppler
  • Authentication
    • Auth0
    • Clerk
    • Supabase Auth
    • OAuth / OIDC
  • Cloud Security
    • AWS Security Hub
    • GCP SCC
    • Wiz
  • Monitoring
    • Datadog Security
    • Sentry
    • ELK Stack
  • WAF
    • Cloudflare
    • AWS WAF
  • Vulnerability Scanning
    • Nuclei
    • Nessus

// 04 · איך אנחנו עובדים

איך אנחנו עובדים

  1. 01שלב 1

    סקירה ראשונית

    מקיפים את הקוד, התשתית וההגדרות. מאתרים את הפגיעויות הקריטיות.

  2. 02שלב 2

    דוח עם תעדוף

    כל בעיה מסווגת לפי חומרה: Critical, High, Medium, Low. לא רשימה של 200 דברים בלי הקשר.

  3. 03שלב 3

    תיקון לפי דחיפות

    Critical מטופלים מיד. השאר — לפי תוכנית. לא מתקנים הכל בבת אחת אם זה משבית עבודה.

  4. 04שלב 4

    חיזוק בקוד

    תיקון בקוד עצמו. הוספת בדיקות אוטומטיות שמונעות הכנסה של פגיעויות חדשות.

  5. 05שלב 5

    בדיקת חדירה חוזרת

    אחרי התיקונים — מנסים שוב לפרוץ. כדי לוודא שהתיקונים באמת עובדים.

  6. 06שלב 6

    תיעוד והכשרה

    המפתחים שלכם מקבלים הכשרה. כי האבטחה הכי טובה זה צוות שכותב קוד מאובטח מההתחלה.

  7. 07שלב 7

    ניטור שוטף

    מערכת ניטור שמתריעה על פעילות חשודה. אנחנו לא נעלמים אחרי שהדוח נמסר.

// 05 · למי זה מתאים

למי זה מתאים

  • 01

    חברות SaaS

    שמחזיקות דאטה של לקוחות. דליפה זאת קטסטרופה.

  • 02

    פיננסיים, רפואה, ענפים מפוקחים

    כל מי שעובד תחת דרישות חוקיות וצריך לעמוד ברגולציה.

  • 03

    סטארטאפים לפני סבב גיוס

    משקיעים בודקים אבטחה. דוח טוב מסיר ספקות.

  • 04

    חברות בתהליך SOC 2 / ISO 27001

    אנחנו מלווים את התהליך — מהאפיון של המדיניות ועד הביקורת.

  • 05

    מי שקיבל דוח Pentest מלקוח

    וצריך לתקן את הממצאים מהר ובמקצועיות.

  • 06

    כל מי שמחזיק מידע אישי

    לפי חוק הגנת הפרטיות הישראלי, יש חובות גם לחברות קטנות.

// 06 · למה אנחנו

למה אנחנו

  • 01

    חשיבה של תוקף

    אנחנו לא רק קוראים קוד — אנחנו מנסים לפרוץ אותו. זאת חשיבה אחרת.

  • 02

    אנחנו גם מתקנים

    רוב חברות הסייבר נותנות דוח ועוזבות. אנחנו גם נותנים דוח וגם מתקנים, כי אנחנו חברת פיתוח.

  • 03

    עוקבים אחר האיומים העדכניים

    פגיעויות חדשות יוצאות מדי שבוע. אנחנו עוקבים, ומיידעים אם משהו רלוונטי לכם.

  • 04

    זמינות בכל שעה

    אירוע אבטחה ב-3 בבוקר? אנחנו זמינים. כי מתקפות לא קורות בשעות העבודה.

// 07 · שאלות נפוצות

שאלות נפוצות

  • 01.אנחנו סטארטאפ קטן. למה שמישהו יתקוף אותנו?

    המתקפות היום ברובן אוטומטיות. בוטים סורקים את האינטרנט אחרי פגיעויות, לא אחרי יעדים. הם לא בוחרים מי — הם בוחרים איך. אם המערכת פגיעה — יבואו.

  • 02.מה ההבדל בין בדיקת חדירה לסקירת קוד?

    Pentest זאת תקיפה אמיתית מבחוץ — בלי גישה לקוד. סקירת קוד היא קריאה מעמיקה של הקוד למציאת פגיעויות. השניים משלימים: Pentest מוצא מה שתוקף יראה, סקירת קוד מוצאת בעיות עמוקות שלא יזהו מבחוץ.

  • 03.כמה עולה בדיקת חדירה?

    תלוי בהיקף. אתר תדמית — 8-20 אלף ₪. מערכת SaaS — 25-80 אלף ₪. ארכיטקטורה מורכבת עם הרבה APIs — 50-200 אלף ₪.

  • 04.כמה זמן לוקחת בדיקת חדירה?

    בדרך כלל 1-4 שבועות. בודקים, מתקנים, בודקים שוב.

  • 05.מה לגבי ISO 27001 / SOC 2?

    אלה תקנים שמשקיעים ולקוחות גדולים דורשים. אנחנו מלווים את תהליך ההסמכה — מהאפיון של המדיניות ועד הביקורת. תהליך של 6-12 חודשים בדרך כלל.

  • 06.אנחנו על AWS. צריך לבדוק הגדרות?

    בהחלט. ברירת המחדל של AWS היא לא מאובטחת. הקשחת הגדרות (S3 Buckets, IAM Policies, Security Groups) חיונית.

  • 07.מה זה OWASP Top 10?

    רשימה של 10 הפגיעויות הנפוצות והמסוכנות באפליקציות Web. SQL Injection, XSS, Broken Authentication, ועוד. בלי הגנה מאלה — אתם חשופים.

  • 08.מה לעשות אם פרצו אלינו?

    לא להיכנס לפאניקה. צרו איתנו קשר מיד. אנחנו עוזרים: זיהוי הפריצה, סגירת הפרצה, הערכת נזק, יידוע רגולטור אם צריך, ושיקום.

  • 09.אנחנו מחזיקים מידע אישי — מה החוק הישראלי דורש?

    חוק הגנת הפרטיות והתקנות שלו דורשים רישום מאגר, יישום אמצעי אבטחה לפי רמת הסיכון, ודיווח על אירועים חמורים. אנחנו מלווים את העמידה.

  • 10.יש סיכוני אבטחה ספציפיים ל-AI?

    כן, וזה תחום שגדל. Prompt Injection, דליפת מידע דרך AI, שילובי AI לא מאובטחים, חשיפת prompts מערכת. אנחנו מבינים את האיומים החדשים.

  • 11.ניתן להוסיף אבטחה לפרויקט קיים, או צריך לבנות מחדש?

    ברוב המקרים מוסיפים על הקיים. בנייה מחדש נדרשת רק אם המערכת בנויה בצורה שלא מאפשרת אבטחה.

  • 12.אתם עושים גם הגנה מ-DDoS?

    כן. דרך Cloudflare, AWS Shield, או כלים אחרים — תלוי בארכיטקטורה.

  • 13.Bug Bounty — אתם מטפלים בזה?

    כן. הקמת תוכנית Bug Bounty (דרך HackerOne, Bugcrowd, או פנימית), טיפול בדיווחים, ותיקון הפגיעויות.

עודכן לאחרונה:

המשך הקריאה

// 08 · בואו נדבר

המערכת שלכם מאובטחת?

סקירת אבטחה ראשונית, בלי התחייבות. נבדוק איפה אתם עומדים, מה הסיכונים הקריטיים, ומה צריך לתקן קודם.

ישר. לעניין. בזמן.