Widget HTML Atas

PT. RONAR INDONESIA

Pentest v VulnScan

Pengujian Penetrasi vs Pemindaian Kerentanan

Bisnis sering menganggap pemindaian kerentanan sebagai alternatif untuk pengujian penetrasi. Persepsi ini salah. Sebuah organisasi yang sadar akan keamanan siber harus memasukkan kedua aktivitas ini dalam proses bisnis mereka dan memastikan bahwa mereka bekerja bersama-sama. Kehilangan salah satu dari mereka sangat mengurangi postur keamanan, baik untuk keamanan aplikasi web dan keamanan jaringan. Tes penetrasi dan pemindaian kerentanan juga dirasakan secara terpisah sebagai persyaratan kepatuhan (misalnya, untuk kepatuhan PCI DSS atau HIPAA).

Apa itu Pengujian Penetrasi?

Selama tes penetrasi, seorang profesional tepercaya meniru aktivitas peretas topi hitam dunia nyata dan upaya untuk menyusup ke aset bisnis. Profesional tepercaya ini, yang disebut pentester, dapat menjadi karyawan bisnis atau perusahaan eksternal. Jika uji penetrasi menghasilkan pelanggaran keamanan, profesional keamanan memberikan laporan penilaian kerentanan terperinci dan laporan pengujian penetrasi sehingga bisnis dapat menghilangkan kerentanan yang menyebabkan pelanggaran.

Untuk banyak alasan, bisnis sering memilih untuk melakukan outsourcing tes penetrasi. Pertama-tama, entitas eksternal memiliki persepsi yang lebih objektif tentang sistem yang diuji. Kedua, tidak banyak bisnis dapat menemukan profesional keamanan yang berspesialisasi dalam pengujian pena, mempekerjakan mereka penuh waktu, dan memberi mereka pekerjaan yang cukup secara teratur. Ketiga, bisnis yang menyediakan layanan keamanan komprehensif termasuk penilaian kerentanan dan layanan pengujian penetrasi memiliki lebih banyak pengalaman dan basis pakar yang jauh lebih besar.

Penguji penetrasi tidak dapat mengotomatiskan pekerjaan mereka. Mereka menggunakan beberapa alat keamanan seperti penilaian kerentanan manual dan alat pengujian penetrasi untuk melakukan serangan (misalnya, Metasploit). Mereka juga dapat menggunakan teknik seperti rekayasa sosial (termasuk phishing) untuk mengevaluasi postur keamanan staf perusahaan.

Tes penetrasi kadang-kadang dianggap lebih menyeluruh daripada pemindaian kerentanan tetapi pada kenyataannya, tes tersebut mencakup ruang lingkup kerentanan yang berbeda. Pengujian pena berfokus pada hal itu, yang tidak dapat ditemukan secara otomatis, misalnya, pada kerentanan logika bisnis dan kerentanan baru (zero-day). Anda tidak dapat berharap bahwa pemindaian kerentanan akan menjadi bagian dari tes penetrasi.

Hadiah sebagai Alternatif Pengujian Penetrasi

Beberapa perusahaan percaya bahwa karunia adalah alternatif yang baik untuk pengujian keamanan reguler. Bounties mendorong peretas white-hat freelance untuk mencoba melanggar sistem Anda sehingga mereka diberikan hadiah untuk upaya yang berhasil. Namun, Anda tidak dapat menjamin bahwa peretas topi putih yang berbakat akan tahu tentang hadiah Anda atau memilih untuk mengejarnya, karena itu hadiah tidak dapat diprediksi.

Karunia bukan merupakan alternatif yang layak untuk pengujian penetrasi tetapi mereka merupakan tambahan yang berharga. Bisnis yang sadar akan keamanan harus memiliki kebijakan pengungkapan publik dengan hadiah yang sesuai. Namun, tes penetrasi reguler juga harus dilakukan.

Apa itu Pemindaian Kerentanan?

Pemindaian kerentanan adalah aktivitas yang dilakukan oleh alat otomatis dengan bantuan manusia minimum. Secara desain, pemindaian kerentanan harus dilakukan sesuai jadwal dan secara otomatis sebagai bagian dari siklus pengembangan perangkat lunak. Pemindaian keamanan semacam itu dirancang untuk menemukan masalah yang diketahui meskipun cakupan pengujian kerentanan sangat tergantung pada alat pemindaian kerentanan yang dipilih.

Pemindai kerentanan menemukan struktur aset yang dipindai (beberapa alat profesional bahkan menemukan aset yang ada) dan kemudian mencoba serangkaian tes otomatis pada setiap elemen struktur itu. Alat sederhana hanya menggunakan pemindaian berbasis tanda tangan tetapi alat yang lebih canggih mencoba serangan yang serupa dengan yang dilakukan selama pengujian penetrasi. Pemindaian kerentanan seperti itu sering disebut sebagai pengujian penetrasi otomatis.

Alat profesional juga mencakup penilaian kerentanan dan fungsionalitas manajemen kerentanan. Dengan alat-alat seperti itu, Anda dapat memutuskan, kerentanan mana yang perlu ditangani terlebih dahulu dan Anda juga dapat memantau proses remediasi. Dengan cara ini, Anda dapat yakin bahwa risiko keamanan utama dihilangkan dengan cepat dan efektif.

Seberapa Seringkah Melakukan Penilaian Keamanan?

Setelah bisnis mengimplementasikan solusi pemindaian kerentanan, tidak ada batasan seberapa sering pemindaian tersebut dapat dilakukan. Satu-satunya kekhawatiran adalah bahwa pemindaian seperti itu mungkin padat sumber daya dan oleh karena itu bisnis sering memilih untuk melakukannya selama di luar jam kerja. Solusi pemindaian kerentanan profesional juga dibuat untuk diintegrasikan ke dalam siklus hidup pengembangan perangkat lunak dan oleh karena itu pengujian tersebut dapat dilakukan setelah setiap perubahan kode sumber menggunakan solusi integrasi berkelanjutan.

Di sisi lain, tes penetrasi sangat memakan waktu, mahal, dan sumber daya intensif. Itu sebabnya mereka biasanya dilakukan sekali setiap beberapa bulan atau dalam setahun.


Foto Freepix
https://www.acunetix .com/blog/web-security-zone/penetration-testing-vs-vulnerability-scanning/

PT. RONAR INDONESIA