Layanan Asesmen Penetration Testing

PT. NetSolution menyediakan layanan  Penetration Testing (pentest)  atau Vulnerability Assessment  bagi organisasi atau perusahaan yang membutuhkan.  Layanan ini memiliki tujuan untuk melakukan pengujian serta menilai kerentanan yang ada pada suatu sistem keamanan aplikasi atau infrastruktur TI  sehingga dapat mendeteksi dan mengidentifikasi  serta mencegah terjadinya hal-hal yang tidak diinginkan seperti: pencurian data, kerusakan data, penyanderaan data, kehilangan data, dsb.  Adanya pentest ini dapat memberikan rasa aman bagi user atau stakeholder di suatu organisasi/perusahaan terkait penerapan pengelolaan keamanan informasinya.

Keamanan siber menjadi bagian dari upaya yang perlu selalu ditingkatkan jika suatu organisasi atau perusahaan memiliki bisnis yang disupport oleh teknologi informasi. Serangan siber kini sudah menjadi ancaman terbesar bagi setiap organisasi yang ada di seluruh dunia. Sayangnya masih banyak perusahaan yang tidak mempedulikan keamanan sistem informasi. Jelas hal ini membuat perusahaan tersebut menjadi sangat rentan untuk diretas.

Apa itu Penetration Testing?

Penetration testing merupakan istilah untuk pengujian terhadap kehandalan suatu sistem keamanan software, sistem informasi, atau infrastruktur jaringan dan hasilnya kemudian di dokumentasikan. Bila ditemukan adanya kelemahan pada suatu sistem maka dengan segera akan dilakukan patch/penambalan sehingga keamanan sistem akan menjadi lebih kuat. Pentest dilakukan secara legal dan dilindungi oleh payung hukum, dimana terjadi kontrak antara auditor/pentester dengan perusahaan atau organisasi yang ingin melakukan asesmen keamanan informasi terhadap sistem yang dimilikinya.

Pentest akan mengidentifikasi adanya kelemahan keamanan dalam sistem informasi. Apabila kelemahan tersebut dapat diidentifikasi semenjak dini dan dapat dibuktikan berikut dengan analisis resikonya, maka kita setidaknya memiliki kemampuan dan waktu untuk memperbaikinya sebelum adanya serangan yang tidak bertanggung jawab mengambil keuntungan dari kelemahan tersebut. Sistem keamanan yang baik dam kuat akan melindungi data-data sensitif sehingga organisasi dapat terhindar dari hal-hal yang tidak diinginkan.

Mengapa Kita harus Melakukan Pentest?

Dengan adanya pentest maka kita akan mendapatkan gambaran mengenai seberapa kuat pengamanan terhadap  website, aplikasi atau infratruktur jaringan dalam menghadapi kejahatan cyber dan berbagai ancaman lainnya.  Keamanan siber telah menajdi salah satu keupayaan yang harus dan selulau ditingkatkan setiap saat khususnya apabila kita memiliki bisnis yang beroperasi dengan dukungan teknologi informasi. Pada saat ini serangan siber sudah menjadi ancaman terbesar di seluruh dunia. Sebuah kajian yang dilakukan oleh University of Maryland menemukan bahwa serangan dalam bentuk hacking yang berhasil rata-rata terjadi setiap 39 detik diseluruh dunia.

Layanan Pentest Apa Saja?

Kami memberikan layanan penetration testing atau vulnerability assessment  hampir di seluruh area sistem informasi / teknologi informasi, antara lain:

  1. Aplikasi atau software.
  2. Infrastruktur jaringan komputer.
  3. Sistem internal atau service yang ada dalam jaringan.
  4. Seluruh layanan yang menggunakan jaringan internet (website, infrastruktur email, dsb).

Metode Pentest yang Digunakan

Dalam melaksanakan aktivitas asesmen penetration testing kami melakukan pengujian dengan menggunakan tiga metode pendekatan:

  1. Blackbox testing, merupakan asesmen pentest tanpa mengetahui apapun mengenai sistem yang diuji kecuali domain aplikasi atau alamat ip address-nya.
  2. Whitebox testing, merupakan asesmen pentest dengan mengetahui informasi mengenai sistem dan logic yang ada pada sistem, dimana kami akan mempelajari logic dari pemrograman aplikasi anda (Code review) untuk kemudian dieksplorasi sampai ditemukannya kelemahan.
  3. Greybox testing, merupakan metode kombinasi dari Blackbox dan Whitebox testing dalam menguji software berdasarkan spesifikasi tetapi menggunakan cara kerja dari dalam.

Ruang Lingkup Audit/Asesmen Pentest

Level 1: General Vulnerability Scanning

Di tahapan ini informasi dikumpulkan sebanyak-banyaknya, kemudian mengidentifikasi semua kelemahan yang mungkin ada dan memverifikasi kelemahan/vulnerability tsb . Pada tahapan ini kami akan menginformasikan  kelemahan yang dianggap penting yang ditemukan dalam pelaksanaan assesment namun tidak sampai pada aktivitas penetrasi. Level ini dangat cocok untuk customer yang memiliki kebutuhan hanya untuk melakukan cek keamanan secara umum dan bersifat rutin.

Audit level 1 memiliki tahapan pengerjaansebagaimana berikut dibawah ini:

  1. Footprinting, mencari informasi sebanyak mungkin tentang target
  2. Port scanning
  3. Identifikasi dan enumerasi service
  4. Vulnerability scanning
  5. Laporan komprehensif mengenai detail yang diperoleh dari tahapan-tahapan tersebut

Level 2: Penetration Testing

Audit ini meliputi seluruh tahapan yang ada di level 1 ditambah beberapa proses lagi. Dari hasil yang didapat dari audit level 1, kami akan melakukan penetrasi untuk membuktikan bahwa kelemahan tersebut valid dan kami berikan PoC (Proof of Concept). Keuntungan dari audit level 2 adalah klien akan mendapatkan informasi keamanan yang lebih rinci dan realistis.

Audit level 2 memiliki ruang lingkup sebagaimana berikut :

  1. Footprinting, mencari informasi sebanyak mungkin tentang target
  2. Port scanning
  3. Identifikasi dan enumerasi service
  4. Vulnerability scanning
  5. Penetration Testing
    • Vulnerability exploitation
    • CVSS Scoring (kalkulasi tingkat resiko yang dihasilkan dari kelemahan yang didapat)
  6. Laporan komprehensif mengenai detail yang diperoleh dari tahapan-tahapan tersebut

Level 3: Full Penetration Testing

Audit ini mengcover seluruh tahapan yang ada di level 2 ditambah beberapa proses lagi pada bagian penetration testing. Dari hasil yang diperoleh dari audit level 2, maka dilaksanakan aktivitas eksploitasi lebih lanjut. Keuntungan dari audit level 3 adalah audit ini dapat membantu memvalidasi security policy perusahaan anda.

Audit level 2 memiliki ruang lingkup sebagaimana berikut :

  1. Footprinting, mencari informasi sebanyak mungkin tentang target
  2. Port scanning
  3. Identifikasi dan enumerasi service
  4. Vulnerability scanning
  5. Penetration Testing
    • Vulnerability exploitation
    • Brute forcing
    • Password cracking
    • Privilege escalation
    • Gaining root
    • CVSS Scoring
  6. Laporan komprehensif mengenai detail yang diperoleh dari tahapan-tahapan tersebut.

Kontak Kami

Untuk informasi lebih lanjut mengenai layanan penetration testing atau vulnerability asesmen silahkan kontak Tim Sales Kami di nomer Telp. 021-47884169 atau 08129632130 (WA/Telegram) selama hari kerja : Senin s/d Jumat dan Jam Operasional : 09.00-16.00 WIB.