Pengujian penetrasi untuk keamanan perusahaan mengoperasionalkan fungsi pengujian keamanan untuk program keamanan ofensif organisasi.
Memusatkan pengujian penetrasi ke dalam fungsi inti perusahaan dapat memberikan ROI yang signifikan; namun, ini juga memerlukan tingkat pertimbangan baru, yang jika diterapkan dengan benar, dapat meningkatkan hasil keamanan secara keseluruhan secara signifikan.
Tuntutan untuk Pentesting dalam Perusahaan
Seperti pentesting point-in-time yang digerakkan oleh kepatuhan, perusahaan melakukan uji penetrasi secara teratur untuk menemukan dan mengatasi masalah keamanan sebelum peretas mengeksploitasinya. Pengujian proaktif ini membantu memenuhi persyaratan kepatuhan mereka dan meluncurkan proyek tepat waktu.
Jika dibandingkan dengan bagaimana organisasi lain melakukan pentesting, perbedaan utama untuk perusahaan adalah permintaan yang harus dipenuhi oleh organisasi ini. Di seluruh perusahaan, ada beberapa pemangku kepentingan internal yang memiliki persyaratan pentesting untuk dipenuhi. Di luar CISO, tim pentesting pusat memberikan pentests untuk pemilik produk, GRC (tata kelola, risiko, dan kepatuhan), DevSecOps, dan banyak lagi. Di beberapa departemen pusat ini, ratusan dan ribuan tes penetrasi diminta setiap tahun. Hal ini menyebabkan backlog pentesting yang dapat menyebabkan risiko keamanan dan kepatuhan yang tidak diinginkan karena kurangnya sumber daya.
Dengan pemikiran tersebut, penting untuk memahami metode terbaik untuk melakukan layanan pengujian penetrasi untuk perusahaan yang memerlukan pendekatan khusus dan unik. Dibandingkan dengan organisasi lain, perusahaan menghadapi tantangan yang membutuhkan waktu, sumber daya, dan mitra tepercaya untuk membantu menyelesaikannya — dan tidak semua penyedia pengujian penetrasi sama.
Pendekatan Pengujian Penetrasi Perusahaan
Di dalam perusahaan, staf keamanan yang terlatih dapat melakukan tes keamanan sendiri, atau perusahaan keamanan luar dapat melakukannya. Organisasi di tingkat perusahaan mungkin memiliki pakar internal yang mampu melakukan uji keamanan ofensif; namun, pengujian internal mungkin tidak menyeluruh atau tidak bias seperti penguji pihak ketiga.
Persyaratan kepatuhan juga menjadi pertimbangan di sini; sebagian besar persyaratan memerlukan penyedia pengujian penetrasi pihak ketiga yang independen. Namun, melakukan penilaian internal untuk melengkapi pengujian penetrasi terjadwal adalah metode yang kuat untuk memperkuat kematangan keamanan.
Pengujian penetrasi perusahaan mencakup pendekatan terukur dan terencana dengan tim pusat khusus yang mengelola pengujian penetrasi massal. Staf TI dapat melakukan pengujian sendiri atau perusahaan keamanan luar dapat melakukannya. Organisasi di tingkat perusahaan mungkin memiliki pakar internal yang mampu melakukan uji keamanan ofensif; namun, pengujian internal mungkin tidak menyeluruh atau tidak bias seperti penguji pihak ketiga.
Kebutuhan Pengujian Penetrasi Full-Stack
Bergantung pada kebutuhan industri dan pemerintah mereka, perusahaan memiliki beberapa jenis tes penetrasi yang dapat dilakukan oleh pentester. Regulasi kepatuhan yang digerakkan oleh keamanan siber akan memengaruhi cakupan, fokus, dan sasaran setiap pengujian penetrasi.
Daftar khas pentesting tumpukan penuh yang perlu dilakukan organisasi perusahaan secara teratur meliputi yang berikut:
Tes Penetrasi Jaringan Eksternal mensimulasikan serangan pada jaringan TI eksternal organisasi. Dalam pengujian ini, penguji penetrasi menguji situs web eksternal, aplikasi web, server, dan infrastruktur jaringan yang terpapar ke internet. Tes Penetrasi Jaringan Internal mensimulasikan serangan terhadap sistem dan jaringan TI internal organisasi. Dalam pengujian ini, penetration tester melakukan pengujian terhadap infrastruktur jaringan internal, server, workstation, endpoint, dan aplikasi perangkat lunak internal. Uji Penetrasi API mensimulasikan serangan pada antarmuka terprogram (API) terapan organisasi. Dalam pengujian ini, penguji penetrasi menilai dan memindai kerentanan keamanan yang mengungkap data sensitif organisasi atau memberikan pijakan bagi penjahat dunia maya melalui API, yang dapat menyebabkan serangan rantai pasokan digital. Uji Penetrasi Aplikasi Web mensimulasikan serangan pada aplikasi web dan/atau situs web eksternal. Dalam pengujian ini, penguji penetrasi mencari kerentanan kritis, seperti skrip lintas situs (XSS), injeksi SQL, dan eksekusi kode jarak jauh, dengan tujuan mengidentifikasi kerentanan aplikasi web paling kritis yang memiliki kemungkinan paling tinggi untuk dieksploitasi. Uji Penetrasi Aplikasi Seluler menilai keamanan aplikasi seluler organisasi. Dalam pengujian ini, penguji penetrasi memindai kerentanan kritis, seperti masalah kepatuhan atau kerentanan umum yang sangat dieksploitasi, yang dapat ditemukan untuk diperbaiki. Uji Penetrasi Cloud menilai infrastruktur komputasi cloud organisasi. Dalam pengujian ini, penguji penetrasi mencari kerentanan cloud, kesalahan konfigurasi, mesin virtual yang tidak terpantau, dan data sensitif yang terekspos pada aset cloud publik.
Terakhir, pengujian rekayasa sosial dan simulasi phishing juga diperlukan, namun pelaksanaannya akan unik untuk setiap perusahaan. Jenis tes ini berupaya mengelabui karyawan agar mengungkapkan informasi sensitif atau melanggar protokol keamanan. Setiap perusahaan akan mengambil pendekatan yang berbeda untuk memenuhi berbagai persyaratan industri dan kepatuhan mereka untuk menguji kemanjuran pelatihan kesadaran keamanan mereka.
Peretas etis dapat menggunakan beberapa taktik dalam tes rekayasa sosial, termasuk:
Pengintaian menggunakan alat dan teknik OSINT, bersama dengan pemindaian web gelap untuk meretas aset milik perusahaan dengan kredensial pengguna yang dilanggar; Email phishing yang disimulasikan, teks SMS palsu, panggilan telepon palsu, atau video deepfake untuk mengelabui pengguna agar memberikan kredensial akses; dan, Taktik fisik, seperti meninggalkan stik USB berisi malware di tempat parkir perusahaan, untuk melihat apakah karyawan dapat diakali di dunia nyata oleh aktor ancaman.
4 Manfaat untuk Pengujian Pena Perusahaan sebagai Layanan
Penetration testing sangat berguna untuk mengevaluasi dan meningkatkan keamanan TI perusahaan, tetapi ada tantangan yang harus dikurangi dengan pendekatan baru untuk masalah lama.
Dengan evolusi pentesting yang baru, yang disebut Pen Testing as a Service (PTaaS), direktur perusahaan dan CISO dapat mengeksplorasi pengujian yang berskala untuk perusahaan. PTaaS memberi perusahaan kemampuan untuk mengaktifkan tim pentesting pusat dengan kemampuan signifikan untuk segera mengurangi risiko keamanan sambil meningkatkan hasil keamanan dari waktu ke waktu.
Empat manfaat yang dapat langsung diperoleh oleh setiap perusahaan yang beralih ke PTaaS adalah sebagai berikut:
1) Mitigasi Lebih Cepat dari Pelanggaran yang Dapat Dicegah
Salah satu manfaat yang paling jelas dari pengujian penetrasi rutin di tingkat perusahaan adalah mengurangi kemungkinan serangan siber yang menghancurkan dan pelanggaran keamanan yang menyebabkan kerusakan finansial dan reputasi yang mahal. Dengan melakukan pengujian penetrasi pada infrastruktur TI suatu perusahaan, tim keamanan dapat mengidentifikasi dan memulihkan kerentanan serta memperbaiki kelemahan keamanan dengan cepat, sehingga meningkatkan kesulitan penyusup dunia maya untuk berhasil mendapatkan pijakan di dalam jaringan Anda.
2) Visibilitas Komprehensif untuk Melihat Apa yang Dilihat Musuh
Laporan uji penetrasi perusahaan memberikan tampilan makro untuk ‘melihat’ dengan tepat area apa yang terkena permukaan serangan yang dapat dilihat dan dipindai oleh pelaku ancaman untuk mencari kerentanan. Pentest perusahaan juga memberikan tampilan titik waktu dari jalur serangan potensial yang dapat digunakan – dikategorikan dengan tag untuk dipetakan ke model ancaman, seperti MITRE ATT&CK, dan kerangka kerja, seperti NIST CSF. Pengujian penetrasi tingkat perusahaan menggabungkan keahlian keamanan ofensif, intelijen ancaman, analitik, kecerdasan buatan, dan artefak yang divalidasi manusia untuk menunjukkan bagaimana kerentanan dapat dieksploitasi di sepanjang rantai pembunuh dalam serangan nyata.
3) Kemampuan untuk Memenuhi Persyaratan Regulasi dan Kepatuhan
Pengujian penetrasi sering dilakukan untuk mematuhi undang-undang khusus industri dan peraturan pemerintah. Misalnya, organisasi yang mengambil keamanan kartu pembayaran harus secara rutin melakukan pengujian penetrasi eksternal dan internal untuk standar PCI DSS secara rutin; persyaratan ini akan meningkat saat PCI DSS 4.0 diperlukan pada tahun 2025. Daripada mencari laporan validasi kepatuhan khusus, pengujian penetrasi perusahaan mencakup pemindaian dan mengidentifikasi potensi celah dan masalah kepatuhan di lingkungan TI dalam pengujian penetrasi tercakup. Ini mempercepat kemampuan pemangku kepentingan internal untuk menunjukkan kepatuhan dengan laporan pentest bersertifikat untuk auditor.
4) Mendukung Remediasi dengan Guidance dan Risk Scoring Terintegrasi
Penguji penetrasi menghasilkan laporan tentang kerentanan keamanan yang ada di perusahaan, cara memperbaikinya, dan mana yang paling berbahaya. Dengan temuan uji pena, para pakar di Pusat Operasi Keamanan perusahaan dan tim DevSecOps dapat melakukan triase kerentanan yang ditemukan selama uji penetrasi dan menangani yang paling kritis terlebih dahulu. Aktivitas rutin dan alur kerja terintegrasi ini membantu perusahaan memitigasi risiko dunia maya menggunakan praktik terbaik DevSecOps untuk manajemen kerentanan berkelanjutan.
Sekilas tentang Pengujian Penetrasi Perusahaan
Pen Testing as a Service menggabungkan keunggulan inovasi AI, metodologi yang telah terbukti, dan pentesting yang dipimpin manusia sekarang dapat membantu skala program pengujian penetrasi perusahaan dan menghilangkan backlog pentesting. Solusi tingkat perusahaan ini memberikan kontrol kembali ke tim pengujian penetrasi pusat dan pemangku kepentingan internal mereka untuk merampingkan pengujian penetrasi sambil menawarkan visibilitas lengkap ke CISO perusahaan.
Saat mempertimbangkan PTaaS, penting untuk mengevaluasi penyedia potensial untuk memastikan Anda dapat memperoleh kemampuan yang Anda perlukan untuk berhasil.
Unduh Panduan CISO untuk Pengujian Penetrasi Perusahaan
Pelajari bagaimana pemimpin keamanan perusahaan dapat mengembangkan pengujian penetrasi untuk perusahaan — tanpa jaminan simpanan, penundaan, dan pembengkakan biaya yang terkait dengan pengujian penetrasi tradisional. Unduh panduannya.
Kredit Gambar: alphaspirit / Shutterstock
Megan Charrois adalah Eksekutif Pemasaran di BreachLock Inc. Solusi PTaaS pemenang penghargaan dan diakui analis dari BreachLock membantu pelanggan melakukan lebih banyak hal dengan portal PTaaS asli cloud mereka dan manfaat manajemen kerentanan selama 12 bulan. Portal Klien BreachLock menawarkan kepada pelanggan kemampuan untuk terhubung 24/7 untuk pemindaian kerentanan yang sedang berlangsung dan manfaat pengujian ulang yang berlanjut selama 12 bulan sejak tanggal dimulainya uji penetrasi. Untuk informasi lebih lanjut, jadwalkan panggilan penemuan dengan salah satu pakar keamanan BreachLock untuk mengetahui mengapa PTaaS menjadi pilihan baru untuk tim penetrasi pusat perusahaan, dan bagaimana hal itu dapat bekerja untuk Anda hari ini.
