Vulnerability Assessment VS Penetration Testing - Widya Security Skip to content

Vulnerability Assessment VS Penetration Testing

VA-VS-Pentest

Sistem informasi saat ini memiliki peranan yang sangat penting di dalam membantu bisnis. Namun dengan adanya kerentanan dalam sistem informasi bisa membuat bisnis yang sudah dibangun bertahun-tahun hancur dalam sekejap saja. Maka dari itu perlunya dilakukan uji kerentanan pada seluruh jaringan serta chanel dari sitem informasi yang dimiliki oleh perusahaan. Berdasarkan peraturan/regulasi dari Peraturan Bank Indonesia (PBI) atau Otoritas Jasa Keuangan (OJK) beberapa perusahaan di Indonesia diharuskan untuk diuji segi keamanan IT-nya (Penetration Testing) minimal 1 tahun 2 kali (6bulan 1 x). Namun terkadang beberapa petinggi perusahaan masih bingung antara Vulnerability Assesment (VA) dengan Penetration Testing (Pentest). 

Vulnerability Assesment (VA) adalah pengukuran kelemahan atas serangan dari luar. Vulnerabilty Assesment cenderung memiliki cakupan yang sangat luas, tetapi tidak terlalu mendalam untuk soal finding vulnerabilty (scan, enumeration & report). Misalnya dalam membedakan false positive dan false negative terhadap suatu vulnerabilty. Vulnerability Assessment atau penilaian kerentanan ini dapat memberikan berbagai informasi mengenai kelemahan keamanan pada IT environment perusahaan Anda. penilaian kerentanan juga dapat memberikan arahan mengenai cara-cara untuk memulihkan atau mengurangi masalah tersebut sebelum kerentanan dapat dieksploitasi peretas. Proses ini akan membantu Anda memahami infrastruktur IT Anda dengan baik serta melihat kelemahan dan risiko keamanan secara keseluruhan. Dengan demikian, Anda dapat meningkatkan keamanan IT environment perusahaan agar terhindar dari penjahat dunia maya yang mengincar akses tidak sah.

Vulnerability Assesment mungkin akan terlihat sama seperti Penetration Testing, namun banyak sekali perbedannya. Sebagian metode dan teknik yang ada pada proses Vulnerability Assesment digunakan juga dalam melakukan Penetration Testing. Karena itu, Penetration Testing disebut juga sebagai tingkat lanjutan dari VA (Vulnerability Assesment). Untuk fokus dan tujuanya sangat jauh berbeda, Penetration Testing lebih berfokus pada operasi keamanan secara keseluruhan dan mendalam dengan menggunakan metode manual testing dari hasil VA (Vulnerability Assesment) dan temuan lainnya.

Bagaimana Proses Vulnerability Assessment?

Proses untuk melakukan Vulnerability Assessment secara garis besar dilakukan melalui 5 langkah, yaitu:

  1. Identifikasi kerentanan
    Identifikasi kerentanan adalah proses untuk menemukan dan membuat daftar lengkap mengenai kerentanan keamanan yang ada di infrastruktur IT perusahaan Anda. Proses ini biasanya dilakukan menggunakan pemindaianan kerentanan otomotis. Pengujian kerentanan dapat dijalankan melalui authenticated scans atau unauthenticated scans.
  2. Menganalisis kerentanan
    Setelah kerentanan diidentifikasi, maka langkah selanjutnya adalah menganalisis komponen mana yang bertanggung jawab atas setiap kerentanan yang muncul serta komponen mana yang menjadi akar penyebab kelemahan keamanan.
  3. Risk assessment
    Risk assessment dilakukan untuk mengetahui prioritas kerentanan (High, Medium, Low). Ketika melakukan penilaian ini, tim biasanya akan menggunakan vulnerability assessment tools yang dapat membantu memberikan peringkat atas tingkat keparahan untuk setiap kerentanan yang ditemukan.
  4. Remediation
    Remediation mengacu pada perbaikan dan penanganan kerentanan keamanan. Dengan remediasi ini, Anda dapat melindungi bisnis dari berbagai aktivitas mencurigakan yang dapat mengancam keamanan data Anda seperti serangan malware, ransomware, phising, dan lain-lain. Jika kerentanan yang ditemukan tidak segera diatasi, maka kerentanan bisa meluas dan meningkatkan peluang terjadinya peretasan oleh cyber hacker.
  5. Mitigasi
    Perlu Anda ketahui bahwa ada beberapa jenis kerentanan yang tidak bisa diperbaiki. Oleh karena itulah mitigasi diperlukan. Pada dasarnya mitigasi adalah proses mengurangi kemungkinan atau dampak kerentanan yang tereksploitasi. Langkah-langkah yang dilakukan juga sangat beragam, berikut beberapa diantaranya:
    Mengganti software atau hardware baru
    Melakukan proses enkripsi
    Memperkenalkan kontrol keamanan yang baru
    Melakukan pemantauan keamanan yang berkelanjutan seperti Penetration Testing.

Lalu bagaimana dengan proses Penetration Testing?

Berdasarkan cara pengujiannya Penetration Testing (Pentest) dapat dilakukan melalui 2 (dua) cara, yaitu: 

  1. Uji Penetrasi Internal, yaitu jenis pengujian yang dilakukan melalui Local Area Network (LAN) milik organisasi, yang berarti pengujian dilakukan pada aplikasi web yang di-host di intranet. Hal ini berfungsi untuk mengetahui apakah ada kerentanan yang dimiliki pada firewall milik organisasi 
  2. Uji Penetrasi Eksternal, yaitu jenis pengujian yang dilakukan dari luar atau eksternal organisasi dan mencakup pengujian internet dari aplikasi web. Penguji dapat bertindak sebagai peretas yang tidak terlalu familiar dengan sistem internal. Pengujian ini pada dasarnya juga mencakup pengujian server, firewall dan Intrusion Detection System (IDS).

Di dalam implementasinya, Penetration Testing dibagi menjadi tujuh fase utama,

  1. Pre-engagement Interactions
    Fase Pre-engagement interactions bertujuan untuk menyediakan dan menjelaskan peralatan atau teknik-teknik yang tersedia untuk membantu di dalam langkah memulai suatu uji penetrasi. Memilih alat yang tepat untuk Penetration Testing akan bergantung pada tipe dan kedalaman pengujian. 
  2. Intelligence Gathering
    Fase Intelligence Gathering adalah fase di mana data intelijen dikumpulkan dengan tujuan membantu memberikan arahan pada setiap tindakan pemeriksaan. Pada sudut pandang yang lebih luas, pengumpulan data intelijensi ini mencakup informasi pekerja, fasilitas, produksi, dan perencanaan. Secara garis besar, intelijensi ini juga memuat rahasia potensial dari kompetitor, atau informasi yang mungkin relevan dari target. 
  3. Threat Modeling
    Threat Modeling adalah fase yang mendefinisikan suatu pendekatan terhadap model ancaman yang dibutuhkan untuk memberikan tindakan eksekusi yang tepat pada suatu Penetration Testing. Pada standar Penetration Testing, tidaklah digunakan sebuah model yang spesifik, melainkan membutuhkan sebuah model yang konsisten dalam kaitannya dengan representasi ancaman, kapabilitasnya, kualifikasinya pada masing-masing organisasi yang diuji, serta kemampuannya untuk diaplikasikan pada pengujian di masa mendatang secara berulang dengan hasil yang sama. 
  4. Vulnerability Analysis 
    Vulnerability Analysis atau analisis kerentanan digunakan untuk mengidentifikasi dan mengevaluasi risiko keamanan yang ditimbulkan oleh faktor kerentanan yang teridentifikasi. Pekerjaan analisis ini dibagi menjadi dua area, yaitu identifikasi dan validasi. Upaya penemuan kerentanan ini merupakan komponen kunci dari fase Analisis Keamanan. Identifikasi sementara validasi bertujuan mengurangi jumlah banyaknya kerentanan yang teridentifikasi menjadi yang hanya valid saja. 
  5. Exploitation Fase
    eksploitasi dari Penetration Testing berfokus hanya pada membangun akses pada sistem atau sumber dengan menerobos keamanan yang ada. Jika pada fase sebelumnya, yaitu fase analisis kerentanan dilakukan dengan kurang baik, maka pada fase ini harus dilakukan dengan terencana dan dengan tingkat presisi yang tinggi. Fokus utama dari fase ini adalah untuk mengidentifikasi akses masuk utama pada organisasi dan mengidentifikasi aset-aset yang berharga. 
  6. Post Exploitation
    Fase Post Exploitation bertujuan untuk menentukan nilai dari sistem yang terekspos dan untuk menjaga kontrol sistem agar dapat terus berjalan. Nilai dari sistem akan ditentukan dari sensitivitas data yang disimpan di dalamnya dan peranan sistem tersebut di dalam jaringan yang diekspos. 
  7. Reporting
    Fase reporting merupakan fase terakhir untuk melaporkan dan mendokumentasikan bagian-bagian penting yang terjadi selama uji penetrasi dan berguna untuk menjelaskan kepada organisasi mengenai apa saja yang dilakukan, resiko yang dapat terjadi, dan bagaimana langkah-langkah selanjutnya untuk memperbaiki sistem organisasi tersebut menjadi lebih baik.

Jika dikaitkan dengan kalimat medis, maka VA itu ibarat rapid tes sedangkan Pentest itu ibarat PCR test. Dengan melakukan vulnerability assessment yang dilengkapi dengan penetration testing secara rutin, maka Anda dapat melindungi perusahan beserta data-data sensitif di dalamnya dari berbagai jenis serangan cyber. Sudah banyak perusahaan-perusahaan besar di Indonesia yang mengalami kasus kebocoran data sehingga membawa kerugian bagi bisnis mereka. Jangan tunggu sampai rugi baru menghubungi kami dan rasakan kenyamanan serta keamanan bisnis anda jika bersama kami.

*Diambil dari pelbagai sumber.