Perkembangan populasi digital di Indonesia dan dunia semakin meningkat pada jangka waktu bulan Januari 2020 – Januari 2021 total populasi bertambah 2,9 juta, dengan jumlah koneksi mobile lebih dari 4 juta, penggunna internet lebih dari 27 juta dan media sosial yang aktif lebih dari 10 juta pengguna. Bertambah banyaknya pengguna internet, jelas akan berbanding sejalan dengan potensi serangan yang akan terjadi. Bahkan serangan siber dapat terjadi setiap detik, setiap menit pada tiap harinya karena banyak celah keamanan yang tidak diketahui.
Celah keamanan bisa terjadi:
- Kebutuhan keamanan sistem yang tidak teridentifikasi dengan benar dan jelas di awal pembuatan aplikasi dan implementasi infrastruktur
- Tidak melakukan pengujian keamanan/ penetration testing
- Pembuatan konsep logic yang salah/ error
- Tidak menerapkan best practice dan clean code pada aplikasi
- Deployment aplikasi yang tidak memenuhi standar
- Menginformasikan kekurangan pada saat maintenance dan update
Penetration Testing vs Vulnerability scanning
Tri Febrianto selaku Co-Founder and CEO Widya Security, mengatakan secara metodologi penetration testing dan vulnerability itu sudah berbeda.
Metodologi dari pentration testing antara lain: scope, reconnaissance discovery, enumeration, vulnerability scanning, exploitation, post exploitation, clearing track, reporting dan terakhir retesting yang dilakukan setelah patching. Sedangkan, metodologi dari vulnerability assessment antara lain: automated scan, analysis and reporting, review report, terkhir remediate findings.
Penentration test ada banyak, meliputi mobile pentest, web pentest, social enginering pentest (test human), physical pentest (bagaimana cara mengakses device itu tanpa ketahuan), network pentest
Tiga metode pentest berdasarkan seberapa banyak informasi yang didapat:
- Black-box testing (zero knowledge): hanya mendapatkan satu target misal www.xx.com
- Gray-box testing (some knowledge): dapat informasi beberapa, backend, framework, fitur-fiturnya apa aja, kira kira 30-50% dari informasi keseluruhan, memposisikan sebagai pengguna
- White-box testing (full knowledge): memposisikan sebagi developer, mengetahui informasi menyeluruh antaranya membaca kode-kode di dalam untuk mencari apakah ada celah keamanan, topologi,logic, memakan waktu lebih banyak.
Manfaat dari pentest:
- Enhancement of the management system, bisa update sistem manajemen
- Protection from financial damage, bisa melindungi dari kerugian finansial
- Customer protection, membuat kostumer nyaman dan aman
Tri Febrianto selaku Co-Founder and CEO Widya Security juga mengatakan bahwa, hasil dari pentest lebih akurat dan jelas, selain itu serangan siber akan memberikan akibat runtuhnya reputasi bisnis yang dibangun tanpa dilakukannya pentest. Misal tidak diperbaiki sisi keamanannya maka tidak akan berkembang juga.
Adanya pentest membantu dalam mengenali dan menanggapai serangan siber yang terjadi sehingga memberi gambaran yang lebih jelas akan identifikasi aktivitas peretas, report pasca-pengujian dari pentest. Sehingga celah keamanan yang ada dalam jaringan dapat diperbaiki terlebih dahulu sebelum ada seseorang yang tidak bertanggungjawab menemukan celah keamanan tersebut dan memanfaatkannya. Untuk tindakan pencegahan dan penanganan sistem dapat yang diserang, Widya Security dapat membantu menangani dengan cara menganalisis data terhadap serangan siber yang terjadi. Selain itu juga ada layanan pentest dengan pengujian terbaik sebagaimana ditentukan oleh OSSTMM, ISECOM dan OWASP. Sebagai tindakan pencegahan terhadap serangan yang mungkin bisa terjadi lagi, dengan menggunakan pemeriksaan kesehatan sistem.