Seiring momentum pertumbuhan pesat digitalisasi, banyak organisasi, baik skala ‘kecil’ maupun ‘besar’ yang tanpa sadar rentan terhadap serangan siber. Hal ini tentunya menimbulkan pertanyaan mendasar; apakah organisasi mengetahui titik lemah dalam sistem serta aplikasi mereka yang dapat menjadi celah serangan siber? Ataukah organisasi sadar dengan celah kelemahan itu, tapi tidak tahu harus berbuat apa?.
Tidak dapat dipungkiri organisasi harus secara berkala melihat celah keamanan dari sistem dan aplikasi yang dimiliki, dimana hal tersebut menjadi bagian penting dari proses evaluasi kinerja organisasi. Organisasi harus membangun praktik keamanan digital yang adaptif dan tangguh untuk mengatasi tuntutan baru dari bisnis digital. Metode pengujian keamanan yang biasa dilakukan organisasi saat ini, diantaranya adalah vulnerability assessment dan penetration testing.
Sering sekali, kedua istilah tersebut dimaknai dalam perspektif yang sama. Padahal kenyataannya, kedua metode itu merupakan inisiatif keamanan siber yang berbeda. Penting bagi organisasi untuk memahami perbedaan di antaranya, sehingga dapat memilih mana yang paling sesuai untuk diadopsi pada saat yang tepat.
Secara umum, vulnerability assessment (atau kadang disebut sebagai – penilaian kerentanan) dapat membantu organisasi dalam mengidentifikasi dan mengkuantifikasi kerentanan yang ada di sistem, aplikasi, ataupun infrastruktur. Akan tetapi metode ini tidak sesuai untuk melakukan evaluasi mendalam seperti mengetahui apakah kerentanan tersebut dapat dieksploitasi atau tidak. Dengan bahasa yang lebih sederhana, pekerjaan paling dasar untuk vulnerability assessment adalah menemukan kerentanan yang ada serta melakukan filtering untuk melihat tipe ancaman mana yang patut diwaspadai dan mana yang dianggap hanya sebagai ancaman false positive. Selain menemukan indikasi kerentanan, metode ini juga melihat apakan prosedur tindakan keamanan yang dilakukan sudah tepat dalam menghadapi potensi ancaman (dengan dampak terburuk) yang dapat terjadi pada setiap aset penting perusahaan. Dengan adanya vulnerability assessment perusahaan dapat mengetahui kerentanan apa saja yang ada dan dapat melakukan perbaikan terhadap kerentanan yang ada.
Di sisi lain, penetration testing (atau kadang disebut sebagai – pengujian penetrasi) lebih dari sekadar mengidentifikasi kerentanan. Penetration testing jauh lebih detail dan mencakup berbagai aspek, memberikan gambaran yang lebih komprehensif tentang keamanan keseluruhan perusahaan. Dalam penetration testing, pengujian dilakukan dengan menembus keamanan jaringan sistem informasi suatu organisasi menggunakan berbagai alat dan pendekatan teknik yang berbeda. Pengujian melalui metode ini dilakukan selayaknya simulasi seorang hacker (ethical hacking) yang melihat berapa banyak kerentanan yang dapat dieksploitasi dan mencoba mengeksploitasi celah sistem tersebut untuk mendapatkan data-data organisasi yang penting dan sensitive (mencoba mendapatkan akses ke dalam sistem). Hasil pengujian dengan metode ini akan memberikan laporan dan rekomendasi mengenai tindakan yang perlu menjadi prioritas dari organisasi untuk membuat sistemnya menjadi lebih aman dari serangan siber. Laporan ini juga dapat membantu developer dalam mengembangkan aplikasi atau web dengan tingkat keamanan yang lebih terjamin. Lantas, setelah mengetahui perbedaannya, mana yang paling Anda butuhkan saat ini, apakah vulnerability assessment atau penetration testing. Sebagai gambaran detail, berikut ini gambaran singkat perbedaan kedua metode pengujian tersebut:
| Vulnerability Assessment | Penetration Testing | |
| Tujuan | Metode ini dapat memberikan informasi penting mengenai identifikasi celah keamanan, termasuk diantaranya tindakan pencegahan keamanan yang belum diterapkan atau tidak sesuai. | Metode ini melampaui identifikasi kerentanan, dengan mencoba mengeksploitasi kerentanan yang ditemukan dan melakukan pengujian manual untuk mendapatkan akses ke sistem/informasi sensitif. |
| Fokus | Berfokus pada kerentanan system (unpatched system), infrastruktur dan software, tingkat kerentanannya, dan detail lainnya. | Berfokus pada bagaimana penyerang siber dan hacker dapat mengeksploitasi kerentanan dan melakukan kuantifikasi kerusakan jika serangan berhasil. |
| Pendekatan | Pendekatan berorientasi cakupan luas untuk pengujian keamanan. | Pendekatan yang berorientasi pada pengujian keamanan spesifik. |
| Bentuk Laporan | Identifikasi kerentanan keamanan dan entry point serangan beserta potensi ancaman yang dapat terjadi berdasarkan tingkat ancaman yang dilihat paling tinggi Rekomendasi akan metode mitigasi keamanan yang paling sesuai berdasarkan identifikasi kerentanan yang ditemui. | Laporan penilaian tentang eksploitasi sistem keamanan yang berhasil dipenetrasi dan potensi kerusakan yang dapat ditimbulkan. Dilengkapi juga dengan dokumentasi celah keamanan dan rekomendasi Langkah-langkah efektif dan efisien untuk mencegah serangan siber ke dalam sistem melalui celah yang sudah dieksploitasi tersebut. |
| Alat | Dilakukan menggunakan alat pemindaian otomatis | Sebagian besar merupakan proses manual yang tidak mudah dilakuan secara otomatis. (meskipun pemindaian otomatis dapat dilakukan sebagai bagian dari penetration test, namun langkah selanjutnya adalah secara manual menggali kerentanan jaringan atau aplikasi lebih lanjut untuk mencoba dieksploitasi). |
Ingin tahu lebih lanjut cara mengoptimalkan keamanan infrastruktur dan sistem TI Anda melalui Security Vulnerability Assessment dan layanan Penetration Testing Telkomtelstra? Hubungi Telkomtelstra saat ini juga. Layanan Professional Services kami untuk Security Vulnerability Assessment dan Penetration Testing telah membantu sejumlah Perusahaan Indonesia dari berbagai industri dalam mendapatkan analisa komprehensif mengenai kerentanan keamanan dan dampaknya terhadap organisasi mereka. Tidak hanya itu, tim ahli spesialis kami juga mengidentifikasi dan memberikan rekomendasi terbaik untuk melindungi organisasi secara efektif dari serangan siber dalam sistem jaringan, aplikasi dan infrastruktur..(*)