Definisi
Apa itu penetration test?
Penetration test (pentest) adalah latihan terstruktur dan berotorisasi di mana konsultan keamanan mencoba mengompromi sistem Anda seperti yang dilakukan penyerang nyata. Berbeda dengan vulnerability scan yang secara otomatis mendaftar potensi kelemahan, pentest melibatkan penguji manusia yang merangkai kerentanan, melewati kontrol, dan menunjukkan apa yang sebenarnya bisa dicapai penyerang.
Tujuannya bukan untuk merusak, melainkan menemukan dan membuktikan kelemahan sebelum seseorang dengan niat buruk melakukannya. Di akhir engagement, Anda menerima laporan tertulis yang mendokumentasikan setiap temuan, memberikan penilaian tingkat keparahan, menyertakan bukti apa yang dimungkinkan, dan merekomendasikan langkah perbaikan spesifik.
Perusahaan Indonesia menjalankan pentest karena beberapa alasan. Regulator seperti OJK dan BSSN mengharapkannya. Pelanggan dan mitra sering menjadikannya syarat kerja sama bisnis. Dan semakin banyak dewan direksi dan komite risiko yang ingin jaminan bahwa organisasi mampu bertahan dari serangan nyata.
Catatan: halaman ini membahas sistem IT. Jika Anda mengoperasikan sistem kontrol industrial, SCADA, atau jaringan OT, lihat layanan OT VAPT kami.
Metodologi
Jenis penetration test dan target pengujian kami
Kami menjalankan tiga metodologi pengujian utama dan menerapkannya pada empat kategori target. Kombinasi yang tepat tergantung pada model ancaman, persyaratan kepatuhan, dan waktu yang tersedia.
Metodologi pengujian
Penguji memulai tanpa pengetahuan internal tentang target, sama seperti posisi awal penyerang eksternal. Ini adalah simulasi paling realistis dari serangan oportunistik dari luar organisasi.
Penguji diberikan informasi terbatas, seperti akun pengguna standar atau diagram jaringan. Ini mencerminkan penyerang yang lebih terarah dan telah melakukan pengintaian, atau orang dalam dengan akses dasar.
Penguji memiliki akses penuh ke kode sumber, diagram arsitektur, dan kredensial. Ini memberikan cakupan paling menyeluruh dan sering digunakan untuk review pra-rilis aplikasi internal.
Apa yang kami uji
Firewall perimeter, segmen jaringan internal, router, switch, dan endpoint VPN. Kami mencari miskonfigurasi, autentikasi lemah, dan jalur antar zona jaringan.
Portal pelanggan, konsol admin, API, dan sistem berbasis web. Kami menguji OWASP Top 10 dan lebih jauh: celah injeksi, kontrol akses rusak, autentikasi tidak aman, dan masalah logika bisnis.
Aplikasi Android dan iOS, termasuk lapisan API yang digunakannya. Kami memeriksa cara aplikasi menyimpan data di perangkat, cara berkomunikasi dengan backend, dan apakah logika bisnisnya bisa disalahgunakan.
Endpoint REST, GraphQL, dan SOAP, termasuk API internal yang tidak diekspos publik. Banyak pelanggaran data berasal dari API yang kurang autentikasi atau pembatasan laju yang memadai.
Proses
Cara kerja sebuah engagement penetration testing
Setiap engagement mengikuti empat fase yang sama. Linimasa bervariasi sesuai cakupan, tetapi sebagian besar proyek berlangsung antara lima hingga lima belas hari kerja pengujian aktif.
- 1
Scoping
Kami mulai dengan percakapan untuk menentukan dengan tepat apa yang masuk dalam cakupan, apa yang tidak, dan jendela pengujian mana yang dapat diterima. Anda menerima dokumen rules of engagement untuk ditinjau dan ditandatangani sebelum pengujian dimulai. Ini melindungi Anda secara hukum dan memastikan kami tidak menguji sistem yang tidak Anda miliki atau kendalikan.
- 2
Pengujian
Konsultan kami bekerja melalui cakupan yang disepakati menggunakan kombinasi alat otomatis dan teknik manual. Pengujian manual inilah yang membedakan pentest dari sekadar scan: kami mengikuti petunjuk, berpikir lateral, dan merangkai temuan untuk mendemonstrasikan dampak nyata.
- 3
Pelaporan
Kami menulis laporan rinci untuk setiap engagement. Laporan mencakup setiap temuan dengan penilaian keparahan, bukti teknis, dampak bisnis, dan saran perbaikan langkah demi langkah. Kami juga menulis ringkasan eksekutif yang dapat dibaca dewan direksi atau komite risiko tanpa latar belakang teknis.
- 4
Retest
Setelah Anda menangani temuan, kami menawarkan retest untuk mengonfirmasi bahwa masalah kritis dan tinggi telah diselesaikan. Laporan retest dapat dibagikan kepada regulator atau auditor sebagai bukti perbaikan.
Deliverable
Apa yang ada dalam laporan penetration test
Laporan adalah produk yang Anda bawa dari pentest. Kami menulis setiap laporan dengan tangan, bukan dari template. Temuan tanpa bukti yang jelas dan perbaikan yang jelas tidak berguna bagi Anda.
| Bagian laporan | Isinya |
|---|---|
| Ringkasan eksekutif | Gambaran umum satu hingga dua halaman tentang apa yang kami uji, tingkat risiko keseluruhan, dan temuan terpenting. Ditulis untuk pimpinan, bukan staf teknis. |
| Temuan berdasarkan keparahan | Setiap temuan dinilai Kritis, Tinggi, Sedang, Rendah, atau Informatif menggunakan sistem penilaian CVSS. Temuan diurutkan agar yang paling penting ditangani terlebih dahulu. |
| Bukti teknis | Screenshot, payload permintaan dan respons, serta output perintah yang membuktikan setiap temuan nyata dan dapat dieksploitasi. Tidak ada yang bersifat teoritis. |
| Dampak bisnis | Untuk setiap temuan signifikan kami menjelaskan apa yang bisa dilakukan penyerang jika mengeksploitasinya: data yang bisa diakses, sistem yang bisa dikendalikan, atau layanan yang bisa diganggu. |
| Panduan perbaikan | Langkah spesifik dan dapat ditindaklanjuti untuk memperbaiki setiap temuan. Jika relevan kami menyertakan contoh kode, perubahan konfigurasi, atau referensi ke patch vendor. |
| Konfirmasi retest | Setelah perbaikan, laporan retest mengonfirmasi temuan mana yang sudah ditutup dan dapat berfungsi sebagai bukti untuk pemeriksaan OJK atau audit ISO 27001. |
Regulasi
Keterkaitan penetration testing dengan OJK dan ISO 27001
OJK POJK 11/2022 tentang manajemen risiko teknologi informasi mewajibkan lembaga keuangan untuk melakukan vulnerability assessment dan penetration test sebagai bagian dari tinjauan postur keamanan mereka. Regulasi tidak mewajibkan frekuensi tertentu, tetapi pemeriksa mengharapkan pengujian berkala, khususnya setelah perubahan sistem yang signifikan.
ISO 27001:2022 Annex A kontrol 8.8 (manajemen kerentanan teknis) dan kontrol 5.37 (prosedur operasional yang terdokumentasi) bersama-sama menciptakan ekspektasi bahwa organisasi mengidentifikasi dan menangani kelemahan yang dapat dieksploitasi melalui pengujian. Penetration test yang didokumentasikan dengan laporan lengkap dan bukti retest secara langsung memenuhi pertanyaan pemeriksa tentang cara Anda memverifikasi efektivitas kontrol.
Laporan kami ditulis agar berguna di kedua konteks tersebut. Ringkasan eksekutif cocok untuk diserahkan ke OJK atau dipresentasikan kepada auditor sertifikasi ISO 27001. Bukti teknis mendukung pelacakan perbaikan internal.
Mengapa kami
Mengapa Alpha Code
Alpha Code Technologies adalah managed security services provider yang berkantor pusat di Jakarta dan bagian dari Akraya International. Konsultan penetration testing kami memegang sertifikasi yang diakui dan bekerja dengan perusahaan Indonesia di sektor keuangan, kesehatan, manufaktur, dan pemerintahan.
- Konsultan berbasis di Jakarta dengan konteks regulasi Indonesia
- Laporan ditulis untuk pemeriksa OJK dan auditor ISO 27001
- Black-box, grey-box, dan white-box untuk jaringan, web, mobile, dan API
- Retest termasuk untuk mengonfirmasi temuan kritis dan tinggi sudah ditutup
- Bagian dari Akraya International, dengan threat intelligence global
Pertanyaan yang sering diajukan
Sebagian besar engagement berlangsung antara lima hingga lima belas hari kerja pengujian aktif, tergantung cakupan. Satu aplikasi web mungkin memerlukan lima hari. Jaringan ditambah tiga aplikasi web bisa memakan dua hingga tiga minggu. Scoping dilakukan sebelum pengujian dimulai, jadi Anda sudah tahu linimasa sebelum menandatangani.