Penetration testing
Berapa lama penetration testing berlangsung dan apakah mengganggu operasional
Ringkasnya
Lama penetration testing bergantung pada cakupan: beberapa hari untuk satu aplikasi, berminggu untuk jaringan penuh. Cara menjadwalkannya tanpa mengganggu sistem.
Dua pertanyaan muncul sebelum hampir setiap penetration testing: berapa lama prosesnya, dan apakah akan menjatuhkan sesuatu? Kedua jawabannya bermuara pada hal yang sama, yaitu cakupan dan perencanaan, bukan keberuntungan. Begitu Anda paham apa yang menggerakkan masing-masing, pengujian berhenti terasa seperti judi dan mulai tampak seperti pekerjaan yang terjadwal.
Apa yang menentukan lamanya
Cakupan adalah pengungkit terbesar: berapa banyak target, seberapa dalam pengujiannya, dan jenis pengujian apa. Pengujian satu aplikasi web tergolong singkat. Pengujian jaringan luas atau red team yang merangkai banyak sistem memakan waktu lebih lama. Gaya pengujian juga berpengaruh. Black-box test, di mana tester mulai tanpa pengetahuan dari dalam, butuh waktu lebih lama untuk menemukan pijakan ketimbang grey-box atau white-box test di mana Anda berbagi sebagian akses di awal. Dan jamnya tidak dimulai dan berhenti pada peretasan langsung saja; ada scoping sebelumnya dan laporan tertulis sesudahnya.
Satu aplikasi web atau mobile
Biasanya beberapa hari hingga sekitar dua minggu, bergantung pada jumlah fitur dan peran pengguna.
Jaringan eksternal atau perimeter
Sekitar satu hingga dua minggu untuk estate yang umum, dan lebih lama seiring bertambahnya host dan layanan yang aktif.
Jaringan internal penuh atau red team
Beberapa minggu, karena tester merangkai banyak sistem menuju sebuah tujuan, bukan menguji satu target secara terpisah.
Ini panduan kasar, bukan penawaran harga. Angka sebenarnya muncul dari percakapan scoping tempat Anda menyepakati target, kedalaman, dan aturannya.
Tahapannya, dari awal sampai akhir
Penetration testing bukan sekadar satu minggu pengujian langsung, dan merencanakan linimasa hanya di sekitar bagian itu adalah tempat jadwal mulai meleset.
Scoping menetapkan target dan aturan main. Pengujian adalah bagian langsungnya. Laporan mengubah temuan mentah menjadi sesuatu yang bisa ditindaklanjuti tim Anda. Anda melakukan remediasi, lalu retest memastikan perbaikan benar-benar berhasil. Sediakan waktu untuk kedua ujungnya, bukan hanya pengujiannya.
Apakah akan mengganggu sistem kami
Inilah ketakutan yang membuat banyak tim ragu, dan untuk pengujian yang dikelola baik, ketakutan itu sebagian besar tidak beralasan. Tester yang tepercaya merencanakan di sekitar operasional Anda: pemeriksaan yang merusak atau berat ditandai di awal, dijalankan pada jendela pemeliharaan, atau diarahkan ke salinan staging alih-alih produksi. Tester menjaga jalur kontak tetap terbuka selama pengujian dan berhenti jika ada yang terlihat rapuh. Tujuannya menemukan kelemahan seperti yang dilakukan penyerang, tanpa berperilaku seperti penyerang yang ingin merusak.
Cara mencakup pengujian agar tidak mengganggu bisnis
Sebagian besar risiko gangguan dihilangkan dalam percakapan scoping, bukan saat pengujian. Sepakati target dan aturan main, tetapkan jendela waktu, tandai sistem yang rapuh, putuskan apa yang dijalankan di produksi versus staging, dan tunjuk kontak darurat di kedua sisi.
Kalau Anda memberi tahu kami apa yang ingin diuji dan apa yang Anda khawatirkan rusak, kami bisa mencakup pengujian yang menghormati keduanya.
Pertanyaan umum
Bergantung pada cakupan. Satu aplikasi sering memakan waktu satu hingga dua minggu, sedangkan pengujian jaringan internal penuh atau red team bisa berlangsung beberapa minggu. Tambahkan waktu untuk scoping di awal dan laporan tertulis di akhir, karena keduanya bagian dari linimasa.
Terkait
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.