Penetration Testing vs Vulnerability Assessment

Uncategorized

Kebanyakkan perusahaan dan orang-orang sering salah informasi atau salah arah mengenai perbedaan antara penetration testing dan vulnerability assessment. Dalam banyak kasus, ada eksekutif tingkat atas yang meminta uji penetrasi, tetapi sangat menginginkan penilaian kerentanan, dan sebaliknya. Dalam skenario ini, penilaian terkadang diberi label yang tidak tepat sehingga bisa sangat menyesatkan.

Maka perlu untuk mengetahui apa perbedaan utama antara penetration testing dan vulnerability assessment, sehingga Anda dan perusahaan atau organisasi Anda bisa tahu apa yang paling dibutuhkan.

 

Jadi, Apa Perbedaan Antara Penetration Testing dan Vulnerability Assessment?

Penetration Testing adalah…

Proses manual di mana seorang penguji yang disebut dengan pentester melakukan penilaian pada target untuk mengungkap kerentanan dengan mengeksploitasi target tersebut. Penetration testing (uji penetrasi) juga sering disebut dengan pentest. Tujuannya adalah untuk mendapatkan akses tidak sah melalui eksploitasi yang dilakukan dan dapat digunakan untuk meniru niat jahat dari peretas.

Pengerjaan sebuah pentest sering dipecah menjadi fase-fase berikut:

  • Pengintaian
  • Pemindaian dan enumerasi
  • Eksploitasi (mendapatkan akses)
  • Pasca eksploitasi (mempertahankan akses)
  • Meliputi trek

 

Vulnerability Assessment adalah…

Proses mengidentifikasi ancaman dan kerentanan pada target dengan menggunakan pemindai kerentanan otomatis. Proses ini terkadang mencakup serangkaian pengujian manual dengan alat tambahan untuk mengevaluasi lebih lanjut keamanan aplikasi atau jaringan dan untuk memverifikasi kerentanan yang ditemukan oleh aplikasi pemindaian. Vulnerability assessment (penilaian kerentanan) juga sering disingkat dengan VA.

Kapan Waktu untuk Melakukan Penetration Testing dan Vulnerability Assessment, dan Apa Tujuannya?

Perspektif Penetration Testing

Penetration Testing sering dimulai oleh berbagai skenario yang dapat mencakup (tetapi tidak terbatas pada) peluncuran aplikasi, perubahan atau pembaruan jaringan/aplikasi utama, peraturan kepatuhan atau pelanggaran/kebocoran dari serangan yang ditargetkan.

Umumnya, tujuan akhir dari seorang pentester adalah untuk mendapatkan akses tidak sah ke target dengan cara mengeksploitasi kerentanan yang tidak terungkap dari tahap pemindaian dan pencacahan. Beberapa tujuan dan waktu diadakannya pentest adalah sebagai berikut:

  • Peluncuran aplikasi, pentest dapat dilakukan sebagai bagian dari proses siklus hidup pengembangan perangkat lunak (SDLC) untuk mengungkap kerentanan yang ada yang harus diselesaikan sebelum peluncuran. Tujuan utamanya adalah membantu menghemat waktu dan uang dengan menemukan dan memperbaiki kerentanan sebelum aplikasi disebarkan ke produksi dan terbuka untuk pengguna akhir atau peretas yang berpotensi jahat.
  • Perubahan atau pembaruan jaringan/aplikasi utama, pentest sering dijadwalkan setiap tahun, dua tahunan, atau triwulanan untuk mempertahankan praktik keamanan terbaik dan tetap mengikuti perubahan besar apa pun yang berpotensi mengungkap kerentanan baru. Pentest dapat diinisialisasi pada siklus ini atau ketika terjadi perubahan besar dalam jaringan atau aplikasi.
  • Program manajemen kerentanan, lanskap serangan berkembang dengan kecepatan tinggi yang biasanya melampaui kesadaran dan pengetahuan yang dipertahankan organisasi terkait dengan postur keamanan mereka. Sangat penting untuk terus menilai aplikasi dan infrastruktur secara teratur atau setidaknya secara semi-reguler. Hal ini dapat masuk ke dalam praktik program manajemen kerentanan yang akan menjalankan uji coba pada berbagai siklus.
  • Regulasi kepatuhan, pentest dapat dilakukan dengan tujuan memenuhi standar kepatuhan tertentu yang memiliki persyaratan untuk melakukan uji penetrasi pada periode tertentu. Tergantung pada jenis proses atau penyimpanan organisasi data. Beberapa peraturan memerlukan pentest untuk mengatasi risiko dan potensi paparan keamanan yang mungkin dimiliki organisasi untuk membantu melindungi data.
  • Setelah pelanggaran atau kebocoran, ini mungkin merupakan alasan terburuk untuk melakukan pentest tetapi sayangnya, juga menjadi alasan yang sangat umum. Setelah aplikasi atau jaringan dilanggar dan data rahasia diekspos ke publik, sebuah organisasi mungkin panik dan segera menyewa vendor untuk melakukan pentest untuk mencegah kebocoran serupa terjadi lagi di masa depan. Tujuannya di sini adalah untuk mengungkap kerentanan tambahan yang ada dan lubang yang mungkin dimiliki organisasi karena sudah sangat menyadari bahwa ada kekurangan sejak awal. Ini adalah pendekatan reaktif yang digunakan untuk mencegah pelanggaran serupa di masa mendatang.

 

Perspektif Vulnerability Assessment

Waktu dan tujuan dari Vulnerability Assessment dapat sedikit berbeda dibandingkan dengan uji penetrasi.

Pelaksanaan pentest terkadang lebih responsif atau wajib karena berbagai alasan, VA dapat lebih bersifat siklus untuk proaktif dalam menemukan kerentanan dan melakukan perbaikaning sebagai bagian dari program manajemen kerentanan yang sedang berlangsung atau ketika kerentanan baru dirilis. Pentest juga dimasukkan sebagai bagian dari program manajemen kerentanan, namun, ini akan jauh lebih jarang daripada VA dalam program yang sebenarnya. VA harus menjadi proses yang sering dan berkelanjutan untuk terus memantau dan mengidentifikasi kelemahan dalam suatu organisasi dan mengurangi potensi serangan.

Ada juga banyak kasus di mana VA dilakukan setelah kebocoran terjadi, ketika kerentanan baru yang menonjol terungkap, atau jika terjadi perubahan dalam jaringan atau aplikasi. Beberapa tujuan dan waktu diadakannya VA adalah sebagai berikut:

  • Kerentanan baru dirilis, ketika ada kerentanan judul baru yang beredar, banyak perusahaan dan eksekutif langsung panik. Penilaian dilakukan segera setelah tersiar kabar bahwa salah satu dari kerentanan ini telah terungkap, dan tujuannya di sini adalah untuk menentukan apakah ada kerentanan semacam itu dalam suatu organisasi.
  • Perubahan jaringan/aplikasi, ini termasuk dalam program manajemen kerentanan tetapi akan tetap terpisah karena tidak semua organisasi memiliki atau memelihara program semacam itu. Setiap kali terjadi perubahan, pembaruan, atau migrasi besar-besaran, menjadi pemicu untuk memindai ulang dan menilai lingkungan untuk menemukan kelemahan yang mungkin timbul akibat perubahan ini.
  • Program manajemen kerentanan, keamanan aplikasi dan manajemen perbaikan adalah proses berkelanjutan dalam program manajemen kerentanan yang baik. Ini akan mencakup pemindaian kerentanan aplikasi dan jaringan untuk mengidentifikasi kelemahan dan perbaikan yang harus diterapkan. Seluruh program harus bersifat siklus yang akan membutuhkan penilaian kerentanan setiap bulan, triwulanan atau tahunan, tergantung pada target, untuk tetap berada di atas kerentanan dan eksposur baru dalam suatu organisasi.
  • Setelah pelanggaran atau kebocoran, penilaian kerentanan harus dimulai untuk mengungkap potensi kelemahan yang masih ada dalam organisasi untuk mencegah serangan lain terjadi. Karena yang terpenting dalam menjaga eksposur ini seminimal mungkin dan meminimalkan kemungkinan terjadinya dalam waktu dekat.

 

Bagaimana Pelaporan Hasil dari Penetration Testing dan Vulnerability Assessment?

Laporan Penetration Testing

Setelah semua proses pentest dilakukan dan pentester memberikan laporan akhir dari upaya peretasan mereka, maka Anda akan menerima laporan hasil penetration testing.

Setiap laporan pentest biasanya akan mengikuti garis besar yang sama dalam arti bahwa akan memiliki awal, tengah dan akhir. Namun perlu diperhatikan, tidak semua vendor akan mengikuti kata demi kata dalam laporan pentest yang dihasilkan, mereka dapat menambah atau menghapus bagian tertentu, atau mengikuti struktur yang berbeda.

Berikut adalah rincian dari apa yang biasanya terlihat secara berurutan:

  1. Ringkasan eksekutif

Hampir semua laporan dibuka dengan ringkasan eksekutif, yang merupakan rangkuman isi laporan dalam format non-teknis sehingga dapat dipahami oleh semua orang. Pada tingkat tinggi, proses, temuan dan rekomendasi akan dibahas untuk memberikan tinjauan umum terhadap hasil penilaian.

  1. Ringkasan temuan dan rekomendasi

Ringkasan temuan dan rekomendasi bisa disertakan dalam laporan, bisa juga tidak. Para eksekutif dan orang-orang yang sedikit lebih teknis akan merasa berguna untuk memiliki pemahaman yang lebih baik tentang beberapa temuan spesifik dalam laporan yang ditulis dalam format paragraf. Ringkasan temuan dan rekomendasi dapat dipecah menjadi dua sub-bagian, yaitu tinjauan umum dari temuan dan tinjauan rekomendasi. Temuan mungkin termasuk beberapa temuan berisiko lebih tinggi (jika ada) serta beberapa kontrol keamanan positif yang ditemukan. Rekomendasi umumnya mencakup perbaikan risiko yang lebih tinggi atau apa pun yang secara konsisten terlihat yang perlu ditangani (contoh: terlalu banyak konfigurasi SSL/TLS yang sudah ketinggalan zaman).

  1. Temuan terperinci secara berurutan (yaitu berdasarkan peringkat risiko)

Ini merupakan sebagian besar dari isi laporan. Setiap temuan akan ditulis dengan ringkasan, detail teknis, langkah remediasi (termasuk gambar jika ada), dan rekomendasi yang juga dapat menyertakan tautan untuk referensi.

  1. Metodologi

Beberapa vendor akan menyertakan bagian metodologi dalam laporan untuk menguraikan proses yang diambil oleh pentester dan pendekatan pengujian yang dilakukan. Ini umumnya merupakan template yang dibuat oleh vendor untuk disertakan dalam semua laporan. Hal ini dapat membantu organisasi Anda memiliki pemahaman yang lebih baik tentang seberapa teknis dan mendalam metodologi pengujian tersebut.

  1. Referensi

Bagian ini dapat mencakup daftar alat dan aplikasi yang digunakan untuk penilaian dan materi relevan lainnya.

  1. Lampiran

Bagian terakhir yang disediakan untuk materi apa pun yang memerlukan informasi tambahan yang relevan dengan laporan tetapi tidak penting untuk bagian utama laporan.

 

Laporan Vulnerability Assessment

Karena proses VA dapat berubah secara drastis dari perusahaan ke perusahaan, atau hanya dari penilaian ke penilaian, tergantung pada persyaratan dan ruang lingkup yang digunakan, maka laporan VA dapat dilihat seperti apa laporan umum ketika menjalankan VA di jaringan, aplikasi berbasis web, atau kode sumber.

Hal terpenting yang dapat diharapkan adalah laporan rinci dari temuan yang ditemukan di seluruh ruang lingkup penilaian. Ini biasanya merupakan keluaran langsung atau sedikit dimodifikasi dari aplikasi pemindai yang mencakup detail lengkap dari host, kerentanan, nomor CVE, peringkat risiko, dampak, rekomendasi, dan banyak lagi.

Misalnya, Anda mungkin hanya memerlukan pemindaian 10 teratas OWASP pada aplikasi web Anda, atau Anda mungkin memerlukan penilaian internal penuh atas jaringan Anda untuk memenuhi persyaratan tertentu bagi auditor. Terlepas dari itu, laporan ini akan memenuhi kebutuhan tersebut dengan perincian lengkap dari setiap temuan yang ditemukan.

Selain laporan dan bergantung pada ruang lingkup penilaian, laporan mungkin disertai dengan verifikasi temuan yang mencakup false positif. Ini adalah langkah tambahan dalam beberapa penilaian yang terjadi setelah pemindaian actual. Dilakukan secara manual memeriksa setiap temuan satu per satu untuk memverifikasi bahwa temuan tersebut benar-benar positif atau tidak. Beberapa organisasi menemukan ini sangat bermanfaat karena mereka dapat yakin dengan temuan yang diberikan kepada mereka dan tidak perlu membuang waktu mereka mencoba untuk menambal sesuatu yang tidak ada. Namun, tangkapan utama adalah bahwa langkah tambahan ini membutuhkan jam dan uang ekstra untuk diselesaikan, itulah sebabnya tidak semua perusahaan ingin ini dimasukkan sebagai bagian dari ruang lingkup.

 

Secara singkat, perbedaan Penetration Testing dan Vulnerability Assessment adalah…

Vulnerability Assessment

  • Customer Maturity Level: Rendah hingga Sedang. Biasanya diminta oleh pelanggan yang sudah mengetahui bahwa mereka memiliki masalah, dan membutuhkan bantuan untuk memulai.
  • Goal: Mencapai daftar prioritas kerentanan di lingkungan sehingga remediasi dapat terjadi.
  • Focus: Luas di atas kedalaman.

 

Penetration Testing

  • Customer Maturity Level: Tinggi. Klien percaya bahwa pertahanan mereka kuat, dan ingin menguji pernyataan itu.
  • Goal: Menentukan apakah postur keamanan yang matang dapat menahan upaya penyusupan dari penyerang tingkat lanjut dengan tujuan tertentu.
  • Focus: Kedalaman di atas luasnya.

 

Kesimpulan

Sebelum memulai proses perekrutan vendor untuk penilaian keamanan, penting untuk mengetahui perbedaan antara pentest dan VA untuk memastikan bahwa organisasi Anda mendapatkan apa yang diinginkan dan dibutuhkan berdasarkan kebutuhan bisnis Anda. Pentest dapat memiliki label harga yang jauh lebih tinggi daripada VA, tetapi jika Anda hanya membutuhkan VA, maka tidak ada gunanya membayar semua uang itu untuk pentest.

Setelah Anda memiliki pemahaman yang kuat tentang perbedaan utama, Anda dapat membuat keputusan yang tepat untuk organisasi Anda dan menentukan ruang lingkup pekerjaan dengan lebih baik. Pada akhirnya, Anda akan mendapatkan jenis pengujian dan laporan yang Anda cari dan perbaikan yang diperlukan.

 

 

Referensi:

https://hitachi-systems-security.com/penetration-testing-vs-vulnerability-assessment/

https://danielmiessler.com/study/vulnerability-assessment-penetration-test/

 

 

Artikel Lainnya

Menu
Open chat