Contact Us
Vulnerability Assessment & Penetration Testing
You’re Not Strong as You Think

Apakah Anda yakin keamanan dalam lingkungan organisasi Anda aman dari ancaman luar?

Keamanan dalam lingkungan organisasi merupakan aspek penting dalam perusahaan yang harus terjaga keamanannya dan juga tidak boleh sampai terkena serangan dari luar, karena jika hal tersebut terjadi akan merugikan perusahaan, baik materil maupun imateril.

Mengenal VAPT

Vulnerability assessment (penilaian kerentanan) adalah proses mengidentifikasi, mengukur, dan memprioritaskan (atau memberi peringkat) kerentanan dalam suatu sistem. Kegiatan Vulnerability assessment meliputi, information technology systems, energy supply systems, water supply systems, transportation systems, dan communication systems. Penilaian tersebut dapat dilakukan oleh berbagai organisasi yang berbeda, dari organisasi kecil hingga besar. Kerentanan dari perspektif disaster management berarti menilai ancaman berdasarkan potensi bahaya terhadap linkgungan dan infrastruktur. Hal tersebut dapat dilakukan di bidang politik, sosial, ekonomi atau lingkungan.

Vulnerability assessment Penilaian biasanya dilakukan sesuai dengan langkah-langkah berikut:

  • Mendaftarkan aset dan kemampuan (sumber daya) dalam suatu sistem.
  • Menetapkan nilai terukur (atau setidaknya urutan tingkat) dan pentingnya sumber daya tersebut
  • Mengidentifikasi kerentanan atau potensi ancaman terhadap setiap sumber daya
  • Memitigasi atau menghilangkan kerentanan untuk sumber daya yang paling berharga

Vulnerability assessments memberikan gambaran terkait kelemahan keamanan dalam lingkungan organisasi, juga memberikan arahan dalam menilai risiko dan ancaman yang terus berkembang. Proses ini memberikan pemahaman mengenai aset organisasi, sistem keamanan dan risiko yang dihadapi, serta mengurangi kemungkinan adanya cybercriminal yang akan menyerang sistem perusahaan.

 

Jenis-jenis vulnerability assessments

Vulnerability assessments dilakukan saat adanya temuan-temuan di dalam sistem atau kerentanan jaringan, proses penilaian mencakup penggunaan berbagai alat, pemindai, dan metodologi untuk mengidentifikasi kerentanan, ancaman, dan risiko.

Beberapa jenis vulnerability assessments adalah sebagai berikut:

  • Network-based scans digunakan untuk mengidentifikasi kemungkinan serangan keamanan jaringan. Jenis peninjauan ini juga dapat mendeteksi sistem yang rentan pada jaringan kabel atau nirkabel.
  • Host-based scans digunakan untuk mencari dan mengidentifikasi kerentanan di server, workstation atau host jaringan lainnya. Jenis peninjauan ini biasanya akan memeriksa port dan layanan yang mungkin terlihat oleh Network-based scans, tetapi penilaian ini menawarkan tingkat visibilitas yang lebih besar pada pengaturan konfigurasi dan menampung riwayat sistem yang telah diamati.
  • Wireless network scans pada jaringan Wi-Fi organisasi biasanya fokus pada titik-titik serangan infrastruktur jaringan nirkabel. Selain mengidentifikasi jalur akses yang terindikasi, pengamatan jaringan nirkabel juga dapat memvalidasi bahwa jaringan perusahaan terkonfigurasi dengan aman.
  • Application scans, dapat digunakan untuk menguji situs web dan mendeteksi kerentanan perangkat lunak serta kesalahan dalam konfigurasi aplikasi jaringan atau web.
  • Database scans, dapat digunakan untuk mengidentifikasi titik lemah dalam basis data sehingga dapat mencegah serangan berbahaya, seperti serangan injeksi SQL.

 

Vulnerability assessments vs. penetration tests

Vulnerability assessments sering kali menyertakan komponen pengujian penetrasi (penetration testing) untuk mengidentifikasi kerentanan dalam prosedur atau proses organisasi yang mungkin tidak terdeteksi dengan pengamatan jaringan atau sistem. Proses ini terkadang disebut sebagai vulnerability assessments atau penetration testing, atau VAPT.

Vulnerability assessments bertujuan untuk menemukan risiko kerentanan dalam jaringan dan merekomendasikan mitigasi atau remediasi yang tepat untuk mengurangi atau menghilangkan risiko.

Sebaliknya, penetration testing melibatkan identifikasi kerentanan dalam suatu jaringan dengan mencoba mengeksploitasi untuk menyerang sistem. Namun, penetration testing tidak hanya sebatas penilaian kerentanan saja.  Meskipun dilakukan bersamaan dengan vulnerability assessments, tujuan utama penetration testing adalah untuk memeriksa apakah kerentanan benar-benar ada dan untuk membuktikan bahwa mengeksploitasi dapat merusak aplikasi atau jaringan.

Sementara penilaian kerentanan biasanya otomatis untuk mencakup berbagai kerentanan yang belum ditampung, penetration testing umumnya menggabungkan teknik otomatis dan manual untuk membantu penguji menyelidiki lebih jauh ke dalam kerentanan dan mengeksploitasinya untuk mendapatkan akses jaringan ke dalam lingkungan yang terkendali.

Vulnerability Assessment atau penilaian kerentanan ini dapat memberikan berbagai informasi mengenai kelemahan keamanan pada IT environment perusahaan Anda. penilaian kerentanan juga dapat memberikan arahan mengenai cara-cara untuk memulihkan atau mengurangi masalah tersebut sebelum kerentanan dapat dieksploitasi peretas.

Proses ini akan membantu Anda memahami infrastruktur IT Anda dengan baik serta melihat kelemahan dan risiko keamanan secara keseluruhan. Dengan demikian, Anda dapat meningkatkan keamanan IT environment perusahaan agar terhindar dari penjahat dunia maya yang mengincar akses tidak sah.

Secara garis besar, terdapat beberapa alasan mengapa VA penting untuk dilakukan secara rutin di dalam sebuah perusahaan. Beberapa alasan tersebut seperti:

  • Anda dapat mengidentifikasi ancaman atau kelemahan keamanan sistem sejak awal sebelum pelanggaran terjadi.
  • Anda dapat memahami kerentanan yang ditemukan berdasarkan prioritas, urgensi, serta dampak yang dapat ditimbulkan.
  • Melindungi pelanggaran data dan akses tidak sah lainnya.
  • Membantu perusahaan untuk terhindar dari denda atau tuntutan hukum jika pelanggaran data terjadi.

Seiring dengan meningkatnya ketergantungan aktivitas bisnis pada teknologi informasi, khususnya untuk menyimpan data penting perusahaan, menjaga setiap informasi dan data dari serangan siber menjadi hal yang perlu di prioritaskan. Hal utama yang dapat dilakukan suatu perusahaan untuk menjaga aset berharga (data) mereka adalah dengan memastikan keamanan jaringan mereka terlindungi dari potensi serangan siber.

Di era transformasi digital saat ini, perusahaan harus semakin mulai menyadari pentingnya menjaga keamanan jaringan. Namun demikian, hingga saat ini masih juga terjadi banyak serangan siber yang menargetkan perusahaan-perusahaan di Indonesia. Menurut hasil penelitian dari perusahaan riset Frost & Sullivan, Indonesia mengalami sekitar 50.000 serangan siber setiap harinya.

Sebenarnya, apa saja kendala yang dihadapi perusahaan sehingga tingkat serangan siber terus meningkat hingga saat ini? Ada banyak faktor yang melatarbelakangi masalah ini, seperti tidak tahu cara untuk mengoptimalkan keamanan siber, tidak mengetahui ketika perangkat dan sistem IT mereka telah diserang, dan yang paling sering terjadi adalah tidak menggunakan solusi terbaik dalam menghadapi ancaman siber.

Untuk mencegah potensi serangan siber, perusahaan membutuhkan suatu solusi keamanan yang memberikan visibilitas terhadap serangan serta kemampuan untuk mendeteksi dini segala jenis serangan yang mengancam keamanan jaringan.

Fitur - Fitur VAPT

Setiap security test ditulis sebagai external plugin. Dengan fitur seperti ini, kita dapat dengan mudah menambah test yang kita inginkan tanpa harus membaca.

Terdiri dari dua bagian yaitu: sebuah server yang berfungsi sebagai pelaku serangan, dan sebuah client yang berfungsi sebagai frontend. Client dan server dapat berjalan pada sistem yang berbeda. Arti dari fitur ini adalah bahwa keseluruhan jaringan dapat diaudit melalui sebuah PC, dengan server yang melakukan serangan ke jaringan yang dituju.

VA tidak mempercayai host yang dituju menggunakan port standar yang ditentukan oleh IANA. Ini berarti aplikasi dapat mengenali sebuah Web server yang berjalan pada port yang bukan merupakan port standar (contohnya pada port8080), atau sebuah FTP server yang berjalan pada port 31337.

Apabila ada dua buah Web server pada host yang dituju maka VA akan mengetes kedua Web server tersebut.

VA tidak hanya memberi tahu kelemahan dari jaringan yang dituju tetapi juga memberikan cara yang dapat digunakan untuk mencegah the bad guy utnuk mengeksploitasi kelemahan dari jaringan dan juga memberikan level resiko dari setiap masalah yang ditemukan.

Unix client dapat mengekspor laporan sebagai Ascii text, HTML, LaTeX, dll.

Benefit VAPT

Deteksi kelemahan keamanan sebelum attacker melakukannya.

Eksposur keamanan jaringan biasanya merupakan akibat dari kesalahan coding yang tidak tepat dan kesalahan konfigurasi keamanan. Peretas akan mengeksploitasi area lemah ini untuk mendapatkan akses ke data rahasia dan menjalankan perintah yang tidak sah.

VA harus dilakukan setiap tiga bulan dan setiap kali layanan baru ditambahkan, port dibuka, atau peralatan baru dipasang. Penilaian rutin akan memastikan perusahaan Anda selalu menyadari kelemahan sistemnya dan dapat menambalnya sebelum penjahat cyber memiliki kesempatan untuk mengeksploitasinya.

Memahami Tingkat Risiko Terkait Dengan Infrastruktur IT Perusahaan

VA mengukur kebersihan IT Anda. Selama penilaian, alat deteksi digunakan untuk mengidentifikasi dan mengukur eksposur risiko di semua aset perangkat lunak dan perangkat keras perusahaan.

Alat ini kemudian menghasilkan laporan yang mencantumkan dan menilai aset yang terdeteksi dan tingkat kerentanannya. Rincian laporan  ini menunjukkan perusahaan Anda di mana area yang berisiko lebih tinggi, sehingga Anda dapat memperoleh pemahaman yang lebih baik tentang di mana lingkungan Anda yang berisiko.

Kelola dan Alokasikan Sumber Daya Secara Efisien

Dengan memindai semua aset di lingkungan Anda, laporannya sangat teliti dan menunjukkan tingkat eksposur setiap aset terhadap risiko keamanan siber. Dengan mengetahui area mana yang paling terbuka, Anda dapat mengalokasikan sumber daya keamanan secara efisien untuk memperbarui dan menambal perangkat lunak yang memerlukan perhatian segera terlebih dahulu

Tingkatkan Sistem Keamanan Secara Efektif

Mengidentifikasi kerentanan yang dapat dieksploitasi dari setiap aset dalam sistem Anda menunjukkan kepada Anda aset mana yang harus Anda tingkatkan atau tingkatkan alih-alih hanya ditambal. Meningkatkan teknologi Anda akan meningkatkan kinerja sistem Anda secara keseluruhan dan meningkatkan efisiensi bisnis.

Tingkatkan Kredibilitas dengan Customers, Partners, dan Stackholder Anda

Customers, Partners, dan Stackholder menghargai perusahaan yang jujur tentang langkah-langkah keamanan yang mereka miliki untuk melindungi privasi mereka. Memiliki rencana keamanan yang komprehensif memudahkan untuk mengomunikasikan rencana Anda secara efektif kepada pelanggan dan meningkatkan kredibilitas perusahaan Anda.

Learn More​

Get your product here
Speak to a Specialist
Indonesian Cloud adalah penyedia layanan komputasi awan paling terpercaya, andal dan aman. Kami menerapkan teknologi terbaik yang disertifikasi secara independen, mempekerjakan orang-orang terbaik, dan menyebarkan platform cloud kami di pusat data keamanan tertinggi di Indonesia.

PT Indonesian Cloud

Menara MTH lantai 12,
Jl. MT Haryono Kav.23
Jakarta Selatan 12820, Indonesia.
(62) 21 8378 2540

Sertifikasi Indonesian Cloud

Ikuti aktivitas kami di media sosial:

© Copyright 2020. Indonesian Cloud
Tertarik dengan produk kami? Silahkan isi form dibawah ini.
Punya pertanyaan seputar solusi dan layanan kami atau butuh bantuan teknis?