Kami memberikan jasa pelaksanaan Penetration Test (pentest) / Security Assessment / Vulnerability Assessment runtuk perusahaan ataupun organisasi, Jasa pentest ini bertujuan untuk menguji dan menilai kerentanan dari sistem keamanan (sistem aplikasi dan infrastruktur) dalam perusahaan ataupun organisasi Anda berdasar pada pelaksanaan IT , sehingga dapat mendeteksi serta mencegah terjadinya hal-hal yang tidak diharapkan (kecurangan/ pencurian/ kehilangan, dll) . Diharapkan dengan adanya Penetration Test/ Security Assesment ini dapat menciptakan rasa aman bagi pengguna perusahaan yang baik khususnya dalam pelaksanaan tata kelola IT.
Pendekatan yang Kami lakukan dalam melakukan Penetration Test ini adalah :
- External Security Assesment, adalah pengujian keamanan informasi dari luar sistem organisasi perusahaan,
- Internal Security Assesment adalah pengujian keamanan informasi dari dalam sistem organisasi Perusahaan
External Security Assesment adalah pengujian keamanan informasi dari luar sistem organisasi perusahaan,
Security Assesment dilakukan berdasarkan Real Hacking Scenario, sebagai bagian dari hacking, dimana disimulasikan bahwa Perusahaan sedang diserang oleh hacker dari external.
Terdapat beberapa skenario yang bisa digunakan (disesuaikan dengan kebutuhan) yaitu:
- Black Box/Zero-Knowledge Testing
Skenario black box, pelaksana SA melakukan testing tanpa mengetahui apapun tentang target. Scan tersebut dimaksudkan untuk menyimulasikan serangan nyata dan untuk meminimalkan false positive. Pelaksana SA akan melakukan black-hat testing memetakan jaringan, mengetahui service maupun server secara diam-diam.
- White Box/Complete-Knowledge Testing
Skenario white box, pelaksana SA melakukan testing dengan pengetahuan penuh tentang infrastruktur, mekanisme pertahanan, jalur komunikasi dari sebuah sistem. Scan tersebut menyimulasikan penyerang yang memiliki hak penuh dan akses tidak terbatas ke sistem target.
Keseluruhan dari temuan celah keamanan informasi dibagi kepada 3 kategori yaitu High Medium dan Low, dimana kategori ini berdasarkan Infosec Risk Matrix berikut:
Impact
Impact adalah dampak yang akan ditimbulkan dari celah keamanan, dibagi menjadi 3 kategori yaitu High, Medium dan Low.
High
Sistem dapat down dan terganggu, beresiko tinggi (terformat, deface, terhapus) dan juga keluarnya informasi sensitive (kartu kredit, username password, informasi nasabah, dan lainnya). Hal ini akan berdampak pada financial loss yang besar dan rusaknya nama perusahaan.
Medium
Sistem dapat terganggu, data terkorupsi, informasi teknis yang terekspos (IP internal, informasi sistem, direktori internal yang terekspos). Ancaman ini dapat merugikan perusahaan dengan berkurangnya annual profit dan hilangnya kepercayaan nasabah.
Low
Informasi sistem yang dapat diambil (tipe OS, versi servis yang berjalan, dll), gangguan skala kecil dan efek yang kecil pada annual income.
Likelihood
Likelihood adalah kecenderungan celah keamanan ini dapat dieksploitasi atau dapat diketahui. Dibagi menjadi 3 kategori yaitu High, Medium, dan Low.
High
Celah keamanan ini dapat dengan mudah dieksploitasi dengan adanya tools dan cara-cara yang tersebar di internet. Tidak dibutuhkan skill teknis untuk mengeksploitasi celah keamanan ini.
- Medium
Celah keamanan ini dapat dengan mudah di eksploitasi namun butuh kemampuan teknis (cenderung sukar dilakukan).
- Low
Celah keamanan ini sangat susah ditemukan, mengeksploitasinya perlu kemampuan dan pengetahuan akan keamanan informasi disamping kemampuan teknis lainnya (networking dan programming).