Kenapa Penetration Testing Penting Untuk Dilakukan ? (Bagian 2)

Penetration Testing sangat berharga karena beberapa alasan:

  1. Menentukan kelayakan set tertentu dari vektor serangan
  2. Mengidentifikasi berisiko tinggi kerentanan yang dihasilkan dari kombinasi rendah-risiko kerentanan dieksploitasi dalam urutan tertentu
  3. Mengidentifikasi kerentanan yang mungkin sulit atau tidak mungkin untuk mendeteksi dengan jaringan otomatis atau aplikasi perangkat lunak kerentanan pemindaian
  4. Menilai besarnya potensi bisnis dan dampak operasional serangan sukses
  5. Pengujian kemampuan pembela jaringan untuk berhasil mendeteksi dan merespon serangan
  6. Memberikan bukti untuk mendukung peningkatan investasi dalam aparat keamanan dan teknologi

Penetration Testing adalah komponen penuh audit keamanan . Sebagai contoh, Industri Kartu Pembayaran Standar Keamanan Data (PCI DSS), dan standar keamanan dan audit, membutuhkan pengujian penetrasi baik tahunan dan berkelanjutan (setelah perubahan sistem) .

Kotak hitam vs kotak putih

Uji Penetration Testing dapat dilakukan dalam beberapa cara. Perbedaan yang paling umum adalah jumlah pengetahuan tentang rincian pelaksanaan sistem sedang diuji yang tersedia untuk penguji. pengujian kotak hitam tidak menganggap pengetahuan sebelumnya dari infrastruktur yang akan diuji.

Para penguji harus terlebih dahulu menentukan lokasi dan luasnya sistem sebelum memulai analisis mereka. Di ujung lain dari spektrum, pengujian kotak putih memberikan penguji dengan pengetahuan lengkap tentang infrastruktur yang akan diuji, sering termasuk diagram jaringan, source code, dan informasi pengalamatan IP.

Ada juga beberapa variasi di antara, sering dikenal sebagai tes kotak abu-abu . Uji Penetration Testing juga dapat digambarkan sebagai “pengungkapan penuh” (kotak putih), “pengungkapan parsial” (abu-abu box), atau “buta” (kotak hitam) tes berdasarkan jumlah informasi yang diberikan kepada pihak pengujian.

Manfaat relatif dari pendekatan ini diperdebatkan. Pengujian kotak hitam mensimulasikan serangan dari seseorang yang belum terbiasa dengan sistem. Pengujian kotak putih mensimulasikan apa yang mungkin terjadi selama “pekerjaan orang dalam” atau setelah “kebocoran” informasi sensitif, di mana penyerang memiliki akses ke kode sumber, layout jaringan, dan mungkin bahkan beberapa password.

Layanan yang ditawarkan oleh perusahaan pengujian penetrasi span kisaran yang sama, dari hasil scan sederhana dari sebuah organisasi alamat IP ruang untuk port terbuka dan spanduk identifikasi audit penuh kode sumber untuk aplikasi.

Dasar Pemikiran

Sebuah Penetration Testing harus dilakukan pada setiap sistem komputer yang akan digunakan dalam lingkungan yang tidak bersahabat, khususnya dalam internet situs dihadapi, sebelum digunakan. Ini memberikan tingkat jaminan praktis bahwa setiap pengguna jahattidak akan mampu menembus sistem.

Kotak hitam pengujian Penetration Testing berguna dalam kasus-kasus di mana tester mengasumsikan peran seorang hacker luar dan mencoba untuk menyusup ke sistem tanpa pengetahuan yang memadai tentang hal itu.

Resiko

Pengujian Penetration Testing dapat menjadi teknik yang sangat berharga untuk setiap program keamanan informasi organisasi. Dasar kotak pengujian Penetration Testing putih sering dilakukan sebagai proses murah sepenuhnya otomatis.

Namun, kotak hitam pengujian Penetration Testing adalah kegiatan padat karya dan membutuhkan keahlian untuk meminimalkan risiko ke sistem target. Minimal, hal itu mungkin memperlambat respon jaringan organisasi waktu karena pemindaian jaringan dan pemindaian kerentanan.

Selain itu, ada kemungkinan bahwa sistem dapat rusak dalam proses pengujian Penetration Testing dan dapat diberikan bisa dioperasi, meskipun manfaat organisasi dalam mengetahui bahwa sistem bisa saja diberikan bisa dioperasi oleh penyusup. Meskipun risiko ini diminimalisir dengan menggunakan penguji penetrasi yang berpengalaman, tidak pernah dapat sepenuhnya dihilangkan.

ITGID akan mengadakan Training Penetration Testing pada bulan Oktober 2016

Informasi Lengkap Training Penetration Testing Terdekat Bulan Oktober 2016 dapat di lihat di link berikut itgid.org/training
Venue Training : IT Learning Center

Rate this post

Bagikan:

[yikes-mailchimp form=”2″]

× Apa yang bisa kami bantu?