Tes penetrasi adalah serangan keamanan yang disimulasikan — pada dasarnya latihan permainan perang keamanan  yang dilakukan perusahaan terhadap sistemnya sendiri untuk memeriksa kerentanan yang dapat dieksploitasi. Dengan fokus pada keamanan firewall aplikasi web, uji pena menargetkan antarmuka pemrograman aplikasi, server, dan titik masuk yang bocor.

Perusahaan keamanan Laporan tahunan kedua Pentera tentang pen testing penerapan di AS dan Eropa menemukan bahwa 92% organisasi meningkatkan keseluruhan anggaran keamanan TI mereka. Delapan puluh enam persen meningkatkan anggaran mereka untuk pengujian pena, khususnya.

Baca Juga : WIRESHARK TOOLS TERBAIK UNTUK ANALISIS JARINGAN

Namun, pengujian pena dan anggaran keamanan TI tumbuh pada tingkat yang lebih signifikan di Eropa daripada di AS, dengan 42% responden di Eropa melaporkan peningkatan lebih dari 10% dalam anggaran pengujian pena mereka, dibandingkan dengan 17% responden di AS Oleh beberapa orang perkiraan pasar pengujian pena akan tumbuh 24,3% hingga 2026, dipimpin oleh pemain utama di sektor ini: IBM, Rapid7, FireEye, Veracode, dan Broadcom.

Pentera, yang mengotomatiskan validasi keamanan untuk perusahaan, mensurvei 300 eksekutif keamanan yang memegang posisi wakil presiden atau level C. Responden direkrut melalui panel penelitian B2B global dan diundang melalui email untuk menyelesaikan survei, dengan semua tanggapan dikumpulkan selama Desember 2022.

Lompat ke:

Layanan cloud dan infrastruktur menjadi fokus utama untuk pengujian pena

Studi Pentera menemukan bahwa rata-rata perusahaan memiliki 44 solusi keamanan di tempat, menunjukkan strategi pertahanan yang mendalam, di mana beberapa solusi keamanan berlapis untuk melindungi aset penting dengan sebaik-baiknya. Terlepas dari investasi besar dalam apa yang disebut strategi “pertahanan mendalam”, 88% organisasi yang disurvei Pentera telah menderita serangan dunia maya baru-baru ini.

Survei tersebut menawarkan perincian lapisan infrastruktur yang paling teruji:

• Infrastruktur dan layanan cloud (44%).
• Aset yang menghadap ke luar (41%).
• Jaringan inti (40%).
• Aplikasi (36%).
• Direktori Aktif dan penilaian kata sandi (21%).

Motivasi utama responden survei untuk pengujian pena adalah:

• Kontrol dan validasi keamanan (41%).
• Menilai potensi kerusakan serangan (41%).
• Asuransi dunia maya (36%).
• Kepatuhan terhadap peraturan (22%).

“Kami menyimpulkan bahwa CISO harus memberikan penekanan lebih besar pada validasi seluruh tumpukan keamanan untuk memastikan bahwa mereka dapat secara efektif mengurangi paparannya,” kata Aviv Cohen, chief marketing officer di Pentera.

Sebagian besar CISO berbagi tes pena dengan IT ASAP

Menurut Pentera, 47% kepala petugas keamanan informasi yang disurvei mengatakan bahwa mereka segera membagikan hasilnya kepada tim keamanan TI mereka. Sementara pada awalnya itu mungkin tampak seperti angka yang rendah, mengingat implikasi potensial untuk integritas operasional, Chen Tene, wakil presiden operasi pelanggan di Pentera, mengatakan itu adalah peningkatan besar dari sebelumnya ketika pengujian pena adalah tindakan menandai kepatuhan. ”

“Orang biasanya mendapatkan hasil berbasis kepatuhan dan memasukkannya ke dalam kotak untuk sertifikasi,” kata Tene. “Ketika Anda melihatnya sekarang, itu telah meningkat pesat – sebagian karena lebih banyak orang yang berfokus pada asuransi dunia maya, yang merupakan sesuatu yang mereka pahami.”

Salah satu perusahaan tersebut, Coalition, sebuah perusahaan keamanan siber dan asuransi, tidak memerlukan latihan tim merah dalam penjaminan emisi, menurut Tommy Johnson, insinyur keamanan di perusahaan tersebut.

“Meskipun dapat menunjukkan bahwa organisasi memiliki program keamanan yang matang dan memikirkan keamanan secara holistik, kami tidak melihatnya sebagai pemecah kesepakatan. Bagi kami, itu sinyal positif. Kami memberi insentif untuk itu, ”kata Johnson.

Orang dan kelompok lain kepada siapa CISO segera menyampaikan hasil pengujian pena termasuk:

• Dewan direksi (43% CISO pergi ke sini lebih dulu).
• Rekan C-suite (38%).
• Pelanggan (30%).
• Regulator (20%).
• Arsip (9%).
• Tidak ada tempat (3%).

Hambatan dan resistensi terhadap peretasan topi putih

Bisakah pengujian pena mengganggu operasi? CISO mengkhawatirkan hal itu. Faktanya, 45% dari mereka yang telah melakukan pengujian pena, baik manual maupun otomatis, mengatakan bahwa risiko terhadap aplikasi bisnis atau ketersediaan jaringan menghalangi mereka untuk meningkatkan frekuensi pengujian; 56% responden yang tidak melakukan pengujian pena sama sekali menyatakan sentimen itu juga. Ketersediaan — atau ketiadaan — penguji pena adalah alasan terbesar kedua untuk tidak melakukan pengujian.

Tene mengakui bahwa kekhawatiran gangguan itu sah-sah saja.

“Banyak organisasi mengalami gangguan dari pengujian pena,” kata Tene. “Ketika seorang penguji pena masuk ke suatu organisasi dan melakukan tes intrusif, selalu ada potensi untuk menciptakan tingkat penolakan layanan yang berbeda, misalnya, tetapi ketika ada seseorang yang duduk di depan administrator, Anda memiliki margin kesalahan. .”

Tene mengatakan pengujian pena otomatis, bisnis inti Pentera, menawarkan manfaat kecepatan dan efisiensi, membuatnya lebih mudah untuk menjaga ritme pengujian reguler untuk segala hal mulai dari peretasan kata sandi dan pergerakan lateral dalam jaringan hingga berbagai jenis eksploitasi dan eksploitasi silang.

Dia menegaskan bahwa, meskipun “ketika Anda memiliki seseorang, itu bagus,” mempekerjakan tim peretas topi putih untuk infrastruktur pengujian pena secara teratur tidak berada dalam lingkup anggaran banyak perusahaan. Dalam studi tersebut, 33% responden di AS mengutip ini sebagai alasan mereka tidak melakukan penilaian pengujian pena manual lebih sering.

“Satu orang dapat melakukan dua atau tiga tindakan pada waktu yang sama, tetapi sebuah mesin dapat melakukan 10 atau 15 tindakan pada waktu tertentu,” kata Tene.

Pengujian pena vs. kerja sama merah: Persamaan dan perbedaan?

Mungkin tergoda untuk menggabungkan pengujian pena dengan tim merah, tetapi meskipun ada beberapa tumpang tindih, ada perbedaan utama, menurut Johnson.

“Umumnya, pengujian penetrasi dilakukan untuk memindai aset jaringan dalam lingkup untuk kesalahan konfigurasi teknis atau kerentanan dan konfirmasikan melalui eksploitasi yang sebenarnya,” kata Johnson. “Tim merah lebih tepat sasaran.

“Biasanya melibatkan tim yang mengeksploitasi kelemahan teknis dan fisik untuk mencapai tujuan yang akan menyebabkan kerusakan pada organisasi jika pelaku ancaman melakukan hal yang sama.”

Contoh: Manajemen dapat mengarahkan tim merah untuk mencoba masuk ke pusat data dan memasukkan USB berbahaya ke server perusahaan tertentu. Latihan ini bisa melibatkan rekayasa sosialkloning lencana, eksploitasi teknis, dan taktik lain yang biasanya berada di luar cakupan tes pena standar.

Baca Juga : INI DIA KEGUNAAN COOKIES PADA WEBSITE

“Pengujian tim merah dan pena memiliki beberapa tumpang tindih, tetapi bagi saya, pembeda utama adalah tujuannya: Tes pena biasanya dirancang untuk menghitung dan mengeksploitasi kelemahan teknis, sedangkan latihan tim merah mengeksploitasi kelemahan fisik dan teknis untuk mencapai tujuan yang telah ditentukan sebelumnya. Namun, keduanya dirancang untuk menyoroti kelemahan keamanan yang mungkin perlu segera diperbaiki.

Apa yang akan mendorong pengujian pena pada tahun 2023?

Gartner diprediksi pada Oktober 2022 bahwa pengeluaran untuk produk dan layanan keamanan informasi dan manajemen risiko akan tumbuh 11,3% mencapai lebih dari $188,3 miliar tahun ini.

Pentera mengatakan 67% CISO dilaporkan memiliki tim merah internal, tetapi 96% eksekutif keamanan melaporkan bahwa pada akhir tahun 2023 mereka akan memiliki, atau berencana untuk memiliki, tim merah internal untuk tugas penting ini.

Tene mengatakan dalam waktu dekat akan membawa keamanan yang jauh lebih baik menuju infrastruktur cloud.

“Perusahaan mengandalkan cloud, tetapi tingkat keamanannya tidak diketahui, dan hanya sedikit profesional keamanan yang tahu cara memeriksanya,” kata Tene.

Tene juga memperkirakan akan ada masalah lanjutan seputar pemaparan kredensial di permukaan ancaman yang ditandai dengan akses jarak jauh ke ruang kerja, baik melalui VPN, kotak surat, telepon, atau jaringan rumah.

“Ini adalah titik awal untuk hampir setiap serangan,” kata Tene. “Namun, pemahaman konseptual tentang keamanan seputar kredensial akan jauh lebih baik, menurut saya, dan akan ada peningkatan kesadaran seputar kontrol identitas dalam operasi sehari-hari.”

Baca Juga : NI DIA KELEBIHAN TSHARK TOOLS ANALISIS JARINGAN