Kematian Pen-Test Manual: Titik Buta, Visibilitas Terbatas

  • Whatsapp
view counter


Pengujian penetrasi manual (pengujian pena) semakin ditantang oleh metode otomatis penemuan dan pengelolaan kerentanan. Alasannya tidak sulit untuk dipahami: biaya dan cakupan pengujian manual terlalu tinggi dan terlalu terbatas.

Bacaan Lainnya

Sebuah survei baru terhadap lebih dari 100 IT dan manajer keamanan yang terlibat dalam praktik pengujian pena perusahaan dengan lebih dari 3.000 karyawan memberikan rincian lebih lanjut. Survei dilakukan oleh Informa Tech atas nama CyCognito.

Survei / laporan tersebut menunjukkan bahwa alasan utama dilakukannya pentesting adalah untuk mengukur postur keamanan perusahaan (70 persen), dan untuk mencegah terjadinya pelanggaran (69 persen). Jelas dari tanggapan lain, bagaimanapun, bahwa ada kekhawatiran luas tentang apakah pentesting dapat memenuhi persyaratan ini.

Kekhawatiran utama adalah pentesting tidak mencakup seluruh infrastruktur, meninggalkan titik buta (60 persen); itu hanya memeriksa aset yang dikenal daripada menemukan dan menguji aset yang mungkin telah dilupakan, atau tidak dikenali, di lingkungan cloud (47 persen); biaya pengujian pena terlalu tinggi untuk digunakan secara ekstensif (44 persen); dan, terkait dengan biaya, hasil pengujian pena hanya memberikan gambaran berkala dalam waktu yang mungkin tidak lagi akurat sehari setelah pengujian (36 persen).

Kekhawatiran ini bukanlah kritik dari penguji pena itu sendiri. Penguji pena masih memberikan, kata CyCognito, “cara yang valid untuk menampilkan beberapa kerentanan di bagian tertentu dari permukaan serangan pada satu titik waktu”. Pengujian pena dilakukan oleh profesional terampil yang membawa kreativitas manusia ke dalam tantangan yang kompleks.

Implikasi dari pernyataan ini adalah bahwa pengujian pena manual masih memiliki tempat untuk menguji keamanan aset pelanggan yang mungkin paling penting; tetapi hanya sebagai tambahan untuk pemantauan otomatis permukaan serangan secara keseluruhan.

Alasan utama mengapa pengujian pena tidak dapat diperpanjang di seluruh permukaan serangan adalah biaya. Tujuh puluh sembilan persen responden mengatakan bahwa pentesting itu mahal, dengan 78 persen mengatakan bahwa biaya mencegah pengujian semua aplikasi, dan 76 persen mengatakan bahwa biaya tersebut mencegah pengujian lebih sering. Untuk menempatkan biaya ini ke dalam perspektif, 12 persen menghabiskan lebih dari $ 1 juta setiap tahun untuk pengujian pena, sementara 8 persen lainnya menghabiskan antara $ 500.000 dan $ 1 juta.

Tiga puluh lima persen menghabiskan kurang dari $ 100.000 – dan terbuka untuk menduga apakah pentesting minimum dilakukan hanya untuk mematuhi peraturan yang mewajibkan itu. Jelasnya, memastikan kepatuhan adalah pendorong paling umum ketiga untuk pentesting, dengan 65%.

Selain biaya, cakupan juga menjadi perhatian dengan pengujian pena manual. Kekhawatiran terbesar, pada 60 persen, adalah bahwa itu hanya memberikan cakupan pengujian terbatas pada sebagian permukaan serangan, meninggalkan terlalu banyak titik buta. Empat puluh tujuh persen responden juga prihatin bahwa tes penetrasi mereka hanya melihat aset yang diketahui dan tidak menemukan aset baru atau tidak dikenal.

Faktanya, 47 persen responden percaya bahwa pentesting menutupi kurang dari setengah permukaan serangan perusahaan mereka. Tiga puluh delapan persen percaya itu mencakup lebih dari 50 persen, dengan 10 persen sisanya tidak tahu.

Kurangnya cakupan ini meluas ke waktu serta permukaan serangan. Karena biaya pengujian pena, ini hanya dapat dilakukan secara jarang. Perusahaan yang memiliki postur keamanan yang baik dan patuh pada hari pengujian, dapat memiliki postur yang buruk dan keluar dari kepatuhan dalam beberapa hari pengujian.

Pada kenyataannya, perusahaan mungkin tidak pernah mendapatkan gambaran sebenarnya tentang postur keamanannya dari pengujian pena karena dalam 24 persen kasus, dibutuhkan lebih dari 2 minggu dari pengujian hingga penerimaan laporan penguji. Selama waktu ini, kerentanan baru dapat diperkenalkan tanpa kemungkinan ditemukan oleh penguji.

Jelas terlihat bahwa ukuran infrastruktur digital – yang terus meningkat seiring dengan proses digitalisasi – pertumbuhan aset berbasis cloud; dan pergerakan menuju aset yang tersebar melalui paradigma baru bekerja dari rumah (WFH), berarti pentesting manual sama sekali tidak mampu melindungi jaringan modern. Meskipun CyCognito tidak menentukan kebutuhan untuk pengujian keamanan otomatis, deskripsi tentang apa yang diperlukan tidak dapat dicapai dengan pengujian perangkat lunak otomatis.

Ini adalah, “Pendekatan tersebut perlu memungkinkan penemuan berkelanjutan dari semua aset yang terkena penyerang di seluruh organisasi dan di lingkungan yang terkait erat seperti milik anak perusahaan, mitra, pemasok, dan penyedia layanan cloud.”

Rob Gurzeev, CEO dan salah satu pendiri CyCognito, menambahkan, “Uji keamanan harus memberi tahu organisasi apa yang dapat dilihat dan dieksploitasi oleh penyerang sehingga pembela HAM dapat mencegah pelanggaran. Tetapi ketika perusahaan hanya dapat melihat aset yang sudah mereka ketahui, menguji hanya sebagian dari permukaan serangan mereka, dan melakukannya hanya beberapa kali per tahun, mencegah pelanggaran tidak mungkin dilakukan. Jadi, kesimpulan terbesar dari laporan ini (PDF) adalah bahwa apa yang organisasi ingin atau harapkan untuk dicapai melalui pentesting versus apa yang sebenarnya mereka capai adalah dua hal yang sangat berbeda. “

CyCognito yang berbasis di Palo Alto, California didirikan pada 2017 oleh Dima Potekhin (CTO) dan Rob Gurzeev (CEO). Ini telah mengumpulkan total $ 53 juta, dengan yang terbaru dari a Seri B $ 30 juta putaran pendanaan pada Juli 2020.

Terkait: Perusahaan Tim Merah Otomatis Randori Mengumpulkan $ 20 Juta

Terkait: Menggali ‘Attackability’ dari Kerentanan yang Menarik Peretas

Terkait: Pengujian Penetrasi Otomatis Startup Pcysys Mengumpulkan $ 10 Juta

Terkait: Manajemen Kerentanan Berbasis Risiko adalah Keharusan untuk Keamanan & Kepatuhan

Kevin Townsend adalah Kontributor Senior di SecurityWeek. Dia telah menulis tentang masalah teknologi tinggi sejak sebelum kelahiran Microsoft. Selama 15 tahun terakhir ia memiliki spesialisasi dalam keamanan informasi; dan telah memiliki ribuan artikel yang diterbitkan di lusinan majalah yang berbeda – dari The Times dan Financial Times hingga majalah komputer saat ini dan yang sudah lama hilang.

Kolom Sebelumnya oleh Kevin Townsend:
Tag:



Source

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *