PENETRATION TEST UNTUK PENGETESAN KEAMANAN APLIKASI

iProteksi menyelesaikan jasa penetration test ke lebih dari 50 aplikasi milik bank di Indonesia setiap tahunnya, spesialisasi kami adalah mengamankan aplikasi perbankan. Aplikasi perbankan perlu ditest oleh ahli keamanan Teknologi Informasi (TI) profesional secara regular berkala, dan setiap kali ada perubahan system, proses ini disarankan oleh PCI-DSS (Payment Card Industry Data Security Standard) dan juga mendukung evaluasi resiko seperti digariskan di NIST Risk Management Framework SP 800-53.

Penetration Test (Pengujian Pembobolan) tidaklah sama dengan Vulnerability Assessment (Evaluasi Celah Kemanan). Vulnerability Assessment (VA) bisa dilakukan Secara otomatis dalam waktu singkat, menindaklanjuti temuan VA bisa membantu anda untuk terhindar dari serangan bot, tetapi mungkin belum cukup untuk mencegah serangan dari hacker yang asli. Penetration Test (PenTest) sebaliknya, merupakan simulasi serangan siber (cyber attack) terhadap system computer, membutuhkan banyak pekerjaan manual yang dilakukan oleh personil dengan keahlian yang tinggi yang harus dilakukan oleh seseorang dari luar organisasi, PenTest atau ethical hacking bisa menyingkap kelemahan keamanan yang sesungguhnya dengan menguji keamanan cybertech seperti jaringan, perangkat keamanan, infrastruktur, dan aplikasi.

Kami menawarkan 3 pendekatan untuk PenTest:

1. White Box : Pendekatan ini mencerminkan serangan dari dalam perusahaan, sehingga memberikan informasi menyeluruh mengenai kerentanan aplikasi yang diuji . Pada skenario White Box / Kotak Putih ini, Pen Tester kami diberikan informasi menyeluruh hingga ke alur pemrograman sebelum test dilakukan.
2. Black Box : Pendekatan ini mencerminkan serangan dari luar, menyerupai serangan dari hacker yang mencoba merusak dari luar. Pada skenario ini Pen Tester hanya mengetahui nama aplikasi yang hendak diuji, informasi lainnya diperoleh secara mandiri baik menggunakan tool otomatis maupun eksplorasi secara manual.
3. Grey Box : Test ini cocok jika perusahaan anda tidak memiliki source dari aplikasi yang hendak diuji. Pen Tester kami hanya diberikan informasi umum mengenai alur kerja sistem, tanpa membongkar struktur internal aplikasi.

Jasa layanan PenTest tidak hanya mencari kelemahan, tetapi juga membantu anda untuk memprioritaskan resiko yang paling mungkin terjadi, dan memberikan saran yang jelas bagaimana mencegah dan menanggulangi resiko tersebut.

1. Web Application Penetration Test: Ruang lingkup pekerjaan bisa mencakup serangan dasar, clickjacking, XML Injection, dan email harvesting.
2. Mobile Application Penetration Test: Ruang lingkup pekerjaan bisa mencakup serangan dasar, dan manipulasi aplikasi hingga bypassing root detection.
3. DDoS Simulation Attack: Simulasi serangan dari berbagai negara dari beberapa benua, pengujian ini dilakukan untuk membuktikan ketangguhan infrastruktur keamanan, dilakukan pada rentang waktu yang disepakati untuk meminimalisir dampak terhadap layanan nasabah.
4. Phishing Assessment: Mengevaluasi karyawan anda, apakah bisa tertipu untuk memberikan informasi sensitive (username, password) kepada pihak yang menyamar sebagai Lembaga resmi.
5. Cyber Security Maturity Assessment: Evaluasi kematangan keamanan siber secara menyeluruh yang mencakup organisasi, proses, dan sarana dan prasarana teknologi pendukungnya. Hal ini sangat bermanfaat untuk mengevaluasi kekuatan dan kelemahan saat ini, dan menentukan prioritas dan strategi jangka pendek, dan jangka menengah untuk meningkatkan keamanan TI secara menyeluruh.

Aplikasi anda yang digunakan oleh nasabah akan berada dalam resiko besar jika tenaga pelaksana PenTest hanya memiliki keahlian yang selevel atau bahkan lebih rendah dari keahlian hacker penyerang. Kami menghadirkan jasa konsultan keamanan TI kelas dunia ke Indonesia, pengetesan celah keamanan terbaik untuk aplikasi bank yang diawasi oleh OJK (Otoritas Jasa Keuangan) dan BI (Bank Indonesia), aplikasi bisnis yang penting, dan aplikasi yang digunakan oleh pelanggan. Kami melakukan metodologi seperti yang tercantum pada Open Web Application Security Project(OWASP), Open Source Security Testing Methodology Manual (OSSTMM) dan Center for Internet Security (CIS) benchmark untuk review konfigurasi.

Anggota tim yang telah terlatih dan memiliki kualifikasi seperti:

1. Offensive Security Certified Professional (OSCP)
2. CREST Registered Penetration Tester (CRT)
3. CREST Practitioner Security Analyst (CPSA)
4. GIAC Penetration Tester (GPEN)
5. GIAC Certified Incident Handler (GCIH)
6. GIAC Security Essential (GSEC)
7. Certified Information Systems Security Professional (CISSP)
8. Certified Information System Auditor (CISA)

Dan didukung oleh Lembaga professional seperti Institute of Engineering and Technology (IET), Institute of Information Security Professional (ITPC), dan the Chartered Institute for IT.

Amankan perusahaan anda dari berita heboh akibat serangan skala besar, pilih penetration test service dari perusahaan dengan sertifikasi CREST, kami ada di sini untuk menolong anda di Indonesia.