Vulnerability Assessment vs Penetration Testing

Perbedaan Vulnerability Analysis (VA) dengan Penetration Testing

Pada tulisan kali ini kami ingin memberikan gambaran apa itu perbedaan vulnerability analysis / vulnerability scanning / vulnerability assessment dengan Penetration Testing.

Kalau kita perhatikan sebenarnya kedua hal ini Vulnerability Analysis (VA) dengan Penetration Testing (PT) memiliki fungsi yang sama yaitu sama-sama sebuah kegiatan yang dilakukan untuk mengetahui kerentanan suatu sistem, output dari kedua kegiatan ini juga sama-sama memberikan informasi letak vulnerability yang ada pada suatu sistem.

Lalu apa yang menjadi pembedanya?

Yang menjadi pembeda paling mendasar ada beberapa poin diantaranya:

  1. Dari sisi tools
    Pada VA, semua dihandle oleh tools yang sifatnya automasi, sehingga cukup mudah dilakukan dan dapat dilakukan siapa saja selama dapat mengoperasikan toolsnya. Sedangkan pada PT dilakukan secara manual oleh pentesternya.
  2. Dari sisi keahlian
    Pada VA, karena hanya menjalankan tools saja tidak diperlukan skill / keahlian khusus untuk melakukannya. Pada kegiatan PT, sangat diperlukan pentester yang berkualitas untuk mendapatkan hasil yang maksimal.
  3.  Dari sisi metode
    Pada VA tidak dilakukan proses eksploitasi, pada PT dilakukan proses eksploitasi karena tujuan utama PT adalah mendapatkan informasi sedalam mungkin mengenai resiko terburuk apa yang dapat terjadi jika sebuah sistem terkena serangan dari hacker/orang yang tidak berwenang.
  4. Dari sisi waktu pengerjaan
    Untuk VA biasanya dapat dilakukan cepat kurang dari 1 jam untuk satu objek, sedangkan pentest dapat dilakukan berhari-hari untuk 1 objek pentest.

Kapan memilih vulnerability analysis?

Kita dapat memilih menggunakan VA ketika dihadapkan pada kondisi diperlukan proses scanning yang cepat pada sistem kita. Namun hasilnya biasanya tidak akan se-komprehensif dibandingkan kita melakukan penetration testing.

Yang kedua ketika kita tahu bahwa sistem yang akan diuji tidaklah besar dan tidak memiliki resiko yang tinggi sekalipun terkena peretasan maka boleh saja dilakukan VA.

Yang ketiga, ketika perusahaan memiliki banyak web/aplikasi/server dan sumber daya pentester sangat minim maka untuk membantu mengurangi resiko terkena peretasan maka sangat efisien jika semuanya dilakukan VA terlebih dahulu karena dapat dilakukan secara automasi dan cepat kemudian baru memprioritaskan mana yang akan dilakukan pentest secara bertahap.

Kapan memilih penetration testing?

Yang pertama adalah ketika anda memiliki aplikasi atau sistem yang memiliki resiko tinggi ketika nantinya terjadi peretasan. Dengan VA saja kebanyakan tidak cukup untuk mengamankan suatu sistem, karena VA yang hanya mengandalkan tools tidak dapat melakukan pengecekan yang membutuhkan analisa proses bisnis spesifik dari suatu objek pentest, sebagai gambaran, tools akan melakukan test list yang sama terhadap semua jenis aplikasi misal aplikasi perbankan, aplikasi kesehatan, aplikasi kampus, dsb. Berbeda dengan pentest karena dilakukan secara manual oleh pentester maka sebelumnya akan dilakukan dahulu pemahaman objek baik berupa jenis aplikasinya, flow aplikasi, hingga proses bisnis aplikasi maka tentu saja hasil pentest akan lebih dalam dibandingkan VA.

Kesimpulan

Meskipun VA dan PT adalah dua hal yang berbeda namun kedua kegiatan ini saling melengkapi satu sama lain, jika kedua hal ini dilakukan maka akan semakin baik dibandingkan hanya dikerjakan salah satu saja. 

Leave a Reply

Your email address will not be published. Required fields are marked *