Pengujian Penetrasi
Menguji efektivitas dan ketahanan aset perusahaan melalui identifikasi dan eksploitasi kelemahan dalam kontrol (manusia, proses, dan teknologi), serta mensimulasikan tujuan dan tindakan penyerang.
Mengapa Kontrol Ini Penting?
Postur pertahanan yang berhasil memerlukan program komprehensif yang mencakup kebijakan dan tata kelola yang efektif, pertahanan teknis yang kuat, dikombinasikan dengan tindakan yang tepat dari manusia. Dalam lingkungan yang kompleks di mana teknologi terus berkembang dan teknik penyerang baru muncul secara teratur, perusahaan harus secara berkala menguji kontrol mereka untuk mengidentifikasi celah dan menilai ketahanan mereka. Pengujian ini dapat dilakukan dari perspektif jaringan eksternal, jaringan internal, aplikasi, sistem, atau perangkat. Pengujian ini juga dapat mencakup rekayasa sosial terhadap pengguna, atau upaya melewati kontrol akses fisik.
Templat Kebijakan Terkait
Pengamanan (5)
| ID | Judul | Fungsi | IG | Item Daftar Periksa | Bukti |
|---|---|---|---|---|---|
| 18.1 | Tetapkan dan Pelihara Program Pengujian Penetrasi | Identifikasi |
IG2
IG3
|
2 | 1 |
| 18.2 | Lakukan Pengujian Penetrasi Eksternal Berkala | Identifikasi |
IG2
IG3
|
2 | 1 |
| 18.3 | Remediasi Temuan Pengujian Penetrasi | Lindungi |
IG2
IG3
|
2 | 1 |
| 18.4 | Validasi Langkah-langkah Keamanan | Lindungi |
IG3
|
2 | 1 |
| 18.5 | Lakukan Pengujian Penetrasi Internal Berkala | Identifikasi |
IG3
|
2 | 1 |
Detail Verifikasi Audit
Tetapkan dan pelihara program pengujian penetrasi yang sesuai dengan ukuran, kompleksitas, dan kematangan perusahaan. Karakteristik program pengujian penetrasi mencakup ruang lingkup, seperti jaringan, aplikasi web, Application Programming Interface (API), layanan yang dihosting, dan kontrol premis fisik; frekuensi; batasan, seperti jam yang dapat diterima, dan jenis serangan yang dikecualikan; informasi titik kontak; remediasi, seperti bagaimana temuan akan diarahkan secara internal; dan persyaratan retrospektif.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Lakukan pengujian penetrasi eksternal berkala berdasarkan persyaratan program, tidak kurang dari setiap tahun. Pengujian penetrasi eksternal harus mencakup pengintaian perusahaan dan lingkungan untuk mendeteksi informasi yang dapat dieksploitasi. Pengujian penetrasi memerlukan keterampilan dan pengalaman khusus dan harus dilakukan melalui pihak yang memenuhi syarat. Pengujian dapat berupa clear box atau opaque box.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Remediasi temuan pengujian penetrasi berdasarkan kebijakan perusahaan untuk ruang lingkup dan prioritas remediasi.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Validasi langkah-langkah keamanan setelah setiap pengujian penetrasi. Jika dianggap perlu, modifikasi aturan dan kemampuan untuk mendeteksi teknik yang digunakan selama pengujian.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Lakukan pengujian penetrasi internal berkala berdasarkan persyaratan program, tidak kurang dari setiap tahun. Pengujian dapat berupa clear box atau opaque box.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |