IG2 IG3

Tetapkan dan Pelihara Program Pengujian Penetrasi

Kelompok Kontrol: 18. Pengujian Penetrasi

Jenis Aset: T/A

Fungsi Keamanan: Identifikasi

Deskripsi

Tetapkan dan pelihara program pengujian penetrasi yang sesuai dengan ukuran, kompleksitas, dan kematangan perusahaan. Karakteristik program pengujian penetrasi mencakup ruang lingkup, seperti jaringan, aplikasi web, Application Programming Interface (API), layanan yang dihosting, dan kontrol premis fisik; frekuensi; batasan, seperti jam yang dapat diterima, dan jenis serangan yang dikecualikan; informasi titik kontak; remediasi, seperti bagaimana temuan akan diarahkan secara internal; dan persyaratan retrospektif.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

HackerOne Forrester Wave Leader, Bug Bounty Platforms 2024

Platform pengujian keamanan berkelanjutan dengan program bug bounty, pentesting terkelola, dan pengungkapan kerentanan

HackerOne · Langganan berbasis program

Synack Forrester Wave Leader, Penetration Testing Services 2024

Platform pengujian keamanan crowdsourced dengan peneliti terverifikasi, pentesting berbasis AI, dan penilaian berkelanjutan

Synack · Langganan berbasis aset

Cobalt Forrester Wave Strong Performer, Penetration Testing 2024

Platform Pentest as a Service dengan pentester terverifikasi, pengujian terprogram, dan manajemen temuan

Cobalt · Langganan berbasis kredit

Bishop Fox Cosmos Forrester Wave Leader, Penetration Testing Services 2024

Platform manajemen permukaan serangan berkelanjutan dan keamanan ofensif yang menggabungkan pemindaian otomatis dengan pentesting yang dipimpin ahli

Bishop Fox · Langganan perusahaan

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Kerentanan yang Tidak Diketahui Bertahan Akibat Tidak Ada Pengujian Penetrasi

Confidentiality

Kerentanan kritis yang dapat dieksploitasi di jaringan, aplikasi, dan layanan perusahaan tetap tidak ditemukan karena tidak ada program pengujian penetrasi untuk secara proaktif mengidentifikasinya sebelum penyerang melakukannya.

Rasa Aman Palsu dari Pemindaian Otomatis Saja

Integrity

Organisasi hanya mengandalkan pemindaian kerentanan otomatis, yang melewatkan rantai serangan kompleks dan kelemahan konfigurasi yang hanya akan diungkap oleh program pengujian penetrasi terstruktur.

Kesenjangan Kepatuhan dari Ketiadaan Kemampuan Pengujian Penetrasi

Integrity

Organisasi gagal memenuhi persyaratan regulasi atau kontraktual untuk pengujian penetrasi karena tidak ada program dengan cakupan, frekuensi, dan proses remediasi yang ditetapkan.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Program Pengujian Penetrasi yang Ditetapkan

Tanpa program pengujian penetrasi yang mendefinisikan cakupan, frekuensi, metodologi, dan proses remediasi, organisasi tidak memiliki mekanisme proaktif untuk menemukan kerentanan yang dapat dieksploitasi sebelum penyerang melakukannya.

Tidak Ada Jalur Remediasi yang Ditetapkan untuk Temuan Pengujian Penetrasi

Ketiadaan program berarti bahwa bahkan pengujian penetrasi ad-hoc menghasilkan temuan tanpa proses yang ditetapkan untuk merutekan, memprioritaskan, dan melacak remediasi kerentanan yang ditemukan.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Pengujian Penetrasi

Control 18

Pengamanan Terkait di Kontrol 18

18.2 Lakukan Pengujian Penetrasi Eksternal Berkala

18.3 Remediasi Temuan Pengujian Penetrasi

18.4 Validasi Langkah-langkah Keamanan

18.5 Lakukan Pengujian Penetrasi Internal Berkala