IG2 IG3

Lakukan Pengujian Penetrasi Eksternal Berkala

Kelompok Kontrol: 18. Pengujian Penetrasi

Jenis Aset: Jaringan

Fungsi Keamanan: Identifikasi

Deskripsi

Lakukan pengujian penetrasi eksternal berkala berdasarkan persyaratan program, tidak kurang dari setiap tahun. Pengujian penetrasi eksternal harus mencakup pengintaian perusahaan dan lingkungan untuk mendeteksi informasi yang dapat dieksploitasi. Pengujian penetrasi memerlukan keterampilan dan pengalaman khusus dan harus dilakukan melalui pihak yang memenuhi syarat. Pengujian dapat berupa clear box atau opaque box.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

HackerOne Forrester Wave Leader, Bug Bounty Platforms 2024

Platform pengujian keamanan berkelanjutan dengan program bug bounty, pentesting terkelola, dan pengungkapan kerentanan

HackerOne · Langganan berbasis program

Synack Forrester Wave Leader, Penetration Testing Services 2024

Platform pengujian keamanan crowdsourced dengan peneliti terverifikasi, pentesting berbasis AI, dan penilaian berkelanjutan

Synack · Langganan berbasis aset

Cobalt Forrester Wave Strong Performer, Penetration Testing 2024

Platform Pentest as a Service dengan pentester terverifikasi, pengujian terprogram, dan manajemen temuan

Cobalt · Langganan berbasis kredit

Bishop Fox Cosmos Forrester Wave Leader, Penetration Testing Services 2024

Platform manajemen permukaan serangan berkelanjutan dan keamanan ofensif yang menggabungkan pemindaian otomatis dengan pentesting yang dipimpin ahli

Bishop Fox · Langganan perusahaan

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Kerentanan yang Menghadap Internet Dieksploitasi oleh Penyerang Eksternal

Confidentiality

Penyerang mengeksploitasi layanan yang menghadap eksternal yang salah konfigurasi yang akan teridentifikasi melalui pengujian penetrasi eksternal, mendapatkan akses awal ke jaringan perusahaan.

Informasi Sensitif Terekspos melalui Pengintaian OSINT

Confidentiality

Informasi yang tersedia secara publik seperti kredensial yang terekspos, dokumen internal, atau detail infrastruktur dimanfaatkan oleh penyerang karena tidak ada pengujian penetrasi eksternal dengan fase pengintaian yang mengidentifikasi paparan.

Pertahanan Perimeter Dilewati Melalui Jalur Serangan yang Tidak Ditemukan

Integrity

Penyerang menemukan titik masuk eksternal yang terlewat seperti endpoint VPN lama atau subdomain yang terlupakan yang tidak dicakup kontrol keamanan perimeter, karena tidak ada pengujian penetrasi eksternal yang memetakan permukaan serangan penuh.

Kerentanan (Saat Pengamanan Tidak Ada)

Permukaan Serangan Eksternal Tidak Diuji

Tanpa pengujian penetrasi eksternal berkala, sistem, layanan, dan konfigurasi yang menghadap internet tidak dievaluasi dari perspektif penyerang, meninggalkan kelemahan yang dapat dieksploitasi di perimeter tidak ditemukan.

Tidak Ada Pengintaian Eksternal untuk Mengidentifikasi Paparan Informasi

Ketiadaan pengujian eksternal dengan pengintaian berarti informasi perusahaan yang terekspos secara publik seperti kredensial yang bocor, layanan yang salah konfigurasi, dan data OSINT tidak teridentifikasi atau diremediasi.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Pengujian Penetrasi

Control 18

Pengamanan Terkait di Kontrol 18

18.1 Tetapkan dan Pelihara Program Pengujian Penetrasi

18.3 Remediasi Temuan Pengujian Penetrasi

18.4 Validasi Langkah-langkah Keamanan

18.5 Lakukan Pengujian Penetrasi Internal Berkala