Keamanan Website | Penetration Testing | LOGIQUE Digital Indonesia

Apa itu CyberSecurity?
Apakah itu penting?
Seberapa bahaya ancaman siber tersebut?
Apakah saya sudah terlindungi?

Bisakah para peretas mencuri data atau informasi saya?
Bagaimana pengaruhnya terhadap bisnis saya?
Bagaimana cara melindungi bisnis dan data saya?

Tahukah Anda !

Masalah keamanan cyber selalu menjadi upaya yang terus dilakukan setiap harinya, terutama dalam hal bisnis. Jika Anda tidak pernah peduli terhadap keamanan data Anda dan bagaimana cara melindunginya, maka saat ini adalah waktu yang tepat untuk memulainya.

Tren mengenai masalah keamanan cyber semakin lama semakin meningkat setiap harinya, bahkan masalah terbesar yang terjadi selama ini adalah banyaknya data yang diretas dan dilanggar dari berbagai sumber, terutama saat berada di tempat kerja, seperti peretasan pada perangkat seluler dan perangkat-perangkat yang terhubung ke Internet lainnya.

Bahkan, penelitian terbaru menunjukkan jika sebagian besar perusahaan mempunyai data yang tidak dilindungi dengan baik dari praktik-praktik cybersecurity. Hal ini tentu membuat mereka rentan untuk diretas dan kehilangan data tanpa mereka ketahui.

Kasus Yang Pernah Terjadi

Pelanggaran Data Berdasarkan Angka

Pernahkah Anda mengetahui, jika setiap hari terdapat 24.000 jenis aplikasi seluler yang diblokir karena berpotensi terjadi pelanggaran data di dalamnya. Selain itu, serangan terhadap seluruh perangkat yang terhubung ke Internet juga terus mengalami peningkatan.

Bahkan di tahun 2017, angka ini naik sebanyak 600 persen. Bukan hanya itu saja, setiap tahunnya serangan ransomware juga terus mengalami pertumbuhan hingga lebih dari 350 persen setiap tahunnya.

Berdasarkan data statistik tersebut dan dari berbagai kasus yang terjadi di seluruh dunia, peningkatan pelanggaran data terus terjadi dalam skala yang besar. Namun, bukannya membaik, pelanggaran data yang terjadi justru semakin lama semakin bertambah parah setiap harinya.

Sekitar 24.000 aplikasi seluler berbahaya diblokir setiap hari

serangan ransomware tumbuh lebih dari 350% setiap tahun

Dari Mana Serangan-Serangan Tersebut Berasal?

Pelanggaran atau serangan-serangan cyber biasanya terjadi pada berbagai data yang sering Anda jumpai, seperti format Microsoft Office (Word, PowerPoint, dan Excel) yang membentuk file ekstensi. Jumlahnya pun cukup banyak, yaitu mencapai 38 persen.

Berdasarkan data yang dirilis oleh Symantec, selama tahun 2017, serangan cyber paling banyak berasal dari China, yaitu sekitar 20 persen, disusul oleh AS sebesar 11 persen dan Rusia sebesar 6 persen. Dimana 71% nya menggunakan email spear-phishing untuk melakukan serangan cyber tersebut.

Format Microsoft Office (Ppt, Word, dan Excel) membuat, 38% ekstensi file berbahaya

Sumber serangan cyber pada 2017

China	20%
USA	11%
Rusia	6%

71% serangan cyber dimulai dengan email spear-phishing

Siapa Yang Akan Terpengaruh dari serangan cyber ini?

Serangan cyber yang terjadi tentunya mempengaruhi banyak pihak. Situs Verizon mencatat, sebanyak 61 persen korban dari serangan cyber ini adalah perusahaan bisnis yang mempunyai karyawan kurang dari 100 orang.

Amerika Serikat menjadi negara paling tinggi dari negara-negara dengan jumlah populasi yang terhubung dengan Internet, yaitu sebanyak 18,2 persen dari semua serangan ransomware yang ada.

Industri yang paling banyak mendapatkan serangan dari ransomware adalah industri kesehatan, dan disinyalir serangan tersebut akan meningkat jumlahnya sebanyak empat kali lipat pada tahun 2020 mendatang.

Namun, dari seluruh serangan tersebut, industri jasa keuangan menjadi salah satu industri yang paling dirugikan dari kejahatan cyber ini dengan rata-rata kerugian mencapai angka $ 18,3 juta per perusahaan.

INDUSTRI JASA KEUANGAN

Melihat Kejahatan tertinggi dari kejahatan dunia maya, biayanya rata-rata

Berapa Biaya Kerugian yang Terjadi?

Situs Accenture mencatat jika rata-rata serangan malware menyebabkan kerugian terhadap perusahaan sebesar $ 2,4 juta. Selain itu, berdasarkan studi yang dilakukan oleh Ponemon Institute’s pada tahun 2017 mengatakan jika rata-rata biaya yang hilang atau dicuri dari masing-masing individu adalah sebesar $ 141. Biaya ini bervariasi di tiap negara, dimana biaya pelanggaran paling mahal berada di wilayah Amerika Serikat ($ 225) dan Kanada ($ 190).

Sebanyak 43 persen biaya dikeluarkan akibat dari serangan cyber yang menghilangkan informasi. Selain itu, kerusakan yang terjadi terkait dengan kejahatan cyber ini diproyeksikan mencapai angka $ 6 triliun per tahun pada 2021 mendatang.

Kerusakan yang terkait dengan cybercrime diproyeksikan akan mencapai

USD 6 Trilliun
per tahun pada 2021

Apakah Perusahaan Anda Mengalami Serangan Ini?

Saat ini, sebanyak 74% perusahaan mempunyai lebih dari 1.000 arsip yang sangat sensitif, dimana 21 persennya tidak diberikan perlindungan yang baik dan mumpuni. Selain itu, 41% perusahaan juga mempunyai lebih dari 1.000 file yang sensitif, termasuk nomor kartu kredit serta catatan keuangan lainnya yang tidak terlindungi dengan baik.

Bukan hanya itu saja, berdasarkan data Varonis, 65% perusahaan mempunyai 500 pengguna yang tidak pernah mengubah kata sandi mereka. Bahkan, berdasarkan studi yang dilakukan oleh Ponemon Institute’s pada tahun 2017 mengatakan sebanyak 69% organisasi tidak percaya jika ancaman yang terjadi dapat diblokir oleh perangkat anti-virus milik mereka.

Apakah

Penetration Testing?

Penetration testing atau pentest merupakan istilah yang sering digunakan saat seseorang melakukan kegiatan pengujian sebuah sistem atau aplikasi. Kegiatan pengujian ini dilakukan untuk mengetahui apakah sistem keamanan yang terdapat pada sistem atau aplikasi mempunyai celah sehingga dapat segera diperbaiki dengan melakukan patch atau penambalan sehingga sistem keamanan yang terdapat pada suatu sistem atau aplikasi tersebut menjadi semakin kuat. Selain melakukan pengujian, kegiatan pentest juga melakukan dokumentasi sistem keamanan dari sistem atau aplikasi yang akan dilakukan pentest untuk selanjutnya dibuatkan laporan atau report kepada perusahaan/ pelanggan.

Sebelum melakukan pentest, biasanya akan terjadi kontrak antara auditor/ pentester dengan perusahaan yang ingin aplikasi atau sistemnya dilakukan pentest. Hal ini dalam konteks hukum merupakan kegiatan legal karena sebelumnya telah terjadi kontrak antara keduanya.

Adapun target umum untuk melakukan penetrasi testing, yaitu meliputi:

Layanan yang menggunakan koneksi internet (website, VPN endpoint, infrastruktur e-mail, extranet, dan lain-lain).
Sistem internal atau servis yang terdapat di dalam jaringan (Active Drectory, Exchange, dan lain-lain)
Beberapa aplikasi tertentu (dibeli atau dikembangkan sendiri oleh perusahaan)
Jaringan internal
Karyawan perusahaan

Lalu mengapa pentest diperlukan?
Pentest dilakukan sebenarnya untuk mengidentifikasi apakan terdapat kelemahan keamanan di dalam sebuah aplikasi, komputer atau jaringan. Jika kelemahan ditemukan dan dapat dibuktikan dengan beberapa analisa resikonya, maka Anda akan mempunyai waktu untuk dapat memperbaikinya sebelum seseorang yang tidak bertanggung jawab mengambil kesempatan dari kelemahan yang ditemukan tersebut.

Apa kelebihan dan kekurangan pentest?
Teknik penetration testing mempunyai beberapa kelebihan dan kekurangan, antara lain yaitu:

KELEBIHAN

Dapat dilakukan secara cepat dengan sedikit waktu sehingga harganya murah
Keterampilan yang dibutuhkan untuk melakukan teknik pengujian pentest relative lebih rendah jika dibandingkan dengan melakukan teknik pengujian menggunakan pemeriksaan source code
Pengujian langsung dilakukan pada kode yang digunakan (exposed)

KEKURANGAN

Terlalu lambat jika dilakukan dalam SDLC
Hanya melakukan pengujian pada dampak depannya saja

Hal ini karena Logique Digital Indonesia mempunyai pentester yang telah berpengalaman dalam menemukan celah keamanan yang terdapat pada beberapa website rekanan bisnis mereka. Selain itu, pentester yang terdapat di Logique Digital Indonesia juga menerapkan standar operasional yang digunakan oleh semua pentester di seluruh dunia.

Metode apa yang digunakan Logique Digital Indonesia dalam melakukan pentest?

Dalam melakukan pentest, Logique Digital Indonesia mempunyai 3 metode yang dapat digunakan, antara lain yaitu:

Black Box Testing

Merupakan pengujian yang dilakukan berdasarkan detail aplikasi, seperti tampilan aplikasi, fungsi-fungsi yang terdapat pada aplikasi, serta penyesuaian alur fungsi pada aplikasi dengan bisnis yang diinginkan oleh pelanggan. Pengujian ini dilakukan tanpa melihat dan menguji source code program yang ada pada aplikasi.

White Box Testing

Merupakan pengujian yang dilakukan berdasarkan detail prosedur serta alur logika dari sebuah kode program. Pada metode ini, tester akan melihat keseluruhan source code sebuah program untuk menemukan bugs dari kode program tersebut.

Grey Box Testing

Merupakan metode pengujian yang berasal dari kombinasi Black Box dan White Box. Dimana pentester melakukan pengujian aplikasi berdasarkan spesifikasi namun menggunakan cara kerja dari dalam aplikasi tersebut alias source code program.

1 Reconnaissance

Yaitu tahapan dimana pentester Logique akan mengumpulkan data awal atau beberapa hal yang diperlukan untuk klien. Setelah data dikumpulkan, maka pentester akan dapat dengan mudah merencanakan serangan secara lebih baik. Pengintaian ini dapat dilakukan dengan dua cara, yaitu secara aktif (secara langsung menyentuh target yang ditentukan) dan secara pasif (pengintaian dilakukan melalui perantara).

2 Scanning

Pada tahapan ini diperlukan sebuah aplikasi sebagai alat teknis untuk mengumpulkan berbagai data lanjutan pada target yang telah kita tentukan. Pada tahapan ini data yang dicari lebih umum, yaitu mengenai sistem yang mereka miliki.

3 Gaining Access

Pada fase ini, pentester perlu untuk mendapatkan akses untuk mengambil alih kendali dari satu atau lebih perangkat jaringan untuk selanjutnya mengekstrak data dari target, untuk selanjutnya menggunakan perangkat tersebut untuk meluncurkan serangan pada target lainnya.

4 Maintaining Access

Yaitu tahapan dimana pentester akan membuat beberapa langkah-langkah yang diperlukan agar tetap berada di lingkungan target dengan tujuan untuk mengumpulkan data sebanyak mungkin. Pada fase ini, penyerang harus tetap dalam kondisi diam agar tidak dapat tertangkap ketika sedang menggunakan lingkungan host.

3 Gaining Access

4 Maintaining Access

5 Covering Tracks

Yaitu tahapan terakhir dimana pentester akan menutupi track sehingga memaksa penyerang untuk mengambil langkah-langkah yang diperlukan untuk menghapus semua kemiripan saat dilakukan pendeteksian. Setiap perubahan yang telah dilakukan, otorisasi yang telah ditingkatkan dan lain-lain. Semuanya harus kembali dalam keadaan non-recognition (tidak diakui) oleh seorang host administrator jaringan.

Lalu berapakah harga layanan yang ditawarkan oleh Logique untuk melakukan Pentest tersebut?

Dalam melakukan kegiatan pentest mulai dari tahapan awal (preparation), tahapan pengujian (assessment) dan tahapan pelaporan (reporting). Logique Digital Indonesia menawarkan harga mulai dari Rp 10 juta tergantung dari jenis aplikasi atau sistem yang akan dilakukan pengujian.

Sertifikat apakah yang dimiliki oleh team security dari LOGIQUE?

Seluruh tim security LOGIQUE telah bersertifikasi CEH (Certified Ethical Hacker) dan CSCU (Certified Secure Computer User) dari EC-Coucil.
Dalam melakukan pengetesan sistem, standar apakah yang digunakan oleh security team dari LOGIQUE?

Standar yang digunakan oleh security team LOGIQUE dalam melakukan pengetesan sistem pada setiap project testing kami adalah OWASP (Open Web Application Security Project).
Berapakah harga layanan pengetesan sistem keamanan dari LOGIQUE?

Dalam melakukan pengetesan sistem mulai dari tahapan awal (preparation), tahapan pengujian (assessment) dan tahapan pelaporan (reporting), LOGIQUE menawarkan harga mulai dari Rp 10 juta, tergantung dari jenis aplikasi serta sistem yang akan diuji. Untuk mengetahui informasi lebih lanjut, Anda dapat langsung menghubungi kami melalui email ke [email protected] atau di nomor telepon (021) 227 089 35/36 atau melalui pesan WhatsApp di nomor 0812 9656 0380.
Dalam melakukan pengetesan, apakah security team LOGIQUE hanya mengandalkan automated tools?

Tidak, automated tools hanya kami gunakan saat melakukan scanning. Sedangkan, untuk penetration testing, security team LOGIQUE menggunakan metode manual saat proses pengetesannya.

Berapa lama waktu yang dibutuhkan tim LOGIQUE dalam melakukan pengetesan sistem?

Dalam melakukan pengetesan sistem, tergantung dari ruang lingkupnya. Namun, pada umumnya memakan waktu 1 minggu.
Mengapa perlu dilakukan pentest pada sebuah sistem?

Dengan melakukan pentest, Anda akan mendapatkan gambaran mengenai seberapa kuat pertahanan sistem Anda dalam menghadapi kejahatan cyber dan berbagai gangguan lainnya.
Apa saja yang dibutuhkan sebelum melakukan pentest?

Sebelum melakukan pengetesan sistem, klien hanya perlu menjelaskan proses sistem yang terjadi. Data-data pendukung lainnya juga dapat Anda serahkan jika diperlukan.
Apa perbedaan antara VA test dan Pentest?

VA test hanya mengandalkan automated tools dalam melakukan scanning terhadap “well-known” vulnerability dan seringkali tools tersebut sifatnya general sehingga tidak dapat menemukan case-case yang sifatnya lebih spesifik.
Apa perbedaan antara whitebox dan blackbox?

Dalam testing whitebox, pentester akan mendapatkan akses secara penuh ke dalam sistem yang diuji sehingga bisa melakukan static analisis terhadap berbagai hal, seperti kode, architecture analysis dan lain-lain. Sedangkan untuk blackbox, pentester akan berperan layaknya hacker yang akan menyerang dari luar dan berusaha masuk ke dalam sistem menggunakan informasi awal seminimal mungkin.

Untuk informasi lengkapnya, Anda dapat menghubungi Logique Digital Indonesia melalui email di [email protected] atau mendaftar melalui form yang ada di link berikut ini