Penetration Test | Keamanan website | LOGIQUE Digital Indonesia

Tahukah Anda tentang Cyber Security Risk ?

Keamanan cyber menjadi salah satu upaya yang perlu ditingkatkan setiap hari terutama jika Anda memiliki bisnis yang berjalan menggunakan media digital. Serangan cyber sudah menjadi ancaman terbesar bagi setiap perusahaan di dunia. Sebuah studi yang dilakukan di University of Maryland menyatakan bahwa serangan hacker rata-rata terjadi setiap 39 detik. Menurut ENISA Threat Landscape Report yang dibuat tahun 2018, jenis serangan yang paling populer adalah SQL injections ( 51% ), Local File Inclusion (34%), dan Cross-site scripting (8%).

Serangan cyber saat ini sudah semakin meningkat, namun sayangnya masih banyak perusahaan yang tidak mempedulikan keamanan website. Bahkan, penelitian menunjukkan bahwa sekitar 77% perusahaan belum memiliki rencana untuk menerapkan cyber security untuk melindungi data mereka. Hal ini tentu membuat perusahaan rentan untuk diretas dan kehilangan data sensitif tanpa mereka ketahui.

Kasus Yang Pernah Terjadi

Pelanggaran Data Berdasarkan Angka

Setiap hari terdapat 24.000 jenis aplikasi seluler yang diblokir karena berpotensi terjadi pelanggaran data di dalamnya. Di sisi lain, serangan terhadap seluruh perangkat yang terhubung ke internet juga terus mengalami peningkatan.

Bahkan di tahun 2017, angka ini naik sebanyak 600 persen. Bukan hanya itu saja, setiap tahunnya serangan ransomware juga terus mengalami pertumbuhan hingga lebih dari 350 persen setiap tahunnya. Ransomware merupakan jenis malware yang dapat mengambil alih komputer dan mencegah pengguna sah untuk mengakses data sampai tebusan yang diminta dibayarkan. Hacker juga akan mengancam untuk mempublikasikan data-data sensitif korban jika tebusan tidak dibayar.

Indonesia Security Incident Response Team on Internet Infrastructure (ID-SIRTII) di bawah naungan BSSN juga mengungkapkan bahwa selama 10 bulan pertama di tahun 2018 telah terdeteksi lebih dari 200 juta serangan cyber ke Indonesia.

Berdasarkan data statistik dan berbagai kasus yang telah terjadi di seluruh dunia, peningkatan pelanggaran data terus terjadi dalam skala yang besar. Hal ini terjadi karena sistem keamanan yang lemah serta kurangnya security awareness dari penggunanya. Perlu Anda ketahui, sebanyak 95 persen pelanggaran keamanan cyber yang terjadi juga disebabkan karena faktor kesalahan manusia.

Di Indonesia sendiri, sudah banyak kasus serangan cyber yang pernah terjadi dan sebagian besar korbannya adalah perusahaan. Sepanjang tahun 2018, telah terjadi sekitar 4000 laporan terkait kasus kejahatan cyber, dan dari jumlah tersebut kasus serangan cyber paling banyak terjadi di wilayah Jakarta.

Sekitar 24.000 aplikasi seluler berbahaya diblokir setiap hari

serangan ransomware tumbuh lebih dari 350% setiap tahun

CONTOH INSIDEN CYBER SECURITY

Sebuah maskapai penerbangan di Indonesia pernah menjadi korban dari serang cyber yang mengakibatkan bocornya data penumpang. Data yang bocor berasal dari dua database. Database pertama berisi 21 juta dan lainnya berisi 14 juta. Perusahaan telekomunikasi di Indonesia juga pernah menjadi korban serangan cyber dengan teknik web deface. Web deface merupakan kegiatan merubah tampilan suatu website, mulai dari halaman utama, index file, atau halaman lain yang masih terikat dengan url website tersebut.

Beberapa insiden cyber security yang pernah terjadi, tidak hanya menyerang perusahaan namun juga lembaga pemerintahan. Berdasarkan data yang diperoleh dari CSIS ( Center for Strategic & International Studies ) terdapat beberapa lembaga negara di dunia yang pernah mengalami serangan cyber. Peretas pernah menargetkan lembaga kanker AS untuk mengambil informasi terkait penelitian kanker yang mutakhir. Peretas Korea Utara juga pernah melakukan serangan phishing terhadap pejabat urusan luar negeri dengan tujuan untuk mempelajari upaya nuklir yang dilakukan oleh Korea Utara. Komisi Pemilihan Umum Indonesia juga pernah melaporkan bahwa peretas dari Cina dan Rusia telah memeriksa basis data pemilih Indonesia sebelum pemilihan presiden dan legislatif dilakukan.

Dari Mana Serangan-Serangan Tersebut Berasal?

Pelanggaran atau serangan-serangan cyber biasanya terjadi pada berbagai data yang sering Anda jumpai, seperti format Microsoft Office (Word, PowerPoint, dan Excel) yang membentuk file ekstensi. Jumlahnya pun cukup banyak, yaitu mencapai 38 persen.

Berdasarkan data yang dirilis oleh Symantec, selama tahun 2017, serangan cyber paling banyak berasal dari China, yaitu sekitar 20 persen, disusul oleh AS sebesar 11 persen dan Rusia sebesar 6 persen. Dimana 71% nya menggunakan email spear-phishing untuk melakukan serangan cyber tersebut.

Format Microsoft Office (Ppt, Word, dan Excel) membuat, 38% ekstensi file berbahaya

Sumber serangan cyber pada 2017

China	20%
USA	11%
Rusia	6%

71% serangan cyber dimulai dengan email spear-phishing

Siapa Yang Akan Terpengaruh dari serangan cyber ini?

Serangan cyber yang terjadi tentunya mempengaruhi banyak pihak. Situs Verizon mencatat, sebanyak 61 persen korban dari serangan cyber ini adalah perusahaan bisnis yang mempunyai karyawan kurang dari 100 orang.

Amerika Serikat menjadi negara paling tinggi dari negara-negara dengan jumlah populasi yang terhubung dengan Internet, yaitu sebanyak 18,2 persen dari semua serangan ransomware yang ada.

Industri yang paling banyak mendapatkan serangan dari ransomware adalah industri kesehatan, dan disinyalir serangan tersebut akan meningkat jumlahnya sebanyak empat kali lipat pada tahun 2020 mendatang.

Namun, dari seluruh serangan tersebut, industri jasa keuangan menjadi salah satu industri yang paling dirugikan dari kejahatan cyber ini dengan rata-rata kerugian mencapai angka $ 18,3 juta per perusahaan.

INDUSTRI JASA KEUANGAN

Melihat Kejahatan tertinggi dari kejahatan dunia maya, biayanya rata-rata

Berapa Biaya Kerugian yang Terjadi?

Situs Accenture mencatat jika rata-rata serangan malware menyebabkan kerugian terhadap perusahaan sebesar $ 2,4 juta. Selain itu, berdasarkan studi yang dilakukan oleh Ponemon Institute’s pada tahun 2017 mengatakan jika rata-rata biaya yang hilang atau dicuri dari masing-masing individu adalah sebesar $ 141. Biaya ini bervariasi di tiap negara, dimana biaya pelanggaran paling mahal berada di wilayah Amerika Serikat ($ 225) dan Kanada ($ 190).

Sebanyak 43 persen biaya dikeluarkan akibat dari serangan cyber yang menghilangkan informasi. Selain itu, kerusakan yang terjadi terkait dengan kejahatan cyber ini diproyeksikan mencapai angka $ 6 triliun per tahun pada 2021 mendatang.

Kerusakan yang terkait dengan cybercrime diproyeksikan akan mencapai

USD 6 Trilliun
per tahun pada 2021

Apakah Perusahaan Anda Dapat Mengalami Serangan Ini?

Saat ini, sebanyak 74% perusahaan mempunyai lebih dari 1.000 arsip yang sangat sensitif, dimana 21 persennya tidak diberikan perlindungan yang baik dan mumpuni. Selain itu, 41% perusahaan juga mempunyai lebih dari 1.000 file yang sensitif, termasuk nomor kartu kredit serta catatan keuangan lainnya yang tidak terlindungi dengan baik.

Bukan hanya itu saja, berdasarkan data Varonis, 65% perusahaan mempunyai 500 pengguna yang tidak pernah mengubah kata sandi mereka. Bahkan, berdasarkan studi yang dilakukan oleh Ponemon Institute’s pada tahun 2017 mengatakan sebanyak 69% organisasi tidak percaya jika ancaman yang terjadi dapat diblokir oleh perangkat anti-virus milik mereka.

Apa Itu

Penetration Testing?

Penetration testing atau sering disingkat menjadi pentest, merupakan istilah yang digunakan saat seseorang melakukan pengujian keamanan sebuah sistem, aplikasi, atau jaringan.

Kegiatan pengujian ini dilakukan untuk mengetahui apakah keamanan yang terdapat pada sistem atau aplikasi mempunyai celah sehingga dapat segera diperbaiki dengan melakukan patch atau penambalan. Hal ini dilakukan agar keamanan yang terdapat pada suatu sistem atau aplikasi yang diuji menjadi semakin kuat. Selain melakukan pengujian, jasa pentest juga mendokumentasi tingkat keamanan dari sistem atau aplikasi yang akan diuji untuk selanjutnya dibuatkan laporan atau report kepada perusahaan / pelanggan.

Sebelum melakukan penetration testing, biasanya akan terjadi kontrak antara auditor/ pentester dengan perusahaan yang ingin aplikasi atau sistemnya diuji. Hal ini dalam konteks hukum merupakan kegiatan yang legal karena sebelumnya telah terjadi kontrak antara kedua belah pihak.

Adapun target umum untuk melakukan penetrasi testing, yaitu meliputi:

Layanan yang menggunakan koneksi internet (website, VPN endpoint, infrastruktur e-mail, extranet, dan lain-lain).
Sistem internal atau servis yang terdapat di dalam jaringan (Active Directory, Exchange, dan lain-lain).
Aplikasi mobile (iOs & Android ), web, dan desktop.
Jaringan internal.
Karyawan perusahaan.

Mengapa pentest diperlukan?
Penetration test dilakukan untuk mengidentifikasi apakah sebuah aplikasi, sistem komputer, atau suatu jaringan memiliki kelemahan keamanan. Jika celah kelemahan ditemukan dan dapat dibuktikan dengan beberapa analisa resikonya, maka Anda akan mempunyai waktu untuk dapat memperbaiki sistem tersebut sebelum seseorang yang tidak bertanggung jawab mengambil kesempatan dari celah kelemahan yang ditemukan. Dengan sistem keamanan yang baik, data-data sensitif perusahaan dapat terlindungi sehingga perusahaan dapat terhindar dari sejumlah kerugian.

Apa saja kelebihan pentest?
Teknik penetration testing mempunyai beberapa kelebihan, antara lain yaitu:

KELEBIHAN

Dapat dilakukan secara cepat dengan sedikit waktu sehingga harganya murah
Keterampilan yang dibutuhkan untuk melakukan teknik pengujian pentest relative lebih rendah jika dibandingkan dengan melakukan teknik pengujian menggunakan pemeriksaan source code
Pengujian langsung dilakukan pada kode yang digunakan (exposed)

Mengapa harus memilih Logique Digital Indonesia untuk melakukan pentest?

Logique Digital Indonesia mempunyai pentester yang telah berpengalaman dalam menemukan celah keamanan yang terdapat pada beberapa website dan aplikasi. Dalam menjalankan pengujian keamanan, pentester Logique Digital Indonesia selalu menerapkan standar operasional yang digunakan oleh semua pentester di seluruh dunia. Jika diperlukan, Logique Digital Indonesia juga dapat melakukan penetration test on the spot, dimana tim security akan datang ke perusahaan dan melakukan pengujian secara langsung. Seluruh tim security di Logique juga sudah memiliki sertifikasi CEH (Certified Ethical Hacker) dan CSCU (Certified Secure Computer User) dari EC- Council sehingga kemampuannya tidak perlu diragukan lagi.

Metode apa yang digunakan Logique Digital Indonesia dalam melakukan pentest?

Dalam melakukan pentest, Logique Digital Indonesia mempunyai 3 metode yang dapat digunakan, antara lain yaitu:

Black Box Testing

Merupakan pengujian yang dilakukan berdasarkan detail aplikasi, seperti tampilan aplikasi, fungsi-fungsi yang terdapat pada aplikasi, serta penyesuaian alur fungsi pada aplikasi dengan bisnis yang diinginkan oleh pelanggan. Pengujian ini dilakukan tanpa melihat dan menguji source code program yang ada pada aplikasi.

White Box Testing

Merupakan pengujian yang dilakukan berdasarkan detail prosedur serta alur logika dari sebuah kode program. Pada metode ini, tester akan melihat keseluruhan source code sebuah program untuk menemukan bugs dari kode program tersebut.

Grey Box Testing

Merupakan metode pengujian yang berasal dari kombinasi Black Box dan White Box. Dimana pentester melakukan pengujian aplikasi berdasarkan spesifikasi namun menggunakan cara kerja dari dalam aplikasi tersebut alias source code program.

Apa saja tahapan-tahapan yang dilakukan Logique dalam melakukan penetration testing?

Logique Digital Indonesia menggunakan standar penetration testing international sebagai acuan pelaksanaan dalam melakukan pengujian, antara lain yaitu:

1 Reconnaissance

Yaitu tahapan dimana pentester Logique akan mengumpulkan data awal atau beberapa hal yang diperlukan untuk klien. Setelah data dikumpulkan, maka pentester akan dapat dengan mudah merencanakan serangan secara lebih baik. Pengintaian ini dapat dilakukan dengan dua cara, yaitu secara aktif (secara langsung menyentuh target yang ditentukan) dan secara pasif (pengintaian dilakukan melalui perantara).

2 Scanning

Pada tahapan ini diperlukan sebuah aplikasi sebagai alat teknis untuk mengumpulkan berbagai data lanjutan pada target yang telah kita tentukan. Pada tahapan ini data yang dicari lebih umum, yaitu mengenai sistem yang mereka miliki.

3 Gaining Access

Pada fase ini, pentester perlu untuk mendapatkan akses untuk mengambil alih kendali dari satu atau lebih perangkat jaringan untuk selanjutnya mengekstrak data dari target, untuk selanjutnya menggunakan perangkat tersebut untuk meluncurkan serangan pada target lainnya.

4 Maintaining Access

Yaitu tahapan dimana pentester akan membuat beberapa langkah-langkah yang diperlukan agar tetap berada di lingkungan target dengan tujuan untuk mengumpulkan data sebanyak mungkin. Pada fase ini, penyerang harus tetap dalam kondisi diam agar tidak dapat tertangkap ketika sedang menggunakan lingkungan host.

5 Covering Tracks

Yaitu tahapan terakhir dimana pentester akan menutupi track sehingga memaksa penyerang untuk mengambil langkah-langkah yang diperlukan untuk menghapus semua kemiripan saat dilakukan pendeteksian. Setiap perubahan yang telah dilakukan, otorisasi yang telah ditingkatkan dan lain-lain. Semuanya harus kembali dalam keadaan non-recognition (tidak diakui) oleh seorang host administrator jaringan.

Pengalaman Logique Digital Indonesia dalam Melakukan Penetration Testing

Logique Digital Indonesia sudah sangat berpengalaman dalam melakukan security assessment. Kami telah melakukan penetration test untuk situs web pemerintah dan sejumlah perusahaan di berbagai bidang industri mulai dari fintech, e-commerce, otomotif, dan masih banyak lagi.

Selama melakukan penetration testing untuk berbagai perusahaan, kami telah menemukan beberapa celah keamanan atau bug sehingga patch atau penambalan dapat segera dilakukan. Beberapa bugs yang telah kami temukan seperti:

1. Injection
2. Cross-Site Scripting (XSS)
3. Sensitif data exposure
4. Security misconfiguration
5. Broken access control, dan lain-lain.

Lalu berapakah harga layanan yang ditawarkan oleh Logique untuk melakukan Pentest tersebut?

Dalam melakukan kegiatan pentest mulai dari tahapan awal (preparation), tahapan pengujian (assessment) dan tahapan pelaporan (reporting), Logique Digital Indonesia menawarkan harga mulai dari Rp 15 juta tergantung dari jenis aplikasi atau sistem yang akan diuji.

FAQ

Sertifikat apakah yang dimiliki oleh team security dari LOGIQUE?

Seluruh tim security LOGIQUE telah bersertifikasi CEH (Certified Ethical Hacker) dan CSCU (Certified Secure Computer User) dari EC-Coucil.
Dalam melakukan pengetesan sistem, standar apakah yang digunakan oleh security team dari LOGIQUE?

Standar yang digunakan oleh security team LOGIQUE dalam melakukan pengetesan sistem pada setiap project testing kami adalah OWASP (Open Web Application Security Project).
Berapakah harga layanan pengetesan sistem keamanan dari LOGIQUE?

Dalam melakukan pengetesan sistem mulai dari tahapan awal (preparation), tahapan pengujian (assessment) dan tahapan pelaporan (reporting), LOGIQUE menawarkan harga mulai dari Rp 10 juta, tergantung dari jenis aplikasi serta sistem yang akan diuji. Untuk mengetahui informasi lebih lanjut, Anda dapat langsung menghubungi kami melalui email ke [email protected] atau di nomor telepon (021) 227 089 35/36 atau melalui pesan WhatsApp di nomor 0812 9656 0380.
Dalam melakukan pengetesan, apakah security team LOGIQUE hanya mengandalkan automated tools?

Tidak, automated tools hanya kami gunakan saat melakukan scanning. Sedangkan, untuk penetration testing, security team LOGIQUE menggunakan metode manual saat proses pengetesannya.

Berapa lama waktu yang dibutuhkan tim LOGIQUE dalam melakukan pengetesan sistem?

Dalam melakukan pengetesan sistem, tergantung dari ruang lingkupnya. Namun, pada umumnya memakan waktu 1 minggu.
Mengapa perlu dilakukan pentest pada sebuah sistem?

Dengan melakukan pentest, Anda akan mendapatkan gambaran mengenai seberapa kuat pertahanan sistem Anda dalam menghadapi kejahatan cyber dan berbagai gangguan lainnya.
Apa saja yang dibutuhkan sebelum melakukan pentest?

Sebelum melakukan pengetesan sistem, klien hanya perlu menjelaskan proses sistem yang terjadi. Data-data pendukung lainnya juga dapat Anda serahkan jika diperlukan.
Apa perbedaan antara VA test dan Pentest?

VA test hanya mengandalkan automated tools dalam melakukan scanning terhadap “well-known” vulnerability dan seringkali tools tersebut sifatnya general sehingga tidak dapat menemukan case-case yang sifatnya lebih spesifik.
Apa perbedaan antara whitebox dan blackbox?

Dalam testing whitebox, pentester akan mendapatkan akses secara penuh ke dalam sistem yang diuji sehingga bisa melakukan static analisis terhadap berbagai hal, seperti kode, architecture analysis dan lain-lain. Sedangkan untuk blackbox, pentester akan berperan layaknya hacker yang akan menyerang dari luar dan berusaha masuk ke dalam sistem menggunakan informasi awal seminimal mungkin.

FAQ

Sertifikat apakah yang dimiliki oleh team security dari LOGIQUE?

Dalam melakukan pengetesan sistem, standar apakah yang digunakan oleh security team dari LOGIQUE?

Berapakah harga layanan pengetesan sistem keamanan dari LOGIQUE?

Dalam melakukan pengetesan, apakah security team LOGIQUE hanya mengandalkan automated tools?

Berapa lama waktu yang dibutuhkan tim LOGIQUE dalam melakukan pengetesan sistem?

Mengapa perlu dilakukan pentest pada sebuah sistem?

Apa saja yang dibutuhkan sebelum melakukan pentest?

Apa perbedaan antara VA test dan Pentest?

Apa perbedaan antara whitebox dan blackbox?

Contact Us