“Potensi celah keamanan bisa saja bersumber pada aplikasi itu atau aplikasi yang mendukung aplikasi itu", ungkap Faisal yang memiliki pengalaman puluhan tahun di dunia cyber security ini.
Secara best practise, praktek pentest bisa dilakukan berbasis waktu (seperti setiap tahun) atau berbasis kebutuhan. Jika berbasis waktu, pentest yang dilakukan biasanya menggunakan pendekatan black box. “Di black box ini, pentester mencoba mencari celah keamanan tanpa informasi apapun,” cerita Faisal.
Pentest juga bisa dilakukan berbasis kebutuhan, seperti ketika sebuah perusahaan merilis aplikasi baru (atau melakukan pembaruan aplikasi). Pada kebutuhan seperti ini, pentest biasanya menggunakan pendekatan grey box. “Pada pendekatan grey box, ada informasi yang diterima pentester, khususnya terkait fitur-fitur di aplikasi,” tambah Faisal.
Setelah itu, pentester akan menguji lubang keamanan di aplikasi, seperti mengecek mekanisme “Lupa Password”, menguji transfer dana dengan nilai negatif, dan lain sebagainya. “Jadi lebih ke konteks business case,” tambah Faisal.
Mengapa Pentest itu Penting
Di tengah percepatan transformasi digital, peran pentest menjadi semakin krusial. Hal ini tidak lepas dari perkembangan threat landscape sehingga jenis ancaman pun semakin bervariasi. “Kalau dulu, infrastruktur berada di on-premise, jadi cukup pasang firewall. Namun kini, kondisinya sudah sangat dinamis sehingga kita tidak bisa mengacu pada satu policy yang statis,” ungkap Faisal mencontohkan.
“Pentest lebih menitikberatkan pada celah keamanan dalam konteks bisnis,” Faisal Yahya, Country Manager Vantage Point Security Indonesia
Demikian pula dengan pengembangan aplikasi. Saat ini aplikasi dibuat dengan pendekatan continuous improvement, alias terus ditambahkan fitur-fitur baru. Penambahan fitur baru ini bisa jadi membuka celah keamanan yang tidak ada di versi sebelumnya. “Jadi pentest seharusnya mulai dilakukan di fase UAT atau User Acceptance Test, atau sebelum masuk produksi,” tambah Faisal.
Sebagian perusahaan sebenarnya sudah memiliki tim security Red Team yang tugasnya menemukan lubang keamanan. Namun Faisal meyakini, perusahaan khusus pentest seperti Vantage Point tetap relevan dalam membantu Red Team. Alasannya, perusahaan pentest memiliki metodologi dan framework yang teruji untuk melihat lubang keamanan dengan kacamata yang lebih luas. “Framework dan metodologi inilah yang menjadi pembeda dari penetration security company,” ungkap Faisal.
Atas alasan itu pula, Vantage Point saat ini fokus menyediakan layanan pentest-nya untuk perusahaan di industri perbankan dan finansial. Berkat fokus di sebuah industri yang spesifik, Vantage Point telah memiliki metodologi pentest yang mendalam untuk industri finansial dan telah teruji di berbagai negara. “Korelasinya juga bisa banyak, termasuk ke sisi compliance,” tambah Faisal.
Hal lain yang menjadi kekuatan Vantage Point adalah petingginya yang terdiri dari orang-orang yang berpengalaman panjang di dunia cyber security sekaligus bisnis; termasuk Faisal Yahya. Sebelum memimpin Vantage Point Indonesia, Faisal adalah IT Leader sebuah perusahaan asuransi selama lebih dari 20 tahun.
Kombinasi ini membuat temuan celah keamanan Vantage Point dapat diterjemahkan ke dalam narasi yang sesuai konteks bisnis. Dengan begitu, tim teknis dan bisnis bisa memahami risiko yang muncul, sekaligus mengambil langkah antisipasi yang tepat. “Jadi narasinya tidak menakut-nakuti, namun memberi gambaran countermeasure yang perlu dilakukan,” tambah Faisal.