Pandemi telah mendorong transformasi digital di semua industri. Saat ini semua perusahaan dituntut untuk mengadopsi teknologi digital, baik dalam mendukung proses bisnis maupun menyediakan produk dan layanan ke pelanggan.
Namun percepatan transformasi digital tersebut harus didukung postur cyber security yang memadai. Jangan sampai transformasi digital yang dilakukan justru menjadi celah keamanan yang merugikan pelanggan maupun perusahaan itu sendiri. Apalagi studi IBM menunjukkan, kerugian rata-rata akibat data breach di tahun 2021 mencapai US$4,24 juta (Rp.59,4 miliar), meningkat dari tahun sebelumnya yang “cuma” US$3,86 juta.
Kebutuhan menjaga sistem digital inilah yang menjadi fokus Vantage Point Security, perusahaan penetration testing asal Singapura. Dengan layanan seputar mobile security testing, application security testing, sampai security training, Vantage Point memiliki misi mengawal transformasi digital perusahaan. “Kami hadir untuk mencoba meningkatkan perlindungan keamanan, khususnya pada aplikasi yang digunakan oleh masyarakat,” ungkap Faisal Yahya (Country Manager Vantage Point Security Indonesia).
Apa Itu Pentest
Sekadar mengingatkan, penetration test (biasa disebut pentest atau ethical hacking) adalah proses yang mensimulasikan cyber attack terhadap sebuah aplikasi atau sistem digital. Tujuan pentest adalah mengevaluasi keamanan sebuah aplikasi, sehingga pemilik aplikasi bisa mengetahui (lalu memperbaiki) lubang keamanan dari sistem mereka.
Faisal menggarisbawahi, pentest bukan sekadar membobol password atau melakukan brute force. “Pentest lebih menitikberatkan pada celah keamanan dalam konteks bisnis,” ungkap Faisal. Sebuah pentest akan mencari celah keamanan dari proses bisnis atau fitur yang disediakan sebuah aplikasi, lalu melihat dampak dan risiko dari celah keamanan yang ditemukan tersebut.
“Potensi celah keamanan bisa saja bersumber pada aplikasi itu atau aplikasi yang mendukung aplikasi itu", ungkap Faisal yang memiliki pengalaman puluhan tahun di dunia cyber security ini.
Secara best practise, praktek pentest bisa dilakukan berbasis waktu (seperti setiap tahun) atau berbasis kebutuhan. Jika berbasis waktu, pentest yang dilakukan biasanya menggunakan pendekatan black box. “Di black box ini, pentester mencoba mencari celah keamanan tanpa informasi apapun,” cerita Faisal.
Pentest juga bisa dilakukan berbasis kebutuhan, seperti ketika sebuah perusahaan merilis aplikasi baru (atau melakukan pembaruan aplikasi). Pada kebutuhan seperti ini, pentest biasanya menggunakan pendekatan grey box. “Pada pendekatan grey box, ada informasi yang diterima pentester, khususnya terkait fitur-fitur di aplikasi,” tambah Faisal.
Setelah itu, pentester akan menguji lubang keamanan di aplikasi, seperti mengecek mekanisme “Lupa Password”, menguji transfer dana dengan nilai negatif, dan lain sebagainya. “Jadi lebih ke konteks business case,” tambah Faisal.
Mengapa Pentest itu Penting
Di tengah percepatan transformasi digital, peran pentest menjadi semakin krusial. Hal ini tidak lepas dari perkembangan threat landscape sehingga jenis ancaman pun semakin bervariasi. “Kalau dulu, infrastruktur berada di on-premise, jadi cukup pasang firewall. Namun kini, kondisinya sudah sangat dinamis sehingga kita tidak bisa mengacu pada satu policy yang statis,” ungkap Faisal mencontohkan.
“Pentest lebih menitikberatkan pada celah keamanan dalam konteks bisnis,” Faisal Yahya, Country Manager Vantage Point Security Indonesia
Demikian pula dengan pengembangan aplikasi. Saat ini aplikasi dibuat dengan pendekatan continuous improvement, alias terus ditambahkan fitur-fitur baru. Penambahan fitur baru ini bisa jadi membuka celah keamanan yang tidak ada di versi sebelumnya. “Jadi pentest seharusnya mulai dilakukan di fase UAT atau User Acceptance Test, atau sebelum masuk produksi,” tambah Faisal.
Sebagian perusahaan sebenarnya sudah memiliki tim security Red Team yang tugasnya menemukan lubang keamanan. Namun Faisal meyakini, perusahaan khusus pentest seperti Vantage Point tetap relevan dalam membantu Red Team. Alasannya, perusahaan pentest memiliki metodologi dan framework yang teruji untuk melihat lubang keamanan dengan kacamata yang lebih luas. “Framework dan metodologi inilah yang menjadi pembeda dari penetration security company,” ungkap Faisal.
Atas alasan itu pula, Vantage Point saat ini fokus menyediakan layanan pentest-nya untuk perusahaan di industri perbankan dan finansial. Berkat fokus di sebuah industri yang spesifik, Vantage Point telah memiliki metodologi pentest yang mendalam untuk industri finansial dan telah teruji di berbagai negara. “Korelasinya juga bisa banyak, termasuk ke sisi compliance,” tambah Faisal.
Hal lain yang menjadi kekuatan Vantage Point adalah petingginya yang terdiri dari orang-orang yang berpengalaman panjang di dunia cyber security sekaligus bisnis; termasuk Faisal Yahya. Sebelum memimpin Vantage Point Indonesia, Faisal adalah IT Leader sebuah perusahaan asuransi selama lebih dari 20 tahun.
Kombinasi ini membuat temuan celah keamanan Vantage Point dapat diterjemahkan ke dalam narasi yang sesuai konteks bisnis. Dengan begitu, tim teknis dan bisnis bisa memahami risiko yang muncul, sekaligus mengambil langkah antisipasi yang tepat. “Jadi narasinya tidak menakut-nakuti, namun memberi gambaran countermeasure yang perlu dilakukan,” tambah Faisal.