Apakah Bisnis Perlu Melakukan Pengujian Penetrasi?

Andres Riancho, pakar Aplikasi dan Keamanan Cloud memberikan wawasan tentang pengujian penetrasi dan pertahanan dunia maya.

Bisakah Anda memberi tahu saya menurut pendapat Anda apa saja yang perlu diketahui oleh beberapa perusahaan pengujian penetrasi untuk membantu mengamankan perimeter digital mereka?

(REIT)

Q2 surat dana lindung nilai, konferensi, sendok dll

Perusahaan yang akan menyewa layanan pengujian penetrasi harus fokus pada hal berikut:

• Tentukan ruang lingkup penilaian dengan jelas: Selalu lakukan pengujian penetrasi pada jaringan bisnis yang kritis, aplikasi dan akun AWS terlebih dahulu. Kemudian pindah ke sisa sumber daya perusahaan. Mengetahui apa yang penting dan apa yang ada di jaringan Anda adalah kuncinya.
• Profesional: Pilih profesional, bukan perusahaan. Perusahaan besar dengan nama besar mungkin menarik, tetapi Anda ingin profesional dengan pengalaman 5+ tahun di jaringan, aplikasi, dan cloud spesifik Anda untuk melakukan penilaian. Selalu minta perusahaan konsultan untuk secara eksplisit tentang senioritas setiap individu yang ditugaskan untuk proyek Anda, dan jika mungkin mintalah perusahaan konsultan untuk mengungkapkan nama mereka (linkedin adalah teman Anda setelah itu).
• Penilaian berkala: Sumber daya kritis bisnis perlu dianalisis setiap 6 hingga 12 bulan, tergantung pada kecepatan tim pengembangan dan perubahan lain yang memengaruhi lingkungan secara keseluruhan.
• Fokus pada otomatisasi: Sebelum menyewa perusahaan konsultan, lakukan penilaian kerentanan Anda sendiri menggunakan alat otomatis. Ada beberapa pemindai kerentanan otomatis yang menyediakan layanan SaaS yang mudah digunakan. Gunakan mereka untuk melakukan pemindaian mingguan atau malam otomatis di lingkungan Anda. Perbaiki semua kerentanan tingkat keparahan kritis, tinggi dan sedang sebelum pindah ke status berikutnya: pengujian penetrasi.

Apa saja hal-hal yang tidak biasa yang perusahaan tidak dapat pertimbangkan ketika mereka ingin menopang pertahanan mereka?

Ketika perusahaan mulai tumbuh, sangat umum kehilangan jejak inventaris TI. Beberapa area perusahaan mungkin benar-benar bagus dalam menjalani proses yang tepat untuk membuat aplikasi baru, situs, dll. Tetapi yang lain (dalam pengalaman saya) seperti pemasaran akan membuat domain baru untuk produk tertentu, menyimpan aplikasi di mana saja lokasi acak, tambahkan CMS tidak aman, bayar dengan kartu kredit perusahaan manajer dan lupakan saja. Situs-situs ini adalah bagian dari inventaris TI perusahaan dan setidaknya harus dipindai untuk mengetahui kerentanan secara otomatis.

Perusahaan kecil bahkan tidak melakukan penilaian kerentanan otomatis untuk menemukan masalah sepele yang dapat dieksploitasi.