Perbandingan antara Penetration Testing internal dan eksternal

Perbandingan antara Penetration Testing internal dan eksternal

Perbandingan antara Penetration Testing internal dan eksternal

 

Penetration Testing, atau dikenal juga sebagai ethical hacking, adalah praktik mengecek kelemahan keamanan dari sebuah aplikasi software, jaringan, komputer, perangkat, sistem wireless, dan karyawan. Penetration Testing bisa bersifat eksternal atau internal tergantung pada tujuan proyek.

Penetration Testing eksternal meriset dan mencoba mengeksploitasi kerentanan yang bisa dilakukan oleh pengguna eksternal tanpa akses dan izin yang sesuai. Sedangkan Penetration Testing internal mirip dengan vulnerability assessment, namun, ia mengambil pemindaian satu langkah lebih jauh dengan mencoba mengeksploitasi kerentanan dan menentukan informasi apa yang sebenarnya terpapar.

Pada kesempatan ini, Fourtrezz akan mengulas tentang perbandingan antara Penetration Testing internal dan eksternal. Kedua jenis uji ini memiliki tujuan dan metodologi yang berbeda, sehingga penting untuk memahami perbedaannya agar dapat memilih jenis yang tepat sesuai kebutuhan organisasi atau bisnis anda.

 

Baca Juga : Pengertian Cyber Crime, Bagaimana Cara Menghindari dan Mencegahnya ?

 

 

Penetration Testing Eksternal

Penetration Testing Eksternal adalah jenis pengujian yang bertujuan untuk mengevaluasi keamanan sistem dengan cara mencoba mengeksploitasi kerentanan yang bisa dilakukan oleh pengguna eksternal yang tidak memiliki akses dan izin yang sesuai. Pengujian ini memiliki tujuan yang sama dengan simulasi serangan pada jaringan internal, dimana Pentester akan mencoba menirukan tindakan seorang hacker sebenarnya. Pengujian ini bertujuan untuk menemukan dan mengeksploitasi kerentanan sistem untuk mencuri atau merusak informasi perusahaan. Sebagai hasilnya, pengujian ini akan menunjukkan apakah tindakan keamanan yang telah dilakukan cukup untuk mengamankan perusahaan dan mengevaluasi kemampuan perusahaan untuk mempertahankan diri terhadap serangan eksternal apapun.

 

  1. Tujuan dan obyektif utama

Seperti yang sudah dijelaskan di atas tujuan utama Penetration Testing eksternal adalah untuk mengevaluasi keamanan sistem dengan cara mencoba mengeksploitasi kerentanan yang bisa dilakukan oleh pengguna eksternal yang tidak memiliki akses dan izin yang sesuai. Tujuan ini sama dengan simulasi serangan pada jaringan internal, dimana tester akan mencoba menirukan tindakan seorang aktor ancaman sebenarnya.

Objektif utama Penetration Testing eksternal adalah:

  1. Menemukan kerentanan sistem yang bisa diakses oleh pengguna eksternal
  2. Mengeksploitasi kerentanan tersebut untuk menentukan informasi apa yang terpapar kepada pihak luar
  3. Menilai kemampuan sistem dalam mempertahankan diri terhadap serangan eksternal
  4. Menyediakan rekomendasi keamanan untuk memperkuat sistem terhadap serangan eksternal di masa depan.

 

  1. Contoh dan Metodologi Penetration Testing Eksternal

Berikut ini adalah beberapa contoh dan metodologi yang digunakan dalam Penetration Testing Eksternal:

 

Contoh Penetration Testing Eksternal:

  1. Configuration & Deployment Management Testing: menguji kerentanan yang terkait dengan konfigurasi dan pengelolaan sistem
  2. Identity Management Testing: menguji kerentanan yang terkait dengan pengelolaan identitas pengguna
  3. Authentication Testing: menguji kerentanan yang terkait dengan proses verifikasi identitas pengguna
  4. Authorization Testing: menguji kerentanan yang terkait dengan pemberian akses dan hak pengguna
  5. Session Management Testing: menguji kerentanan yang terkait dengan pengelolaan sesi pengguna
  6. Input Validation Testing: menguji kerentanan yang terkait dengan validasi masukan yang diterima oleh sistem
  7. Testing for weak Cryptography: menguji kerentanan yang terkait dengan kekuatan dan keamanan algoritma cryptography yang digunakan

 

Metodologi Penetration Testing Eksternal:

  1. Footprinting

Metodologi Footprinting dalam Penetration Testing Eksternal adalah teknik yang digunakan untuk mengumpulkan informasi publik tentang suatu organisasi atau sistem. Informasi ini bisa berupa informasi yang terdapat di situs web organisasi, profil di media sosial, informasi domain, dan lain sebagainya. Footprinting bertujuan untuk mengumpulkan informasi yang bisa digunakan untuk mengeksploitasi kerentanan sistem.

  1. Checking for public information and other information leakages

Metodologi Checking for public information and other information leakages dalam Penetration Testing Eksternal merupakan teknik yang digunakan untuk mencari informasi publik yang bisa digunakan untuk mengeksploitasi kerentanan sistem. Informasi ini bisa berupa informasi yang terdapat di situs web organisasi, profil di media sosial, informasi domain, dan lain sebagainya.

  1. System Scanning/Port Scanning/Service Scanning for vulnerabilities

Metodologi System Scanning/Port Scanning/Service Scanning for vulnerabilities dalam Penetration Testing Eksternal adalah teknik yang digunakan untuk mencari kerentanan yang terdapat pada sistem, port, atau layanan yang tersedia. Pemindaian sistem dilakukan dengan menggunakan alat yang memindai semua port yang terbuka pada sistem yang akan diuji. Setelah port terbuka ditemukan, tester akan mencoba mengeksploitasi kerentanan yang terdapat pada port tersebut.

  1. Manual testing identified vulnerabilities.

Metodologi Manual Testing Identified Vulnerabilities dalam Penetration Testing Eksternal adalah teknik yang digunakan untuk mengeksploitasi kerentanan yang teridentifikasi secara manual. Setelah kerentanan teridentifikasi melalui metodologi sebelumnya, tester akan mencoba mengeksploitasi kerentanan tersebut secara manual dengan cara mencoba mencari celah atau kerentanan yang terdapat pada sistem yang akan diuji.

  1. IDS/IPS Testing

Metodologi IDS/IPS Testing dalam Penetration Testing Eksternal adalah teknik yang digunakan untuk menguji kerentanan yang terkait dengan sistem deteksi dan prevensi serangan (IDS/IPS). IDS/IPS merupakan sistem yang digunakan untuk mendeteksi serangan yang sedang terjadi atau serangan yang sedang mencoba terjadi pada sistem yang dilindungi.

  1. Password Strength Testing

Metodologi Password Strength Testing dalam Penetration Testing Eksternal adalah teknik yang digunakan untuk menguji kekuatan password yang digunakan pada sistem yang akan diuji. Tester akan mencoba menemukan password yang lemah atau mudah ditebak dengan cara mencoba mengeksploitasi kerentanan password dengan menggunakan teknik seperti brute force attack atau dictionary attack.

 

Baca Juga : Beberapa Pentest Tools yang Digunakan Ethical Hacker

 

Penetration Testing Internal

Penetration Testing internal adalah jenis pengujian yang menggunakan cara yang berbeda dari Penetration Testing eksternal dalam menangani serangan. Pengujian ini dilakukan setelah Penetration Testing eksternal selesai dilakukan untuk  memastikan bahwa sistem perusahaan aman dari serangan eksternal maupun internal.

Pengujian ini tidak hanya terbatas pada mengeksploitasi kerentanan jaringan internal, namun juga meliputi tindakan merusak lain seperti hak akses yang diperluas, penyebaran malware, serangan man in the middle (MITM), pencurian kredensial, pemantauan, dan kebocoran informasi. Pengujian ini diperlukan untuk menilai keamanan sistem internal perusahaan dan mengidentifikasi kerentanan yang mungkin terjadi dari akses internal.

 

  1. Tujuan dan obyektif utama

Tujuan utama dari Penetration Testing internal adalah untuk menilai keamanan sistem internal perusahaan dan mengidentifikasi kerentanan yang mungkin terjadi dari akses internal. Objektif utama dari Pengujian ini adalah untuk mengukur kemampuan sistem perusahaan dalam melindungi diri dari serangan internal dan mengetahui apa yang bisa dilakukan oleh penyerang yang memiliki akses internal ke jaringan perusahaan.

 

Penetration Testing internal juga bertujuan untuk memberikan rekomendasi kepada perusahaan mengenai tindakan pencegahan dan peningkatan keamanan yang dapat diambil untuk menghindari serangan internal di masa yang akan datang. Pengujian ini juga dapat membantu perusahaan untuk menilai keefektifan tindakan keamanan yang sudah diambil, serta memberikan evaluasi terhadap kemampuan perusahaan dalam menangani serangan internal.

 

  1. Contoh dan Metodologi Penetration Testing Internal 

Berikut ini adalah beberapa contoh dan metodologi yang digunakan dalam Penetration Testing internal:

  1. Computer Systems: Tester akan mencoba mengeksploitasi kerentanan pada sistem komputer perusahaan seperti sistem operasi, software aplikasi, dan perangkat keras.
  2. Access Points: Tester akan mencoba mengeksploitasi kerentanan pada access point atau wireless router yang terhubung dengan jaringan perusahaan.
  3. WiFi Networks: Tester akan mencoba mengeksploitasi kerentanan pada jaringan WiFi perusahaan, termasuk kerentanan pada sistem autentikasi dan enkripsi.
  4. Firewalls: Tester akan mencoba mengeksploitasi kerentanan pada firewall perusahaan, termasuk kerentanan pada konfigurasi dan implementasi firewall.
  5. IDS/IPS: Tester akan mencoba mengeksploitasi kerentanan pada sistem deteksi dan perlindungan terhadap serangan (IDS/IPS) yang digunakan oleh perusahaan.
  6. Local Servers: Tester akan mencoba mengeksploitasi kerentanan pada server lokal perusahaan, termasuk kerentanan pada sistem operasi, software aplikasi, dan perangkat keras.
  7. Employees: Tester akan mencoba mengeksploitasi kerentanan yang terkait dengan tindakan dan kebiasaan karyawan perusahaan, termasuk kerentanan pada password yang lemah atau penggunaan perangkat seluler yang tidak aman.

 

Metodologi pengujian yang digunakan dalam Penetration Testing internal meliputi:

  1. Footprinting: Pentester akan mencari informasi tentang jaringan perusahaan yang tersedia secara publik, termasuk informasi mengenai infrastruktur jaringan, sistem operasi, dan aplikasi yang digunakan.
  2. System Scanning/Port Scanning/Service Scanning: Pentester akan mencari kerentanan dengan melakukan pemindaian jaringan, port, atau layanan yang terhubung dengan jaringan perusahaan.
  3. Manual Testing: Pentester akan secara manual mengeksploitasi kerentanan yang telah teridentifikasi dengan menggunakan alat dan teknik yang tersedia.
  4. IDS/IPS Testing: Pentester akan mencoba mengeksploitasi kerentanan pada sistem deteksi dan perlindungan terhadap serangan (IDS/IPS) yang digunakan oleh perusahaan.
  5. Password Strength Testing: Pentester akan mencoba mengeksploitasi kerentanan pada password yang lemah atau tidak aman yang digunakan oleh karyawan perusahaan.

 

Baca Juga : Security Testing: Proses Pengujian Kerentanan Keamanan Perangkat Lunak

 

Perbandingan antara Penetration Testing internal dan eksternal

Ada beberapa perbedaan utama antara Penetration Testing internal dan eksternal, yaitu:

  1. Tujuan dan obyektif utama: Tujuan utama Penetration Testing eksternal adalah untuk menilai keamanan sistem eksternal perusahaan dan mengidentifikasi kerentanan yang mungkin terjadi dari akses eksternal. Sedangkan tujuan utama Penetration Testing internal adalah untuk menilai keamanan sistem internal perusahaan dan mengidentifikasi kerentanan yang mungkin terjadi dari akses internal.
  2. Lingkup pengujian: Lingkup Penetration Testing eksternal terbatas pada jaringan eksternal perusahaan, sedangkan lingkup Penetration Testing internal meliputi jaringan internal dan eksternal perusahaan.
  3. Metodologi pengujian: Metodologi pengujian yang digunakan dalam Penetration Testing eksternal lebih banyak terfokus pada mencari kerentanan yang terkait dengan jaringan eksternal perusahaan, sementara metodologi pengujian yang digunakan dalam Penetration Testing internal lebih banyak terfokus pada mencari kerentanan yang terkait dengan jaringan internal perusahaan.
  4. Waktu yang diperlukan: Penetration Testing eksternal biasanya membutuhkan waktu yang lebih lama dibandingkan dengan Penetration Testing internal. Hal ini dikarenakan Penetration Testing eksternal meliputi jaringan eksternal yang lebih luas, sehingga membutuhkan waktu yang lebih lama untuk mencari dan mengeksploitasi kerentanan. Sedangkan Penetration Testing internal hanya meliputi jaringan internal, sehingga membutuhkan waktu yang lebih sedikit untuk mencari dan mengeksploitasi kerentanan.
  5. Level akses: Penetration Testing eksternal hanya memiliki akses ke jaringan eksternal perusahaan, sedangkan Penetration Testing internal memiliki akses penuh ke jaringan internal perusahaan.
  6. Fokus uji: Penetration Testing eksternal lebih banyak terfokus pada mencari kerentanan yang terkait dengan jaringan eksternal perusahaan, sementara Penetration Testing internal lebih banyak terfokus pada mencari kerentanan yang terkait dengan jaringan internal perusahaan.
  7. Dampak uji: Dampak dari Penetration Testing eksternal terbatas pada jaringan eksternal perusahaan, sedangkan dampak dari Penetration Testing internal dapat terjadi pada seluruh jaringan internal perusahaan.
  8. Tingkat keamanan: Penetration Testing eksternal dianggap memiliki tingkat keamanan yang lebih rendah dibandingkan dengan Penetration Testing internal, karena tester hanya memiliki akses ke jaringan eksternal perusahaan dan tidak memiliki akses penuh ke jaringan internal. Sedangkan Penetration Testing internal dianggap memiliki tingkat keamanan yang lebih tinggi, karena tester memiliki akses penuh ke jaringan internal perusahaan.

 

Baca Juga : Mengapa sebuah bisnis membutuhkan Cyber Security ?

 

Kesimpulan

Penetration Testing merupakan metode yang efektif untuk menilai keamanan jaringan perusahaan dan mengidentifikasi kerentanan yang mungkin terjadi. Penetration Testing dapat dilakukan baik secara internal maupun eksternal, tergantung pada tujuan dan obyektif yang ingin dicapai. Baik Penetration Testing internal maupun eksternal sangat penting untuk organisasi, karena dapat membantu mengidentifikasi kerentanan yang mungkin terjadi dan membantu meningkatkan tingkat keamanan jaringan perusahaan.

 

Untuk itu, perusahaan yang ingin meningkatkan tingkat keamanan jaringannya harus serius mempertimbangkan layanan Penetration Testing. Dengan layanan Penetration Testing, perusahaan dapat memastikan bahwa jaringannya aman dan tidak rentan terhadap serangan internal maupun eksternal. Jika Anda tertarik dengan layanan Penetration Testing, jangan ragu untuk menghubungi Fourtrezz untuk membantu meningkatkan tingkat keamanan jaringan perusahaan Anda.

Andhika R.

Andhika R.

Digital Marketing at Fourtrezz
Semua Artikel

Amankan Bisnis Anda Setahun Penuh!

Pastikan keamanan bisnis Anda di dunia digital dengan paket pentest tahunan Fourtrezz. Dapatkan penawaran spesial sekarang juga!

Pelajari Lebih Lanjut

Basic

  • 2 Target (Web, Mobile, & Desktop Apps)
  • Pendampingan saat Bug Fixing
  • 2x Re-Testing/App
  • Metode Gray Box atau Black Box
  • Report Komprehensif
  • Garda Siber Dashboard dan Vulnerability Scanner Tools
IDR 90 jt /Tahun

Premium

  • 3 Target (Web, Mobile, & Desktop Apps)
  • Pendampingan saat Bug Fixing
  • 2x Re-Testing/App
  • Metode Gray Box atau Black Box
  • Report Komprehensif
  • Garda Siber Dashboard dan Vulnerability Scanner Tools
IDR 100 jt /Tahun

Pro

  • 5 Target (Web, Mobile, & Desktop Apps)
  • Pendampingan saat Bug Fixing
  • 2x Re-Testing/App
  • Metode Gray Box atau Black Box
  • Report Komprehensif
  • Garda Siber Dashboard dan Vulnerability Scanner Tools
IDR 175 jt /Tahun

*Harga belum termasuk pajak

Pelajari Lebih Lanjut
Artikel Teratas

Audit IT untuk Sektor Keuangan: Praktik Terbaik dan Kebutuhan

Baca Selengkapnya

Audit Keamanan Jaringan: Mengapa Ini Penting untuk Infrastruktur IT Anda

Baca Selengkapnya

Peran Audit IT dalam Memenuhi Kepatuhan Regulasi

Baca Selengkapnya
Berita Teratas

Terungkap Kontroversi Penjualan Teknologi Spyware Israel ke Indonesia

Baca Selengkapnya

Google Perluas Dukungan untuk Teknologi Passkey dalam Upaya Tingkatkan Keamanan Siber

Baca Selengkapnya

Kementerian Kominfo dan BSSN Bersinergi untuk Menjaga Keamanan Siber dalam World Water Forum ke-10 di Bali

Baca Selengkapnya
Berita Lebih banyak

PT Tiga Pilar Keamanan

Grha Karya Jody – Lantai 3
Jl. Cempaka Baru No.09, Karang Asem,
Condongcatur, Depok, Sleman,
D.I. Yogyakarta 55283

Hubungi Kami

Layanan Kami

Unduh Profil Perusahaan

Partner Pendukung

Youtube Pinterest Linkedin Facebook-f Instagram Tiktok

All rights reserved.

PT Tiga Pilar Keamanan

Grha Karya Jody – Lantai 3
Jl. Cempaka Baru No.09, Karang Asem,
Condongcatur, Depok, Sleman,
D.I. Yogyakarta 55283

Hubungi Kami

Unduh Profil Perusahaan

Layanan Kami

Partner Pendukung

:
:
:
:
Youtube Pinterest Linkedin Facebook-f Instagram Tiktok

All rights reserved.

Dapatkan Penawaran Kami

Silakan isi formulir ini dan tim kami akan segera menghubungi Anda kembali.
Dapatkan Penawaran