Penetration Testing vs Vulnerability Assessment: manakah yang lebih diperlukan?



Sebagian orang mungkin masih bertanya-tanya tentang apa itu Penetration Testing atau biasa disebut “pentest” dan apa perbedaannya dengan Vulnerability Assessment. Ditulis oleh : Kristin Paulina


Kejadian cybercrime yang marak terdengar belakangan ini telah menimbulkan masalah bagi beberapa perusahaan e-commerce, beberapa hacker berhasil menemukan celah pada aplikasi mereka dan melakukan eksploitasi. Mereka bingung harus mengambil langkah apa untuk meminimalisir dampak dari ulah para hacker.

Faktanya, bukan hanya perusahaan e-commerce yang menjadi target para hacker, tetapi perusahaan-perusahaan yang lain pun juga ikut menjadi sasaran. Lalu, apa saja yang diperlukan oleh perusahaan mereka saat ini? Apakah cukup dengan menutup celah-celah tersebut?

Tentu tidak. Sebab setiap hari selalu terdapat vulnerability (kerentanan) baru. Maka dari itu sangat penting bagi setiap perusahaan melakukan evaluasi terhadap kualitas perangkat mereka secara rutin. Caranya, perusahaan menguji seberapa kuat pertahanan keamanan yang saat ini sudah mereka miliki. Salah satu contoh pengujian yang dapat diterapkan adalah Penetration Testing atau Vulnerability Assessement (VA) pada sistem keamanan infrastruktur mereka.

Sebagian orang mungkin masih bertanya-tanya tentang apa itu Penetration Testing atau biasa disebut “pentest” dan apa perbedaannya dengan Vulnerability Assessment. Seberapa penting hal tersebut harus diterapkan di perusahaan dan apakah cara kerjanya sama?

Penetration testing bertujuan untuk menunjukan sampai sejauh mana seorang penyerang (attacker) dapat masuk ke dalam sistem infrastruktur sebuah perusahaan. Skenario yang dilakukan sama seperti cara hacker di luar sana yakni mencari celah, mencoba masuk ke dalam sistem, dan mencoba mengambil data-data penting yang bisa disalahgunakan oleh penyerang.

Salah satu perbedaan aktivitas Penetration Testing dengan Vulnerability Assessment adalah attacker akan mencoba masuk ke dalam salah satu mesin system administrator, mengumpulkan informasi pada target tersebut dengan membaca beragam file di dalamnya hingga ditemukan data username/password yang tidak terenkripsi dan menuju ke server-server penting lainnya.
Sedangkan Vulnerability Assessment hanya bertujuan mengindentifikasi vulnerability (kerentanan) dan tidak melakukan serangan lebih lanjut.

Dari penjabaran diatas bisa disimpulkan kegiatan Penetration Testing atau Vulnerability Assessment sangat tergantung dari tipe bisnis yang dimiliki. Sebagai contoh untuk tipe bisnis kecil yang hanya memiliki beberapa perangkat seperti router dan file sharing maka tipe pengetesan yang di sarankan cukup sebatas Vulnerability Assessment. Sedangkan tipe bisnis besar yang menggunakan unsur technology seperti (fintech, banking, e-commerce) sangat memerlukan Penetration Testing untuk meminimalisir celah-celah keamanan yang mungkin akan menimbulkan terjadinya kerugian secara finansial.