Vulnerability Assessment and Penetration Testing (VAPT)
Vulnerability Assessment and Penetration Testing (VAPT) adalah evaluasi keamanan dan pengujian penetrasi, bertujuan untuk mengidentifikasi dan menangani kerentanan keamanan siber dalam sistem.
Mengapa VAPT Perlu Dilakukan?
Mendeteksi kerentanan keamanan secara komprehensif
Meningkatkan keamanan data dan sistem
Visibilitas keamanan pada sistem yang digunakan atau dikembangkan
Memastikan kesesuaian dengan standar keamanan informasi
Apa Manfaat VAPT Bagi Klien?
Meningkatkan Sensibilitas Terhadap Ancaman
Klien memiliki pemahaman yang lebih baik tentang kerentanan sistem dan tindakan yang diperlukan untuk meningkatkan keamanan.
Mitigasi Celah Keamanan Lebih Cepat
Ancaman yang ditemukan dapat diselesaikan sebelum menjadi sumber risiko nyata bagi pelanggan.
Peduli Terhadap Keamanan Data Pelanggan
“>Klien dapat meningkatkan reputasinya sebagai perusahaan yang peduli terhadap keamanan pelanggan.
Apa Saja yang Dapat Kami Uji?
Aplikasi Mobile
Pengujian kerentanan dalam sistem upaya untuk mendapatkan akses ke data sensitif, dengan tujuan untuk menentukan aman tidaknya suatu sistem.
Server
Penilaian keamanan yang dilakukan untuk menemukan kerentanan yang mencakup pengujian, konfigurasi, dan arsitektur keamanan server otomatis dan manual.
Jaringan
Pengujian terhadap sistem untuk membantu mengidentifikasi kerentanan apapun pada jaringan Wi-Fi yang berpotensi dieksploitasi.
Situs Web
Upaya mendapatkan akses ke data senstif pada web yang dikembangkan untuk mengidentifikasi kerentanan pada database, source code, dan juga jaringan back-end.
Apa yang Anda Dapatkan dari Layanan VAPT Kami?
Laporan Penetration Testing
Meliputi rincian hasil pengujian, tingkat risiko, serta rekomendasi perbaikan sistem.
Gambaran Business Impact
Bertujuan untuk meningkatkan kewaspadaan bisnis dalam jangka panjang.
Komunikasi secara Internal
Hal ini meliputi pemberian solusi yang efektif dari keamanan siber.
Pengujian Ulang atau Re-test
Hal ini untuk memastikan tidak ada celah pada sistem.
Rekomendasi Pengerjaan
Pengerjaan dengan pendekatan White Box, Grey Box, atau Black Box.
Pengujian & Presentasi
- Pengujian agresif
- Teknik pengujian eksploitasi Presentasi hasil
- Retest
Komponen Pelaporan
- Executive summary
- Scope penilaian
- Detail hasil temuan yang meliputi severity, URL, POC, imapact, recommendation, dan reference
Tahapan
Penetration Testing
Framework
Penetration Testing
Jenis Framework
Fokus Utama
Cakupan Keamanan
Contoh Penggunaan
OWASP (Top 10)
Kerentanan umum aplikasi web (Injection, XSS, CSRF, dll.)
Aplikasi Web, API
Pengujian keamanan web, API sesuai dengan kerentanan top 10 OWASP
OWASP MSTG
Keamanan aplikasi mobile (Auth, Encryption, Data Storage, dll.)
Aplikasi Mobile
Pengujian keamanan aplikasi mobile dengan pendekatan khusus untuk iOS/Android
OSSTMM
Komprehensif (People, Process, Technology, Controls, Physical, dll.)
Infrastruktur, Proses, Aplikasi, Fisik
Pengujian berbagai domain keamanan, termasuk keamanan fisik dan prosedur internal
CWE (MITRE)
Kelemahan pada desain atau implementasi perangkat lunak
Software & Aplikasi
Analisis kode sumber atau evaluasi kerentanan umum dalam pengembangan perangkat lunak
MITRE ATT&CK
Taktik, teknik, dan prosedur (TTP) serangan dalam rantai serangan siber
Semua tahapan serangan siber (Reconnaissance, Exploitation, dll.)
Pengujian serangan simulasi (Adversary Emulation) untuk mengukur pertahanan organisasi
Perbedaan Metodologi
Penetration Testing
1
Fokus Utama
Cakupan Keamanan
Contoh Penggunaan
White Box
Pengujian dengan akses penuh ke sistem
Menguji kode sumber, struktur internal, dan arsitektur sistem
Digunakan untuk pengujian kode aplikasi yang baru dikembangkan, atau pada sistem yang pernah terjadi data leak dengan tujuan memastikan tidak ada celah di tingkat kode.
Grey Box
Pengujian dengan akses terbatas
Kombinasi pengujian dengan akses terbatas (seperti pengguna biasa) dan sebagian informasi internal
Digunakan untuk menguji aplikasi oleh auditor yang memiliki sebagian informasi pengguna atau sistem, seperti akun dengan hak akses tertentu
Black Box
Pengujian tanpa informasi internal
Menguji aplikasi atau sistem seperti penyerang eksternal tanpa akses ke sistem
Digunakan untuk simulasi serangan dunia nyata oleh pihak luar yang tidak memiliki informasi sistem, seperti tes penetrasi dari sudut pandang hacker
Studi Kasus
Client
PT. X
Category
Mobile Application
Approach
Black Box Testing
URLs/App
Mobile Application Andorid (https://ptxmobileapp.com)
Credentials
-
Tindakan yang Dilakukan
Sample Hasil
No
Domain
Domain Rating & Malware Detect
Keterangan
1
example.com
OK
127.0.0.1
2
example2.com
OK
127.0.0.2
3
example3.com
OK
127.0.0.3
4
example4.com
OK
127.0.0.4
Sample Daftar Kerentanan Sistem
APPLICATION VULNERABILITY
No
Domain
Severity
CVSS
Status
1
Insecure Data Storage (Cleartext Storage of Sensitive Information in app source code)
High
8.3
Open
2
Insufficient Cryptography (Weak Password Requirements)
Medium
6.5
Open
3
Insecure Data Storage (Application Data can be Backed up)
Medium
6.5
Open
4
Insecure Data Storage (Unsafe files deletion)
Medium
6.4
Open
5
Insecure Communication (Missing Certificate Pinning)
Medium
6.4
Open
6
Insecure Data Storage (Clear text traffic is Enabled For App)
Medium
5.4
Open
Sample Vulnerability Findings
INSECURE DATA STORAGE
8.3
Sistem Target
Vulnerability Path: Android Mobile App
Deskripsi
Sumber aplikasi mungkin berisi informasi sensitif seperti token Oauth, kunci API, kata sandi, kekayaan intelektual apapun yang diketahui yang mungkin dianggap sensitif.
Impact
Terkadang pengembang aplikasi seluler meninggalkan data sensitif di kode sumber aplikasi seluler. Mereka bukan permata mahkota perusahaan itu sendiri, tetapi mereka adalah petunjuk potensial bagi peretas jahat untuk menemukannya. Merupakan kesalahan untuk meng-hardcode komponen keamanan, seperti token keamanan atau kunci enkripsi, atau bit kode istimewa, seperti kunci API atau algoritme kepemilikan, pada perangkat seluler. Melakukan hal itu dapat memberikan kesempatan kepada peretas jahat untuk mencuri rahasia tersebut dengan merekayasa balik aplikasi seluler.
Bukti (Evidence)
Kami telah mendeteksi
key = 'public_key' di file io/sentry/TraceState.java
line : 21 public static final string environment = "environment",
line : 22 public static final string public_key = "public_key",
line : 23 public static final string release = "release",
Referensi
https://aws-amplify.github.io/aws-sdk android/docs/reference/com/am zonaws/ auth/CognitoCachingCredentials Provider.html
Rekomendasi
Jika data sensitif masih harus disimpan secara lokal, data tersebut harus dienkripsi menggunakan kunci yang berasal dari penyimpanan yang didukung perangkat keras yang memerlukan autentikasi.
Tanggapan Manajemen & Status Remediasi
-
Cyber Security
Training
Pelatihan intensif yang disediakan untuk mendukung dan meningkatkan skill cyber security, baik hard skill maupun soft skill.
Red Team Training
Pelatihan dengan cara meniru pola pikir peretas untuk meningkatkan pertahanan dan kesiapan organisasi dalam mengantisipasi serta mengatasi ancaman.
Online/Offline
Red Team Training
Durasi: 2 hari, 6-8 jam/hari
Peserta: Min. 5
Lihat Silabus
Silabus:
Perkenalan Red Team
Scoping & Pre-Engagement
Reconnaissance & OSINT
Weaponisation
Practical Social Engineering
Analysis and Exploitation
Metasploit Framework
Online/Offline
Cyber Security Analyst
Durasi: 2 hari, 6-8 jam/hari
Peserta: Min. 5
Lihat Silabus
Silabus:
Pengantar Keamanan Sistem dan Jaringan Komputer
Pengantar Tanggap Insiden Keamanan
Pengantar Forensik Digital
Sistem Pelaporan Insiden
Analisis Insiden Keamanan
Online/Offline
Junior Cyber Security
Durasi: 2 hari, 6-8 jam/hari
Peserta: Min. 5
Lihat Silabus
Silabus:
Pengantar Etika Hacker
Konsep Dasar Keamanan Informasi I
Konsep Dasar Keamanan Informasi II
Konsep Dasar Keamanan Informasi III
Identifikasi Serangan Siber
Pengenalan Information Security Assessment
Online/Offline
Basic Penetration Testing
Durasi: 2 hari, 6-8 jam/hari
Peserta: Min. 5
Lihat Silabus
Silabus:
Pengenalan
Reconnaissance/Information Gathering
Scanning
Enumeration
Vulnerability Assessment
Eksploitasi
Pasca Eksploitasi Pelaporan
Blue Team Training
Keahlian dasar untuk menganalisis ancaman keamanan jaringan, menerapkan mekanisme perlindungan data perusahaan, menilai isu keamanan, serta memberikan solusi seperti kebijakan sistem, troubleshooting, dan digital signatures.
Online/Offline
Secure Coding
Durasi: 1-2 hari, 6-8 jam/hari
Peserta: Min. 5
Lihat Silabus
Silabus:
Pengantar Secure Coding
Cyber Attack & Web Application Security
SQL Injection
Cross Site Scripting
File Inclusion
Command Injection
Unrestricted File Upload
Broken Authentication
Broken Object Level Authorization
Online
Hardening Server
Durasi: 1-2 hari, 6-8 jam/hari
Peserta: Min. 5
Lihat Silabus
Silabus:
Network Hardening
Operating System Hardening
Service/Application Hardening
User Access Control
Online
Secure Data Management
Durasi: 1-2 hari, 6-8 jam/hari
Peserta: Min. 5
Lihat Silabus
Silabus:
Pengantar Document Management System
Pengenalan Network Attach Storage
Konfigurasi Network Attach Storage
Pengantar Keamanan Sistem dan Jaringan Komputer
Manajemen Penyimpanan Dokumen
Pengolahan Dokumen
Online
Linux Basic
Durasi: 1-2 hari, 6-8 jam/hari
Peserta: Min. 5
Lihat Silabus
Silabus:
Pengantar Operating System Linux
Manipulasi Text
Analisa dan Management Network
Management Software
Manajemen File & Hak Akses Direktori
Manajemen Proses
User Environment Variables
Bash Scripting
Compressing & Archiving
Filesystem & Device Storage
Management
The Logging System
Linux Firewall
Online
Linux Administration
Durasi: 1-2 hari, 6-8 jam/hari
Peserta: Min. 5
Lihat Silabus
Silabus:
Akses Perintah Lokal & Remote
Manajemen File Via Terminal
Pengaturan Pengguna & Grup
Pemantauan Proses Linux
Kontrol Services & Daemons
Manajemen Services di Images
Container
Optimasi Performa Sistem
Pengaturan Akses File & Sistem
Analisis & Pencatatan Log
Konfigurasi & Keamanan openSSH
Update & Instalasi Software
Manajemen Linux File System & Volume
Konfigurasi Jaringan Linux & Firewall
Non-Tech Training
Pengetahuan non teknis di bidang cyber security
Online/Offline
Cyber Security Awareness
Durasi: 1-2 hari, 6-8 jam/hari
Peserta: Min. 5-20
Lihat Silabus
Silabus:
Perkenalan Cyber Security Awareness
Element of Information Security
Social Engineering
Cyber Crime, Spy & Data Thief
OSINT
ISO 27001
Online/Offline
Pelatihan ISO 27001
Durasi: 1-2 hari, 6-8 jam/hari
Peserta: Min. 5
Lihat Silabus
Silabus:
Overview tentang ISO/IEC 27001
Pemahaman standar secara umum
Sistem Manajemen Keamanan Informasi
Konteks organisasi SMKI
Kepemimpinan SMKI
Perencanaan SMKI
Dukungan untuk SMKI
Pengoperasian SMKI
Evaluasi kinerja SMKI
Peningkatan SMKI
Tahapan penerapan dan sertifikasi
SMKI
Cyber Security Consulting
Layanan konsultasi untuk menilai sistem keamanan TI perusahan dan membantu membangun program keamanan yang efektif.
Konsultasi & Strategi Keamanan
Konsultasi keamanan siber untuk membantu perusahaan dalam menyusun strategi perlindungan yang komprehensif, memastikan kepatuhan terhadap standar industri seperti ISO 27001, NIST, dan GDPR, serta mengidentifikasi dan mengelola risiko siber.
Layanan ini juga memberikan panduan dalam perencanaan mitigasi ancaman dan penanganan insiden secara efektif, sehingga perusahaan dapat merespons serangan dengan cepat dan meminimalkan dampaknya.
Tidak Hanya Konsultasi
Kami menawarkan layanan end-to-end, mulai dari konsultasi dan penilaian, perencanaan, serta optimalisasi manajemen keamanan
Mitigasi Kelemahan Sistem
Memahami kelemahan lebih baik sehingga strategi keamanan perusahaan lebih efisien dan efektif
Sesuai Regulasi yang Berlaku
Memastikan sistem keamanan yang diimplementasi sesuai dengan standar dan regulasi pemerintahan
