Jasa Pentest (Penetration Testing Services) Bersertifikasi OSCP

Kami menyediakan layanan pentest dengan berbagai metode yang dapat digunakan untuk menguji berbagai sistem IT. Cakupan uji penetration testing yang dapat kami lakukan  meliputi

Jasa Pentest Aplikasi Web

Tim kami dapat menguji keamanan apakah pada website dan aplikasi berbasis web memiliki celah keamanan seperti SQL injection dan semacamnya untuk digunakan penyerang mencuri data.

Jasa Pentest Jaringan 

Kamu juga dapat menguji infrastruktur jaringan Anda untuk mencari tahu apakah ada port terbuka, konfigurasi yang dilakukan tidak benar dan akan melaporkannya pada Anda.

Jasa Pentest Server dan Infrastruktur

Selanjutnya kami dapat menguji seberapa kuat sistem keamanan server Anda saat ini dan layanan yang sedang berjalan di dalamnya.

Jasa Pentest Cloud Environment

Terakhir kami dapat melakukan uji coba pentest di lingkungan cloud, mencakup akses kontrol, misconfiguration, dan integrasi layanan yang saat ini digunakan.

Pada prosesnya kami menggunakan metode yang terstruktur dan menggunakan checklist, pengujian dimulai dari tahap perencanaan, reconnaissance, eksploitasi terbatas, hingga reporting. 

Kami juga menjamin proses yang akan dilakukan harus berjalan secara etis dan sesuai dengan ruang lingkup yang sudah disepakati.

Proses jasa pentest kami akan dilakukan secara sistematis agar hasilnya akurat dan dapat ditindaklanjuti oleh tim IT Anda.

Tahapannya meliputi

• Scoping atau Perencanaan

Tim kami akan berdiskusi dengan klien untuk menentukan seberapa besar ruang lingkup pengujian, metode pengujian apa yang akan dilakukan, serta jadwal pelaksanaan pentest.

• Information Gathering

Selanjutnya proses pengumpulan informasi terkait target antara lain domain, IP address, teknologi yang digunakan, dan konfigurasi sistem yang digunakan saat ini.

• Vulnerability Assessment

Proses yang akan dilakukan adalah melakukan identifikasi celah keamanan yang terbuka dengan metode vulnerability assessment menggunakan tools dan cara manual.

• Exploitation (Terbatas dan Terkontrol)

Akhirnya pada proses simulasi eksploitasi yang harus kami lakukan dengan hati-hati untuk membuktikan bahwa celah yang sudah ditemukan pada proses vulnerability assessment tadi benar-benar dapat dimanfaatkan.

• Reporting dan Rekomendasi

Pada hasil akhir, klien akan menerima laporan berisi
- Daftar kerentanan yang sudah ditemukan
- Tingkat risiko (low, medium, high, critical)
- Bukti temuan
- Rekomendasi teknis perbaikan

• Konsultasi dan Diskusi Hasil

Proses terakhir tim Wowrack akan membantu menjelaskan hasil temuan dan langkah mitigasi yang harus dilakukan.

Beberapa manfaat menggunakan jasa penetration service bagi perusahaan antara lain adalah

Pertama, perusahaan Anda dapat menghindari serangan siber karena semua celah sudah diketahui dan ditutup sebelum dimanfaatkan penyerang. 

Kedua, jasa penetration testing dapat menjaga reputasi bisnis, karena berhubungan dengan pencegahan kebocoran data, perlu Anda ketahui jika kebocoran data dapat merusak kepercayaan pelanggan dan mitra bisnis. 

Ketiga, pengujian penetration digunakan untuk memenuhi syarat kepatuhan terhadap regulasi. Karena standar keamanan dan regulasi industri banyak yang memberikan syarat harus lolos pengujian keamanan berkala. Laporan pentest dari Wowrack dapat anda gunakan untuk syarat audit.

Keempat, dapat meningkatkan kesiapan tim IT internal karena sudah memahami apa saja kerentanan yang ditemukan, sehingga tim IT Anda bisa menghindari kesalahan yang sama saat membuat sistem selanjutnya.

Setelah proses penetration testing selesai, Anda akan menerima laporan dari team kami. Laporan ini mencakup executive summary, technical findings yang menjelaskan temuan kerentanan, serta risk rating untuk.

Anda juga akan mendapatkan proof of concept  yaitu bagaimana celah keamanan dapat dieksploitasi oleh penyerang, kami juga memberikan screenshot evidence sebagai bukti temuan. 

Selain itu, kami akan memberikan langkah-langkah perbaikan. Setelah perbaikan dilakukan, tim pentest kami dapat melakukan re-testing untuk memverifikasi bahwa kerentanan yang sudah ditemukan tadi telah ditutup.

Saat ini ada 3 jenis metode yang dapat kami gunakan, antra lain

White Box Penetration Testing

White box penetration testing adalah metode pengujian pentest dengan informasi yang diberikan kepada tim kami merupakan informasi penuh sebelum pengujian dimulai. 

Informasi yang diberikan antara lain source code, diagram jaringan, akun dan konfigurasi aplikasi.

Dengan pemberian informasi maka pengujian dapat dilakukan secara mendalam karena tim kami akan fokus pada area yang memiliki kerentanan. 

Grey Box Penetration Testing

Grey box penetration testing adalah cara pengujian dengan informasi yang didapatkan hanya sebagian. Contohnya, tim kami hanya menerima akun pengguna biasa, dokumentasi yang terbatas terhadap aplikasi yang akan diuji oleh tim kami.

Metode grey box ini seperti meniru cara penyerang melakukan penyerangan karena sudah memiliki akses ke dalam sistem, contohnya seperti akun yang dicuri. 

Black Box Penetration Testing

Black box penetration testing adalah metode pentest yang akan dilakukan tanpa memiliki informasi apapun kepada terhadap sistem selain nama perusahaan.

Dalam skenario ini, tim kami harus melakukan kerja extra pada saat proses reconnaissance, enumerasi, karena proses eksploitasi ini seperti layaknya penyerang yang mencoba menembus sistem dari luar organisasi.

Untuk menjamin hasil pengujian jasa pentest agar tepat dan akurat, jasa pen test kami akan menggunakan metode-metode yang sudah diakui aturan internasional.

OWASP Top 10

OWASP top 10 adalah aturan standar keamanan aplikasi web yang berisi daftar-daftar kerentanan yang paling sering ditemukan pada aplikasi website saat ini. Tim penguji kami akan melakukan uji coba dari top 10 OWASP untuk memastikan aplikasi web tidak memiliki celah keamanan dari OWASP top 10.

PTES (Penetration Testing Execution Standard)

Kami akan melakukan uji coba PTES dari kerangka kerja yang sudah disediakan, prosesnya mulai dari tahap perencanaan hingga pelaporan. Prosesnya yaitu meliputi intelligence gathering, threat modeling, vulnerability analysis, exploitation, post-exploitation, serta penyusunan laporan hasil pengujian.

NIST SP 800-115

Kami juga bisa melakukan pengujian dengan metode NIST SP 800-115 dari National Institute of Standards and Technology (NIST) untuk melakukan assessment. Standar ini cocok digunakan untuk mengevaluasi keamanan jaringan, sistem, aplikasi, dan infrastruktur cloud.

MITRE ATT&CK

MITRE ATT&CK adalah metode yang juga bisa kami gunakan untuk mensimulasikan teknik, taktik, dan prosedur pentest yang banyak digunakan oleh hacker.

OSSTMM (Open Source Security Testing Methodology Manual)

Metode OSSTMM adalah cara pengujian keamanan yang berfokus pada pengukuran tingkat keamanan. Pengujian ini dapat dilakukan pada jaringan bisnis, sistem dan aplikasi.

Jasa penetration testing kami dilakukan pada berbagai jenis platform, antara lain

Amazon Web Services (AWS)

Tujuan pengujian pen testing ini adalah untuk mengevaluasi sistem keamanan layanan AWS, diantranya adalah konfigurasi IAM, EC2, S3 Bucket, VPC, Security Group, serta layanan cloud. 

Microsoft Azure

Pengujian pada Microsoft Azure dapat mengidentifikasi risiko keamanan pada virtual machine, storage account, network security group, Azure Active Directory, serta layanan cloud saat ini.

Google Cloud Platform (GCP)

Pengujian pentesting pada platform GCP dilakukan untuk mendeteksi kesalahan konfigurasi, kontrol sistem yang kurang baik, serta potensi penyimpanan data yang dapat menyebabkan kebocoran.

Kubernetes

Kami juga dapat menguji di lingkungan kubernetes untuk menemukan kerentanan pada cluster, container orchestration, role-based access control (RBAC), secret management, hingga konfigurasi yang berjalan di dalam cluster.

Docker

Pengujian pentest pada docker dapat membantu mengidentifikasi apakah ada file image yang rentan, privilege escalation, serta potensi resiko keamanan.

VMware

Jasa penetration testing kami juga dapat melakukan pengujian pada VMware pada cloud

Lama proses pengujian jasa pentest kami berbeda-beda, cepat atau lambatnya tergantung pada ruang lingkup pengujian dan juga berapa aset yang diuji, serta jenis pengujian yang dilakukan apakah black box atau white box. 

Semakin luas ruang lingkupnya, semakin banyak waktu yang dibutuhkan untuk melakukan pengujian.

Sebagai contoh untuk pengujian aplikasi web dengan cakupan terbatas, proses pengujian dapat diselesaikan dalam waktu 3 hingga 7 hari kerja. Sementara itu, pengujian terhadap lingkungan yang lebih kompleks contohnya infrastruktur cloud dapat memerlukan waktu 1 hingga 4 minggu.

Ya, melakukan penetration testing adalah salah satu syarat penting dalam memenuhi aturan kepatuhan ISO/IEC 27001, proses krusial yang dibutuhkan antara lain identifikasi, evaluasi, dan pengelolaan risiko keamanan yang sudah ditemukan.