Pen Testing as a Service (PTaaS)

Pen Testing as a Service (PTaaS) adalah layanan cloud yang menyediakan sumber daya yang dibutuhkan oleh profesional teknologi informasi (TI) untuk melakukan dan menindaklanjuti pengujian penetrasi pada titik waktu tertentu maupun secara terus-menerus. Tujuan PTaaS adalah membantu organisasi membangun program manajemen kerentanannya yang sukses yang dapat menemukan, memprioritaskan, dan memperbaiki ancaman keamanan dengan cepat dan efisien.

Dalam keamanan TI, praktik umum bagi bisnis adalah menyewa penguji white hat yang terkemuka untuk datang dan secara proaktif mencari vektor serangan yang bisa dimanfaatkan. Mengundang entitas luar untuk mencoba membobol jaringan, server, atau aplikasi mungkin terdengar kontra-intuitif, namun ini juga merupakan salah satu cara terbaik untuk mengidentifikasi dan memperbaiki masalah keamanan yang sulit ditemukan.

Istilah yang Perlu Diketahui: penetration test;  layanan cloud;  manajemen kerentanan;  white hat;  attack vector

Bagaimana PTaaS Bekerja

Pada zaman dahulu, sebelum adanya komputasi awan, hasil pengujian penetrasi diberikan setelah periode pengujian selesai. Meskipun informasi tersebut bermanfaat, sifat data yang bersifat historis seringkali membuat tim keamanan internal kesulitan untuk memprioritaskan dan memperbaiki hasil pengujian.

Pengujian penetrasi otomatis yang dilakukan melalui model pengiriman perangkat lunak sebagai layanan (SaaS) dapat memperbaiki masalah ini dengan memungkinkan pelanggan untuk melihat data mereka secara waktu nyata melalui dasbor eksekutif yang menampilkan semua data relevan sebelum, selama, dan setelah pengujian dilakukan. Sama seperti layanan pengujian penetrasi tradisional, penyedia PTaaS juga menyediakan sumber daya kepada pelanggan mereka untuk mengurai kerentanannya dan memverifikasi efektivitas suatu perbaikan. Biasanya, penyedia PTaaS memberikan basis pengetahuan kepada pelanggan mereka untuk membantu tim keamanan internal dengan perbaikan, dan sebagai nilai tambah, beberapa penyedia menawarkan bantuan opsional dari penguji yang benar-benar menemukan kerentanannya.

PTaaS sangat cocok untuk organisasi dari segala ukuran. Sebagian besar platform sangat fleksibel dan dapat mengakomodasi mulai dari program pengujian lengkap hingga fitur pelaporan kustom untuk pelanggan yang menghadapi beban kepatuhan yang berat.

Pen Testing as a Service tidak boleh disamakan dengan cloud pen testing. PTaaS adalah platform pengiriman, sementara cloud pen testing bertujuan untuk mengidentifikasi celah keamanan pada infrastruktur cloud tertentu.

Istilah yang Perlu Diketahui: cloud computing;  software as a service;  real time;  executive dashboard;  parse;  basis pengetahuan;  regulatory compliance;  compliance burden

Manfaat Pen Testing as a Service

Salah satu manfaat terbesar dari PTaaS adalah kontrol yang diberikannya kepada pelanggan. Perusahaan dengan pengalaman yang lebih sedikit di industri keamanan mendapatkan mitra dan platform yang memberikan semua yang mereka butuhkan untuk membangun program manajemen ancaman dan kerentanannya yang sukses.

Selain menyajikan kemajuan dan status dari semua keterlibatan yang terbuka, platform cloud PTaaS memudahkan pelanggan untuk meminta dan menentukan ruang lingkup keterlibatan baru. Manfaat lainnya meliputi:

  • Opsi pembelian yang fleksibel: Layanan pengujian penetrasi otomatis, manual, dan hybrid dapat dianggarkan dan dibeli melalui langganan bulanan, triwulanan atau tahunan, atau sesuai kebutuhan.
  • Akses terus-menerus ke data waktu nyata: Seiring dengan berkembangnya kerentanannya atau eksploitasi, data terkait diperbarui.
  • Opsi pelaporan fleksibel: Banyak platform PTaaS dapat mengumpulkan dan mengorelasikan temuan dari berbagai sumber dan memberikan set hasil yang memenuhi kebutuhan berbagai pemangku kepentingan.
  • Automasi: Alur kerja otomatis memudahkan pemindaian kerentanannya untuk jaringan eksternal dan aplikasi web yang tidak terotentikasi.

Istilah yang Perlu Diketahui: project scope;  security exploit;  aggregate;  stakeholder;  network vulnerability scanning

Tantangan Penggunaan PTaaS

Ketika orkestrasi kerentanannya diotomatisasi, pelanggan dapat mengelola anggaran dan sumber daya internal dengan lebih efisien, yang pada gilirannya memungkinkan mereka untuk menjalankan lebih banyak pengujian. Beberapa perusahaan tidak berada dalam posisi di mana mereka dapat mengelola siklus pengujian tambahan, bagaimanapun.

Program keamanan yang lebih baru dan dengan dana terbatas seringkali kesulitan untuk memperbaiki kerentanannya yang ditemukan selama pengujian penetrasi tahunan, apalagi pengujian mingguan, bulanan, atau kuartalan. Karena anggaran keamanan terbatas di banyak organisasi, mungkin sulit untuk membenarkan biaya tambahan untuk pengujian ekstra dan upaya perbaikan.

Apa yang Harus Dicari pada Penyedia PTaaS

Ada beberapa elemen inti yang harus diperhatikan calon pelanggan saat mengevaluasi layanan pengujian penetrasi otomatis, manual, atau hybrid, termasuk reputasi dan sejarah vendor.

Selain menyediakan pustaka yang komprehensif untuk instruksi perbaikan, fitur produk lainnya yang patut diperhatikan meliputi:

  • Kemampuan untuk mengumpulkan dan mengorelasikan data dari berbagai sumber.
  • Kemampuan bagi banyak penguji untuk bekerja secara bersamaan pada proyek yang sama dan menggabungkan temuan dalam satu ruang kerja untuk pelaporan.
  • Kemampuan untuk menormalkan kepercayaan dan tingkat keparahan di seluruh pemindai untuk meningkatkan temuan dan mengurangi false positives.
  • Kemampuan untuk menghasilkan laporan dalam berbagai format file.
  • Kemampuan untuk menyesuaikan template laporan untuk jenis pengujian tertentu.
  • Kemampuan untuk melacak tren dari waktu ke waktu dan memantau waktu penyelesaian perbaikan.
  • Kemampuan untuk mengintegrasikan pelaporan dengan sistem tiket perusahaan dan sistem tata kelola, risiko, dan kepatuhan (GRC).

Istilah yang Perlu Diketahui: reputasi manajemen;  library;  file format;  template

Lanskap Penyedia PTaaS

Vendor-vendor yang menonjol dalam ruang PTaaS saat ini termasuk:

  • NetSPI – Menurut situs web mereka, NetSPI adalah perusahaan pengujian penetrasi terkemuka dan penyedia solusi keamanan siber yang dipercaya oleh 7 dari 10 bank teratas di AS.
  • Cobalt.io – Menurut profil LinkedIn mereka, Cobalt.io adalah platform Pentest as a Service dan mesin manajemen kerentanannya sesuai permintaan.
  • Breachlock – Menurut situs web mereka, platform cloud BreachLock memungkinkan pelanggan untuk menjalankan pemindaian otomatis dan meminta pengujian manual serta pengujian ulang dengan sekali klik.
  • Synack – Menurut situs web mereka, Synack crowdsourcing platform pengujian keamanannya.
  • Praetorian — Menurut situs web mereka, Praetorian membantu klien mereka menemukan, memperbaiki, menghentikan, dan menyelesaikan masalah keamanan siber di seluruh portofolio perusahaan atau produk.

Istilah yang Perlu Diketahui: cybersecurity;  on-demand;  crowdsourcing

Tagged:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *