Namun, bukan hanya operasi tim merah atau peretas etis eksternal yang berisiko selama pengujian keamanan. Sistem target yang seharusnya dikompromikan selama pengujian mungkin berpotensi mengalami kerusakan sebagai bagian dari serangan cyber. Oleh karena itu, berikut tips mengenai cara melakukan uji keamanan web dengan aman.
Setujui kondisi terperinci dari keterlibatan tim merah
Saat tim merah melakukan pengujian, pastikan untuk menjelaskannya sedetail mungkin. Jika ada area dari program keamanan Anda yang tidak ingin Anda uji saat ini (mungkin karena belum cukup terlindungi), pastikan untuk mengklarifikasinya. Ingatlah bahwa penguji penetrasi yang baik akan memikirkan cara paling aneh untuk menghindari kontrol keamanan aplikasi web Anda. Kecuali dinyatakan dengan jelas sebelum pengujian, mereka dapat mencoba skenario serangan menggunakan malware, phishing, rekayasa sosial, atau bahkan menonaktifkan tindakan keamanan fisik selama simulasi serangan di kehidupan nyata.
Berhati-hatilah dengan sumber daya yang mungkin berpotensi rusak selama uji penetrasi. Misalnya, jika bagian dari latihan tim merah adalah melampaui keamanan siber dan menguji kerentanan keamanan fisik Anda, pastikan untuk memperjelas jika Anda tidak ingin tim menguji apakah mungkin untuk menembus pintu kaca tanpa tersandung pintu kaca. alarm atau apakah mungkin untuk memotong kabel ke sistem alarm.
Juga, jangan berasumsi bahwa masalah seperti itu tidak berlaku jika tes tim merah bersifat internal, bukan outsourcing. Tim internal Anda mungkin juga ingin menguji keamanan Anda dengan cara yang sangat imajinatif. Pastikan mereka mengetahui dengan jelas apa yang Anda harapkan dan apa yang dapat diterima.
Buat daftar secara tertulis
Tidak peduli apakah latihan tim merah Anda dilakukan oleh karyawan Anda sendiri atau oleh perusahaan eksternal, pastikan kedua belah pihak dilindungi secara hukum jika terjadi kesalahan. Perjanjian/kontrak terperinci akan melindungi penguji pena dan Anda.
Misalnya, jika segala bentuk penegakan hukum terlibat selama uji penetrasi, tim Anda mungkin terhindar dari banyak masalah jika mereka dapat segera menunjukkan dokumen yang membuatnya benar-benar jelas bahwa tindakan mereka diminta dan sah. Misalnya, Anda dapat mengeluarkan kartu identitas/entri yang dapat mereka gunakan untuk membuktikan bahwa mereka dapat memperoleh akses secara legal ke tempat yang mereka masuki. Mereka jelas tidak akan menggunakan kartu seperti itu sebagai bagian dari ujian.
Pikirkan kemungkinan hal buruk yang akan terjadi
Pengujian tim pada dasarnya, bersifat invasif. Bahkan jika anggota tim sepenuhnya profesional dan berhati-hati, kecelakaan dapat terjadi, dan informasi sensitif dapat terancam. Oleh karena itu, baik dalam hal keamanan web maupun keamanan fisik, pastikan Anda melindungi aset yang terlibat dalam pengujian penetrasi. Jangan pernah melakukan uji penetrasi kecuali Anda memiliki cadangan lengkap semua sistem, data sensitif, dan konfigurasi yang mungkin terlibat. Tentu saja, Anda harus memiliki cadangan lengkap bahkan tanpa uji penetrasi, tetapi selama aktivitas berisiko tinggi seperti itu, kemungkinan terjadi kesalahan jauh lebih tinggi.
Secara umum, saat melakukan latihan real-time invasif seperti itu, Anda harus mengharapkan situasi yang terburuk – seperti dalam kasus serangan nyata tetapi bahkan lebih buruk karena penyerang adalah bagian dari tim Anda juga. Beberapa hasil lain yang mungkin Anda harapkan adalah ketidaktersediaan sementara sistem kritis atau mekanisme pertahanan, jadi pastikan remediasi dan kemampuan respons insiden Anda adalah yang terbaik.
Terlepas dari potensi risiko, pengujian penetrasi dan tim merah adalah cara yang sangat baik untuk memverifikasi postur keamanan sehingga Anda tidak boleh berkecil hati karena risiko tersebut.
0 Comment