Kapan anda membutuhkan Vulnerability Assessment, Penetration Test & Bug Bounty pada suatu aplikasi?

thumbnail

Jika anda merupakan product owner suatu aplikasi, terpikirkan dalam benak anda untuk melakukan pengecekan aplikasi anda apakah dapat dibobol (hacked) atau tidak. Ada beberapa opsi program security check seperti Vulnerability Assessment, Penetration Test & Bug Bounty.

Pertanyaannya, yang manakah dari ketiga program tersebut yang sesuai dengan kebutuhan anda?

Vulnerability Assessment (VA)

Program ini digunakan ketika aplikasi anda belum mature / belum yakin terhadap keamanan aplikasi anda. Kenapa? karena pada program ini dilakukan Vulnerability Assessment yang intinya melakukan pengidentifikasi celah-celah keamanan yang mungkin dapat digunakan hacker.
Laporan potensi celah keamanan pun dapat menjadi acuan anda untuk melakukan perbaikan keamanan aplikasi anda. Tidak semua laporan celah keamanan 100% benar, ada juga false positif disini yang harus dikonfirmasi kebenarannya oleh pemilih aplikasi.

Berikut merupakan karakteristik dari Vulnerability Assessment :

  • Menggunakan tools automasi pemindai celah keamanan untuk melakukan pengecekan celah keamanan, sehingga berpontesi terdapat temuan celah keamanan yang false positif.
  • Celah keamanan yang ditemukan tidak akan di eksploitasi lebih jauh oleh Security Engineer.
  • Output laporan berupa daftar potensi celah keamanan aplikasi.

Penetration Test (PT)

Program ini digunakan untuk mengindentifikasi dan mengeksploitasi vulnerability yang terdapat pada aplikasi sehingga terkonfirmasi bahwa potensi celah keamanan tersebut dapat di eksploitasi.

Biasanya program PT sudah termasuk VA sehingga digabung menjadi VAPT dalam satu pengerjaan uji keamanan.

Memang program PT terlihat lebih menjanjikan daripada VA karena PT memberikan laporan celah keamanan yang telah teruji. namun perlu diperhatikan bahwa pengerjaan PT biasanya membutuhkan waktu yang lebih lama dari pada VA, dan tentunya membutuhkan skill pekerja yang sudah berpengalaman jika dibandingkan VA, karena pada PT dilakukan juga manual testing (tidak menggunakan tools automasi) sehingga temuan celah kemanan ditentukan juga oleh kualitas pekerja yang melakukannya.

Berikut merupakan karakteristik dari Penetration test :

  • Mengkombinasikan manual security test dan automated security test.
  • Melakukan uji coba eksploitasi terhadap celah kemanan yang ditemukan.
  • Output laporan berupa daftar celah keamanan yang telah terkonfirmasi kebenarannya.

Bug Bounty

Merupakan program jasa dimana aplikasi anda akan dilakukan penentration test oleh resource ahli IT security yang terkumpul pada suatu organisasi / perusahaan. Dengan dilakukannya bug bounty maka akan meminimalisir kekurangan temuan celah keamanan, karena orang yang akan melakukan PT tidak hanya 1 / 2 orang saja. Sistem pembayaran bug bounty pun dibayar per celah keamanan yang telah ditemukan, sehingga sangat tidak direkomendasikan untuk aplikasi yang masih belum melakukan VA / PT sebelumnya karena dikhawatirkan akan mendapatkan banyak celah keamanan sehingga terbebani biaya yang banyak.

Bug Bounty menawarkan resource outsourcing ahli IT security untuk melakukan PT terhadap aplikasi anda secara serentak.

Anda dapat melakukan bug bounty jika anda sudah merasa yakin aplikasi anda telah mengaplikasikan berbagai teknik pengamanan aplikasi dan ingin mendapatkan insight atau celah keamanan yang mungkin terlewatkan pada saat melakukan PT sebelumnya, karena bug bounty lebih bersifat service tambahan.

Berikut merupakan karakteristik dari Bug Bounty :

  • Pembayaran berdasarkan per celah temuan yang telah teruji.
  • PT yang dilakukan oleh banyak tenaga ahli security pada saat yang bersamaan.

Referensi :

Leave a Reply

Your email address will not be published. Required fields are marked *

Back To Top