[owasp-indonesia] Solution to "Penetration testing is obsolete"?

[Ganius Tanuel]

(Sedikit pembuka: saya baru daftar milis KKI (salam perkenalan) dan,
demi kesinambungan diskusi, memilih untuk cross-post juga. Mohon
diperingatkan lebih lanjut jika ini tidak diperbolehkan/disarankan,
trims.)

2011/6/15 Muhammad Rasyid Sahputra <ninja at infosec-id.com>:
[dipotong]
> Sebetulnya poin yang membuat galau adalah: jika saya memiliki suatu
> perusahaan ataupun tanggung jawab terhadap security suatu perusahaan,
> bagaimana solusi yang maksimal untuk benar-benar bisa menjamin bahwa
> data-data perusahaan tetap aman.

Solusi yang *maksimal* (apalagi ditambah "menjamin") adalah pencarian
holy grail. Bahkan untuk yang optimal sekalipun. Yang realistis atau
umum dilakukan adalah manajemen risiko. Kalimat-kalimat yang klise,
saya tahu. Tapi memang ini kenyataannya.


> saya memiliki pengetahuan akan security dan
> tingkat paranoid yang cukup tinggi misalnya (dan saya yakin ini dimiliki
> oleh cukup banyak orang-orang security yang berkutat cukup lama dalam dunia
> hacking), dan saya tau bahwa hal-hal yang *umumnya* (ini yg saya maksud
> kategori katak dalam tempurung, saya mungkin baru melihat sekian persen dari
> industri security pro yang berhubungan dengan pentest di indo) di deliver
> oleh pentest (report yang bertujuan menutup hole)  tidak akan memberikan
> hasil yang efektif terhadap resiko2 seperti client-side exploit [1], apalagi
> yang sifatnya 0day.

Kembali, pentest memiliki kegunaan yang spesifik: alat verifikasi yang
cukup efisien (dan bisa efektif) untuk melakukan assessment terhadap
postur keamanan, baik secara umum maupun terfokus/spesifik*.

*Secara tradisional, pentest biasanya dibatasi/didefinisikan hanya
sebagai assessment langsung terhadap aplikasi dan infrastruktur. Jika
diperluas, pentest bisa mencakup hal-hal lain yang membantu proses
penetrasi sehingga bendera bisa ditangkap. Social engineering dan
physical security terlintas dalam pikiran (tidak selalu harus dalam
bentuk red-cell/teaming (yaitu vs. blue team)). Kadang, exercise untuk
SE dan physical security bisa dilakukan secara independen, misalnya
dalam program/kampanye security awareness. Namun, tergantung rule of
engagement dan scope, bisa juga dimasukkan ke dalam proses pentest ->
tujuan utama adalah menilai postur keamanan keseluruhan dari berbagai
aspek -> diverifikasi/validasi lewat penangkapan bendera dsb. Saya
tidak ingin melebar dari topik, tapi hal-hal ini valid sejauh pentest
didefinisikan dan dilakukan.


> ...namun pada titik ini saya mulai angguk2 untuk setuju bahwa pentest
> *belum* akan obsolete, dg prinsip dilakukan sebagai alat verifikasi untuk
> tahap selanjutnya. Jadi seharusnya harga solusi ataupun implementasi
> post-pentest itu yang seharusnya dihargai lebih mahal donk ya (dari sisi
> materi, maupun alokasi waktu?) :).

Dua-duanya harus mahal dong :)


> Tahap selanjutnya ini yang mungkin akan menarik untuk dibahas, misal: (IMHO)
> menerapkan solusi seperti El Jefe-nya immunity [2], dimana menurut saya akan
> lebih baik / menambah nilai solusi yang diberikan sebagai hasil pentest
> daripada sekedar kata-kata "Patch, Fix Firewall rule, INPUT validation,
> strong password, ...". Tapi mungkin lebih baik dibuka & dibahas pada thread
> berikutnya, dengan harapan utk thread ini mungkin akan ada pendapat laen
> yang ingin ditambahkan mengenai pentest.
> At least that's enough for me...thx.

Saya berposisi: pentest sebagai alat verifikasi. Deteksi/monitoring
dan pencegahan seharusnya masuk di dalam manajemen keamanan/risiko
yang holistic bersama komponen-komponen lain. Pentest dilakukan untuk
melakukan verifikasi terhadap kontrol-kontrol/komponen-komponen
tersebut *yang sudah ada* (ini idealnya). Jika didapati
temuan/finding, rekomendasi untuk remediasi atau mitigasi, sebagaimana
yang umumnya dicantumkan dalam laporan-laporan pentest, harus spesifik
terhadap temuan tersebut. Tapi setuju, proses-proses yang bisa
meningkatkan postur keamanan lebih baik diulas dalam pembahasan
terpisah supaya tetap dalam topik.

Regards,
GT