1. Pendahuluan
ISO/IEC 27002:2022 Annex 8.8 menekankan bahwa organisasi perlu mengelola kerentanan teknis secara proaktif, mulai dari identifikasi, penilaian, hingga mitigasi. Standar ini tidak secara spesifik mensyaratkan metode tertentu, namun dalam praktik implementasinya, organisasi umumnya menggunakan berbagai pendekatan pengujian keamanan seperti Vulnerability Assessment (VA), Penetration Testing (PT), dan Red Team Engagement (RT). Ketiganya sering dianggap sama, padahal memiliki tujuan, kedalaman, dan cakupan yang berbedaa
2. Penjelasan Singkat Masing-Masing Pendekatan
Vulnerability Assessment (VA)
VA bersifat luas namun tidak mendalam. Fokusnya adalah memetakan permukaan serangan melalui scanning otomatis untuk menemukan kerentanan yang diketahui (CVE), memvalidasi patch, dan mengidentifikasi miskonfigurasi. VA tidak melakukan eksploitasi — hanya menemukan dan melaporkan. Dari perspektif auditor: identifikasi kekurangan melalui scanning.
Penetration Testing (PT)
PT melangkah lebih jauh dengan mensimulasikan serangan nyata secara terkontrol. Penguji aktif mencoba mengeksploitasi kerentanan yang ditemukan untuk membuktikan bahwa jalur serangan tersebut benar-benar dapat dimanfaatkan. PT memberikan bukti risiko konkret kepada manajemen. Dari perspektif auditor: validasi jalur serangan dan pengukuran dampak eksploitasi.
Red Team Engagement (RT)
Red Team menggunakan taktik, teknik, dan prosedur (TTP) layaknya ancaman nyata — termasuk social engineering, intrusi fisik, dan teknik penghindaran deteksi. Tujuannya bukan sekadar menemukan celah teknis, melainkan mengukur seberapa efektif orang, proses, dan teknologi keamanan organisasi dalam mendeteksi, merespons, dan memulihkan diri dari serangan. Dari perspektif auditor: ukur kemampuan operasi keamanan secara keseluruhan.
3. Tabel Perbandingan
|
Dimensi |
Vulnerability Assessment |
Penetration Testing |
Red Team |
|
Tujuan |
Identifikasi celah kerentanan |
Validasi jalur serangan nyata |
Ukur efektivitas SecOps secara menyeluruh |
|
Kedalaman |
Permukaan (scanning) |
Sedang (eksploitasi manual) |
Dalam (TTP penuh, multi-vektor) |
|
Cakupan IPDRR |
Identify + Protect |
Identify + Protect + Detect |
Semua fase (s/d Recover) |
|
Auditor berpikir |
Temukan kekurangan via scan |
Buktikan jalur serangan bisa dieksploitasi |
Seberapa siap tim merespons ancaman nyata? |
|
Output |
Daftar kerentanan + rekomendasi patch |
Laporan eksploitasi + bukti risiko |
Laporan efektivitas deteksi & respons |
|
Frekuensi |
Rutin (bulanan / kuartalan) |
Tahunan / saat ada perubahan sistem |
Tahunan / kebutuhan strategis |
