Infrastructure Security
Keamanan lapisan infrastruktur untuk jaringan, server, endpoint, dan perangkat, melingkup Network Vulnerability Assessment dan Security Configuration Review yang di-benchmark terhadap CIS, baseline vendor, dan kebijakan keamanan Anda.
Sebagian besar perusahaan masih beroperasi di atas infrastruktur yang dibangun bertahun-tahun, perpaduan lingkungan on-prem, cloud-hosted, tervirtualisasi, dan edge yang dirangkai oleh kontrol jaringan serta konfigurasi keamanan yang jarang ditinjau secara menyeluruh. Infrastructure security berfokus di sana: mengidentifikasi kelemahan yang dapat dieksploitasi dan pergeseran postur sebelum penyerang melakukannya.
Layanan infrastructure security kami melingkup dua jenis pekerjaan yang saling melengkapi. Network vulnerability assessment memberikan cakupan luas berbasis otomatisasi dengan triage oleh konsultan, berguna untuk monitoring postur berkelanjutan dan bukti audit. Security configuration review lebih mendalam, membandingkan konfigurasi aktual perangkat, server, dan platform terhadap baseline hardening yang sudah ditetapkan.
Kedua jenis pengujian memetakan temuan ke CIS Benchmarks, panduan vendor (Microsoft, Cisco, Red Hat, VMware), dan set kontrol teknis dalam ISO 27001:2022, PCI DSS, dan kerangka kerja regulator regional.
Risiko yang dihadapi organisasi Anda.
Penurunan postur tidak terlihat tanpa pengujian
Konfigurasi berubah dengan setiap patch, rotasi role, dan perbaikan darurat. Tanpa pengujian berkala, hardening yang dicapai 12 bulan lalu mungkin tidak lagi mencerminkan realitas production.
Vulnerability scanning saja tidak melihat konteks
Scanner menandai sebuah CVE. Apakah CVE tersebut dapat dieksploitasi di environment Anda bergantung pada konfigurasi, posisi jaringan, dan apa lagi yang dapat dijangkau penyerang dari sana. Triage konsultan menutup celah tersebut.
Auditor semakin meminta bukti yang sejalan dengan benchmark
Bukti konfigurasi yang sejalan dengan CIS kini menjadi standar de-facto yang diharapkan auditor dan pelanggan, terutama di sektor yang tunduk pada regulasi.
Yang kami uji.
Network Vulnerability Assessment
Scanning cakupan luas terhadap aset yang dapat dijangkau jaringan, dengan triage konsultan untuk memisahkan sinyal dari noise.
- Perangkat jaringan, server, endpoint
- Cakupan eksternal dan internal
- Kesalahan konfigurasi dan patch yang hilang
- Identifikasi kerentanan yang diprioritaskan berdasarkan risiko
- Pelaporan yang sejalan dengan kepatuhan
CIS Benchmarks
Analisis konfigurasi mendalam yang membandingkan postur live terhadap baseline hardening CIS yang sudah ditetapkan.
- Sistem operasi (Windows, Linux, macOS)
- Perangkat jaringan (firewall, switch, router)
- Hypervisor dan platform virtualisasi
- Database (SQL Server, Oracle, PostgreSQL, MySQL)
- Konfigurasi endpoint dan EDR
Kelemahan yang secara konsisten muncul pada engagement seperti ini.
Dirangkum dari kategori temuan yang umum dihasilkan konsultan kami pada engagement sejenis. Tingkat keparahan dan frekuensi bervariasi sesuai lingkungan dan kematangan organisasi.
Patch yang belum diterapkan pada layanan yang terekspos
Layanan menghadap internet menjalankan versi dengan RCE yang sudah diketahui, layanan internal yang berbulan-bulan terlambat update kritis, sistem legacy tanpa jalur remediasi.
Protokol lemah yang masih aktif
SSLv3 / TLS 1.0 pada layanan eksternal, SMBv1 di segmen internal, cipher suite usang yang masih diterima di antarmuka manajemen.
Penyimpangan konfigurasi dari baseline
Hardening yang dibatalkan setelah troubleshooting, credential default yang tidak pernah dirotasi, audit setting dimatikan "sementara", akun local admin yang terus bertambah tak terkendali.
Celah segmentasi jaringan
Jaringan datar tanpa segmentasi antara subnet pengguna dan subnet server, aturan firewall yang terlalu lebar, kontrol egress yang hilang.
Titik buta logging dan monitoring
Infrastruktur kritis tidak meneruskan ke SIEM, retensi log lebih pendek dari kebutuhan incident response, alert yang berbunyi tanpa ada yang merespons.
Eksposur yang terlupakan
Layanan yang sudah dinonaktifkan namun masih berjalan, environment test yang dapat dijangkau dari production, endpoint VPN legacy dengan autentikasi yang lemah.
Tinjauan yang terstruktur dan menyeluruh terhadap setiap aset infrastruktur.
Setiap pengujian berjalan secara metodis melalui jaringan, server, endpoint, dan perangkat, membandingkan konfigurasi aktual terhadap CIS, baseline vendor, dan kontrol teknis yang diharapkan regulator dan auditor Anda.
Penetapan Ruang Lingkup
Tetapkan aset, lingkungan, Rules of Engagement, dan kriteria penerimaan bersama para pemangku kepentingan teknis dan keamanan.
Pelaksanaan
Pengujian manual dan berbantuan tools oleh konsultan tersertifikasi CREST, dengan bukti yang ditangkap pada setiap langkah.
Validasi
Setiap temuan direproduksi, dinilai risikonya menggunakan CVSS, dan dikonfirmasi oleh konsultan kedua sebelum dilaporkan.
Pelaporan
Laporan yang ditandatangani secara kriptografis, dengan ketertelusuran ke setiap Test Case, peringkat tingkat keparahan, langkah reproduksi, dan rekomendasi remediasi.
Debrief & Retest
Pemaparan temuan kepada pemangku kepentingan, dukungan prioritisasi, dan siklus retest atas temuan yang telah diremediasi.
Dipetakan ke baseline yang diakui industri.
Laporan yang dibuat untuk kebutuhan audit, engineering, dan eksekutif.
Setiap engagement menghasilkan artefak yang dapat diverifikasi, ditelusuri, dan siap dihadapkan ke regulator, diproduksi oleh Velocity dan ditandatangani secara kriptografis.
PDF · JSON · XML · CSV · Pelaporan Multi-Bahasa Didukung · CVSS 3.0 / 3.1 / 4.0
- Laporan final yang ditandatangani secara kriptografis
- Temuan kerentanan dengan triage exploitability
- Penyimpangan konfigurasi terhadap benchmark
- Remediasi yang diprioritaskan berdasarkan penilaian CVSS
- Executive summary dan risk heatmap
- Retest cycle pada temuan yang sudah diremediasi
Pertanyaan umum dari calon klien.
Apa bedanya dengan menjalankan vulnerability scanner kami sendiri? +
Scanning hanya satu input. Nilai sebuah pengujian terletak pada triage konsultan: memvalidasi temuan, menyaring false positive, menganalisis konteks eksploitabilitas terhadap environment Anda, dan menerjemahkan output ke remediasi terprioritisasi yang dapat dibaca dewan direksi.
Apakah ini akan memengaruhi sistem production? +
Vulnerability scanning dirancang untuk non-disruptive pada intensitas normal. Kami menyetujui jendela scanning dan daftar pengecualian dengan Anda sebelum pengujian, dan menghindari aset yang diketahui rapuh kecuali secara eksplisit berada dalam ruang lingkup.
Seberapa sering infrastruktur harus diuji? +
Sebagian besar organisasi yang teregulasi menjalankan scan eksternal setiap kuartal, scan internal dan tinjauan konfigurasi setiap tahun, serta tinjauan ad-hoc setelah perubahan signifikan. Pengujian dapat dikonfigurasi sebagai sekali jalan atau sebagai program berkelanjutan.
Apakah Anda bisa menguji infrastruktur on-prem maupun cloud-hosted? +
Ya. Environment hybrid adalah norma. Pengujian identitas dan konfigurasi spesifik cloud ditangani di bawah lini layanan Cloud Security kami, dan keduanya biasanya digabung dalam satu pengujian.
Uji Pertahanan Anda dengan Pendekatan Adversarial Ofensif
Konsultasikan kebutuhan Pengujian Penetrasi berikutnya dengan konsultan tersertifikasi CREST kami.