Sebenarnya dalam konsep keamanan internet, ada banyak jenis pengujian keamanan yang bisa digunakan salah satu penetration testing. Tetapi banyak orang cenderung tidak begitu jelas saat menjelaskan apa itu penetration testing. Untuk itu admin akan menjelaskan apa itu penetration testing, bagaimana metode dan tahapannya.
Baca Juga: Pengertian LFI (Local File Inclusion)
Apa Itu Penetration Testing
Penetration testing atau biasa disebut pen test, adalah serangan cyber attack yang disimulasikan terhadap sistem komputer untuk mengungkap vulnerability, ancaman, risiko dalam software application, network atau web application yang dapat dieksploitasi oleh penyerang. Dalam konteks keamanan web application, pen test biasanya digunakan untuk menambah web application firewall (WAF).
Vulnerability atau kerentanan adalah risiko bahwa penyerang dapat mengganggu atau mendapatkan akses resmi ke sistem atau data apa pun yang terkandung di dalamnya. Vulnerability biasanya dimasukkan secara tidak sengaja selama fase pengembangan dan implementasi software. Vulnerability umum termasuk kesalahan desain atau konfigurasi, bug software, dll. Analisis penetrasi tergantung pada dua mekanisme yaitu Vulnerability Assessment and Penetration Testing(VAPT).
Tujuan Penetration Testing?
Sederhananya, penetration testing dilakukan untuk satu tujuan, untuk melindungi organisasi. Dengan penggunaan hasil penetration test yang efisien, organisasi yang berpartisipasi dapat mengidentifikasi dan mengurangi kerentanan mereka.
Penetrasi sangat penting dalam suatu perusahaan karena:
- Sektor keuangan seperti Bank, Perbankan Investasi, Bursa Perdagangan Saham ingin data mereka diamankan, dan penetration testing sangat penting untuk memastikan keamanan
- Jika sistem software sudah diretas dan organisasi ingin menentukan apakah ada ancaman dalam sistem untuk menghindari peretasan di masa mendatang.
- Penetration Testing Proaktif adalah perlindungan terbaik terhadap peretas.
Tahapan Penetration Testing
1. Perencanaan dan pengintaian
Tahap pertama melibatkan:
- Menentukan ruang lingkup dan tujuan pengujian, termasuk sistem yang akan ditangani dan metode pengujian yang akan digunakan.
- Mengumpulkan data (misalnya, nama jaringan dan domain, server mail) untuk lebih memahami bagaimana target bekerja dan kerentanan potensial.
2. Memindai
Langkah selanjutnya adalah memahami bagaimana aplikasi target akan merespons berbagai upaya intrusi. Ini biasanya dilakukan dengan menggunakan:
- Analisis statis – Memeriksa kode aplikasi untuk memperkirakan cara perilakunya saat berjalan. Tool-tool ini dapat memindai keseluruhan kode dalam single pass.
- Analisis dinamis – Memeriksa kode aplikasi dalam keadaan berjalan. Ini adalah cara pemindaian yang lebih praktis, karena memberikan tampilan waktu nyata ke dalam kinerja suatu aplikasi.
3. Mendapatkan Akses
Tahap ini menggunakan serangan web application, seperti cross-site scripting, SQL injection dan backdoor, untuk mengungkap kerentanan target. Penguji kemudian mencoba dan mengeksploitasi kerentanan ini, biasanya dengan privilege escalation, mencuri data, memotong traffic, dll. Untuk memahami kerusakan yang disebabkannya.
4. Mempertahankan akses
Tujuan dari tahap ini adalah untuk melihat apakah kerentanan dapat digunakan untuk mencapai keberadaan yang terus-menerus dalam sistem yang dieksploitasi. Jika itu cukup lama, ini bisa menjadi masalah bagi peretas yang buruk untuk mendapatkan akses yang lebih dalam. Idenya adalah untuk meniru advanced persistent threats, yang selalu tetap berada dalam sistem selama berbulan-bulan untuk mencuri data organisasi paling sensitif.
5. Analisis
Hasil pen tes kemudian dikompilasi menjadi laporan yang merinci:
- Kerentanan khusus yang dieksploitasi
- Data sensitif yang diakses
- Jumlah waktu penetration test dapat tetap dalam sistem tidak terdeteksi
Informasi ini dianalisis oleh personel keamanan untuk membantu mengonfigurasi pengaturan WAF perusahaan dan solusi keamanan aplikasi lainnya untuk menambal kerentanan dan melindungi dari serangan di masa depan.
Metode Penetration Testing
External Testing
Tes External penetration menargetkan aset perusahaan yang terlihat di internet, misalnya, web application itu sendiri, situs web perusahaan, email dan domain name servers (DNS). Tujuannya adalah untuk mendapatkan akses dan mengekstrak data berharga.
Internal Testing
Dalam internal testing, penguji dengan akses ke aplikasi di balik firewall mensimulasikan serangan oleh orang dalam yang jahat. Ini belum tentu mensimulasikan karyawan nakal. Skenario awal yang umum dapat berupa karyawan yang kredensialnya dicuri karena serangan phishing .
Blind Testing
Dalam blind test, penguji hanya diberi nama perusahaan yang menjadi target. Ini memberi personel keamanan pandangan seketika tentang bagaimana serangan aplikasi yang sebenarnya akan terjadi.
Double-blind Testing
Dalamdouble blind test, petugas keamanan tidak memiliki pengetahuan sebelumnya tentang serangan yang disimulasikan. Seperti di dunia nyata, mereka tidak akan punya waktu untuk menopang pertahanan mereka sebelum melakukan pelanggaran.
Targeted testing
Dalam skenario ini, penguji dan personel keamanan bekerja bersama dan saling menilai pergerakan mereka. Ini adalah latihan pelatihan yang berharga yang memberikan tim keamanan feedback waktu nyata dari sudut pandang peretas.
Contoh Tools Penetration Testing
Ada berbagai macam tool yang digunakan dalam penetration testing, tetapi biasanya yang umum digunakan adalah:
- NMap – Tool ini digunakan untuk melakukan pemindaian port, identifikasi OS, melacak router dan untuk pemindaian kerentanan.
- Nessus – Ini adalah tool kerentanan berbasis jaringan tradisional.
- Pass-The-Hash – Tool ini digunakan untuk pemecahan kata sandi.
Peran Dan Tanggung Jawab Penetration Tester
- Penguji harus mengumpulkan informasi yang diperlukan dari Organisasi untuk memungkinkan penetration test.
- Temukan kekurangan yang dapat memungkinkan peretas menyerang mesin target.
- Penguji harus berpikir & bertindak seperti peretas sejati meskipun secara etis.
- Pekerjaan yang dilakukan oleh penetration tester harus dapat direproduksi sehingga akan mudah bagi developer untuk memperbaikinya.
- Tanggal mulai dan tanggal akhir pelaksanaan pengujian harus ditentukan terlebih dahulu.
- Penguji harus bertanggung jawab atas segala kehilangan dalam sistem atau informasi selama pengujian software.
- Seorang penguji harus merahasiakan data dan informasi.
Kesimpulan
Jadi penetration testing adalah proses mengevaluasi keamanan organisasi dengan mengeksploitasi kerentanan dengan cara penyerang dapat mengeksploitasi mereka dan dengan demikian mempertahankan serta mendokumentasikan prosedur serangan.
Penguji harus bertindak seperti peretas sejati dan menguji aplikasi atau sistem dan perlu memeriksa apakah suatu kode ditulis dengan aman. Penetration test akan efektif jika ada kebijakan keamanan yang diterapkan dengan baik. Kebijakan dan metodologi penetration testing harus menjadi tempat untuk membuat penetration testing lebih efektif.
Sekian artikel Apa Itu Penetration Testing: Tahapan Dan Metode. Nantikan artikel menarik lainnya dan jangan lupa share artikel ini ke teman-teman kalian. Terimakasih…