Standar Penetration Testing: OSSTMM, CREST, ISO/IEC 27001 & 27002, MITRE ATT&CK

Renewable Hacking International Studi 0

Di artikel sebelumnya Kami sudah membahas mengenai Standar Penetration Testing: OWASP, PTES, NIST SP 800-115. Pada artikel ini Kami akan membahas lanjutan mengenai standar penetration testing lanjutannya. Kenapa tidak dibahas secara bersamaan? Karena diartikel tersebut sudah memuat tentang penjabaran pentest secara luas.

Dalam artikel kali ini, pembahasannya akan dijelaskan secara to the point dan tidak melebar kemana-mana agar para pembaca lebih mudah memahaminya secara garis besar.

Pengantar

Penetration testing adalah proses menguji keamanan sistem dengan mensimulasikan serangan secara nyata, sebagaimana para peretas melakukan aksinya. Tanpa memiliki standar yang jelas, hasil pentest tidak bisa konsisten, kurang objektif, dan tidak bisa diandalkan. Terdapat beberapa alasan yang membuat pentest harus memiliki standar, diantaranya:
  1. Konsisten dalam metodologi
    2. Standar memastikan bahwa semua pengujian dilakukan berdasarkan pendekatan yang seragam dan sistematis. Tanpa standar yang jelas, setiap pentester bisa menggunakan metode yang berbeda-beda, sehingga hasil pengujian bisa bervariasi dan sulit dilakukan perbandingan antara hasil pengujian yang satu dengan pengujian lainnya.

  2. Memastikan cakupan pengujian yang luas
    3. Dengan adanya standar dapat memastikan tidak ada aspek keamanan yang dilewati. Misalnya, OWASP lebih fokus pada aplikasi web, sedangkan OSTMM mencakup keamanan fisik, manusia, dan jaringan. Dengan adanya standarisasi, semua aspek keamanan bisa diuji dengan pendekatan yang komprehensif.

  3. Menghasilkan laporan yang dapat dipahami dan digunakan
    4. Standar membantu dalam penyusunan laporan hasil pentest yang jelas, terstruktur, dan mudah dipahami oleh tim keamanan, developer, dan manajemen. Misalnya, PTES yang memberikan panduan penyusunan laporan pentest agar hanya berisi temuan yang relevan dan rekomendasi perbaikan yang actionable.

  4. Menghindari false positives dan false negatives
    5. Standar membantu memastikan bahwa setiap celah keamanan yang dilaporkan benar-benar valid (tidak ada false positives). Selain itu, standar dapat membantu memastikan tidak ada celah keamanan/kerentanan yang terlewat (false negatives minimal).

  5. Kepatuhan terhadap regulasi dan industri
    6. Banyak industri memiliki regulasi keamanan yang mengharuskan penggunaan standar penetration testing tertentu. Contohnya:
    • PCI DSS (untuk keamanan data kartu kredit) mewajibkan penetration testing berdasarkan standar tertentu.
    • ISO 27001 (standar keamanan informasi) mensyaratkan pengujian keamanan berkala yang mengikuti metodologi tertentu.
    • GDPR di Uni Eropa juga mewajibkan organisasi untuk melakukan pengujian keamanan secara rutin.


Standar-Standar Pentest

Penetration testing memiliki beberapa sandar dalam masing-masing bidangnya. Adapun standar tersebut sebagai berikut:
  1. OSSTMM (Open Source Security Testing Methodology Manual)
    2. OSSTMM merupakan standar metodologi penetration testing berbasis open source yang mencakup uji coba kemanan teknis, fisik, hingga manusia (sosial). Metodologi atau standar ini dirilis oleh ISECOM (Institute for Security and Open Methodologies). Cakupan yang diuji dalam OSSTMM diantaranya:
    • Information Security, yaitu berupa pengujian jaringan, aplikasi, dan sistem.
    • Physical Security, yaitu berupa pengujian akses fisik dan kontrol keamanan.
    • Human Security, yaitu berupa pengujian social engineering dan kesadaran keamanan penguna.
    OSSTMM memiliki beberapa tahapan yang menjadi acuan dalam penggunaannya. Tahapan yang dilakukan dalam standar ini adalah:
    • Preparation & Scoping (Perencanaan)
    • Reconnaissance & Intelligence Gathering (Pengumpulan Informasi)
    • Security Testing & Verification (Pengujian Keamanan)
    • Security Metrics & Risk Evaluation (Analisis dan Metrik Keamanan)
    • Reporting & Remediation (Pelaporan dan Rekomendasi)

  2. CREST (Council of Registered Ethical Security Testers)
    3. CREST adalah organisasi yang menyediakan standar internasional untuk pentest, cyber security incident response, dan threat intelligence. Framework ini banyak digunakan oleh perusahaan dan pemerintah sebagai acuan dalam melakukan pengujian keamanan yang terstruktur, profesional, dan sesuai dengan regulasi yang berlaku.
    Metodologi CREST mengikuti siklus penetration testing yang sistematis dengan lima tahapan utama, yaitu:
    • Planning & Preparation (Perencanaan dan Persiapan)
    • Information Gathering & Reconnaissance (Pengumpulan Informasi)
    • Vulnerability Analysis & Exploitation (Eksploitasi dan Pengujian Keamanan)
    • Post-Exploitation & Cleanup (Pasca-Eksploitasi dan Pemulihan)
    • Reporting & Remediation (Pelaporan dan Rekomendasi)

  3. ISO/IEC 27001 & 27002
    4. ISO/IEC 27001 & 27002 merupakan standar internasional untuk manajemen keamanan informasi (ISMS) yang mencakup aspek teknis dan kebijakan kemanan. Dalam standar manajemen keamanan informasi ini memiliki 2 definisi penting berdasarkan penomorannya, yaitu:
    • ISO 27001 sebagai penyedia kerangka kerja manajemen keamanan informasi
    • ISO 27002 sebagai panduan implementasi kontrol keamanan
    Adapun tahapan-tahapan pada standar penetration testing ISO 27001 adalah:
    • Menentukan ruang lingkup ISMS, dengan mengidentifikasi aset informasi, menentukan batasan sistem yang dikelola, dan menganalisis risiko utama.
    • Analisis Risiko dan Manajemen Risiko, dengan mengidentifikasi ancaman dan kerentanan, menilai risiko berdasarkan dampak dan kemungkinan terjadinya ancaman, serta menentukan strategi mitigasi (mengurangi, menghindari, atau menerima risiko).
    • Implementasi Kontrol Keamanan (Sesuai Annex A ISO 27001), dengan menerapkan kontrol keamanan berdasarkan Annex A ISO 27001 yang mencakup manajemen akses, keamanan jaringan, perlindungan data, kebijakan keamanan, dan respons insiden. Penggunaan standar tambahan sangat diperlukan, seperti penggunaan ISO 27002 untuk panduan lebih rinci.
    • Pelatihan dan Kesadaran Keamanan, dengan melatih karyawan tentang pentingnya keamanan informasi, menyediakan pedoman bagaimana menangani informasi sensitif, dan mengadakan simulasi serangan siber (misalnya, phising test).
    • Audit Internal dan Evaluasi ISMS, dengan memastikan bahwa ISMS berjalan sesuai standar ISO 27001, meninjau efektivitas kontrol keamanan, serta mengidentifikasi kelemahan dan melakukan perbaikan sebelum audit eksternal.
    • Audit Eksternal dan Sertifikasi ISO 27001, dengan melakukan audit sertifikasi oleh badan independen, jika memenuhi standar, organisasi akan mendapatkan sertifikasi ISO 27001, dan Sertifikasi ini harus diperbarui setiap 3 tahun dengan audit berkala.
    Adapun tahapan-tahapan pada standar penetration testing ISO 27002 adalah:
    • Organizational Controls (Kontrol Organisasi), dengan menerapkan kebijakan keamanan informasi, manajemen risiko, serta keamanan dalam pengelolaan proyek dan pengembangan sistem.
    • Technological Controls (Kontrol Teknologi), berupa keamanan jaringan, sistem, dan enkripsi data, manajemen akses pengguna dan otorisasi, serta kontol keamanan dalam pengembangan aplikasi dan perangkat lunak.
    • Physical Controls (Kontrol Fisik), berupa kontrol terhadap keamanan akses ke gedung dan pusat data, pengelolaan perangkat keras dan penyimpanan media informasi, serta kontrol proteksi terhadap bencana alam dan gangguan fisik lainnya.
    • People Controls (Kontrol Manusia), berupa pelatihan dan kesadaran keamanan informasi, manajemen keamanan bagi karyawan dan kontraktor, serta mengontrol kebijakan penggunaan perangkat pribadi dan remote working.

  4. MITRE ATT&CK
    5. MITRE ATT&CK adalah framework berbasis TTP (Tactics, Techniques, and Procedures) yang digunakan untuk memahami bagaimana penyerang melakukan serangan siber terhadap sistem. Framework ini digunakan untuk threat hunting, red teaming, dan penetration testing berbasis skenario serangan nyata. Contoh penggunaan MITRE ATT&CK dalam cyber security:
    • Threat Intelligence (Analisis Ancaman), dengan meneliti taktik dan teknik yang digunakan oleh peretas dan menentukan indicators of compromise (IOC) dari serangan terbaru.
    • Security Operations Center (SOC), yaitu mengembangkan aturan deteksi untuk SIEM dan EDR berdasarkan teknik MITRE&CK, serta mengidentifikasi teknik yang digunakan pada malware, ransomeware, dan serangan phising.
    • Red Team and Penetration Testing, dengan menggunakan teknik pada MITRE ATT&CK untuk meniru serangan nyata, dan menguji seberapa efektif sistem pertahanan organisasi dalam mendeteksi serangan.
    • Incident Response & Forensics, dengan menelusuri teknik yang digunakan dalam insiden keamanan sebelumnya, serta menentukan strategi perbaikan berdasarkan teknik serangan yang terdeteksi.

Itu lah tadi penjelasan singkat mengenai standar penetration testing OSSTMM, ISO/IEC 27001 & 27002, dan MITRE ATT&CK. 

Jika ada pertanyaan lebih lanjut silahkan bergabung dengan komunitas kami di WhatsApp: https://chat.whatsapp.com/EzAfFVsOnsr3H6t0gwLTJK dan Telegram: https://t.me/renewablehacking

Instagram Kami: 
Tags

Post a Comment

Posting Komentar

Lebih baru Lebih lama