Penetration Testing (Pentest) adalah metode untuk mengevaluasi sistem keamanan perangkat atau komputer dengan melakukan simulasi serangan siber secara nyata. Pentest dilakukan oleh seorang ahli dibidangnya [linknet.id].
Pentest sendiri biasanya dilakukan oleh organisasi-organisasi besar sebagai bentuk kepekaan terhadap kejahatan siber yang suatu waktu dapat menjangkit sistem yang dimiliki. Perusahaan teknologi menjadi salah satu yang paling sering menyediakan lowongan pekerjaan untuk para pentester dan berinvestasi besar-besaran demi menjaga kelangsungan environment yang mereka miliki.
Sederhananya, penetester dapat digambarkan sebagai seorang hacker jahat yang mencari kerentanan pada suatu sistem, kemudian melakukan eksploitasi lebih lanjut untuk mendapatkan akses hingga data tertentu yang bisa dimanfaatkan untuk mendapatkan kesenangan hingga keuntungan pribadi. Akan tetapi, pentester akan mensimulasikan ini untuk melaporkannya kembali kepada organisasi yang sistemnya diuji dengan legalitas dan izin yang telah disepakati oleh kedua belah pihak, antara pentester dan pihak perusahaan.
Tujuan dilakukannya penetration testing adalah sebagai bentuk antisipasi terhadap risiko eksploitasi data penting oleh orang yang tidak bertanggung jawab. Selain itu, uji penetrasi juga menjadi salah satu syarat sebuah organisasi atau perusahaan memenuhi regulasi keamanan yang sudah diatur oleh lembaga pemerintah. *kalau Indonesia saya kurang tau :).
Terdapat 3 Jenis Penetration Testing, diantaranya adalah:
- Black Box Testing
- White Box Testing
- Gray Box Testing
Penyerang tidak mengetahui informasi tentang sistem yang diuji dengan meniru skenario di dunia nyata. Karena biasanya hacker jahat tidak diberikan akses khusus kedalam sistem karena tidak ada izin atau legalitas dari pihak organisasi/perusahaan.
Penyerang memiliki akses penuh ke source code (sumber kode) dan arsitektur sistem. White Box Testing dilakukan atas permintaan organisasi yang sistemnya diuji agak dilakukan pengujian mendalam terhadap kode sumber.
Gray Box Testing adalah kondisi pentest ketika penyerang hanya memiliki akses terbatas, misalnya hanya akun user biasa. Ini merupakan simulasi serangan dari orang dalam atau pengguna yang mencoba untuk meningkatkan hak akses ke dalam sistem yang lebih vital.
Penetration Testing memiliki standar-standar tertentu yang menjadi kiblat pentester dalam menjalankan pekerjaan untuk menguji kerentanan pada sistem. Berikut ini adalah standar-standarnya:
- OWASP (Open Web Application Security Project)
- Planning & Preparation (Perencanaan dan Persiapan)
- Information Gathering (Pengumpulan Informasi)
- Threat Modeling (Analisis dan Pemodelan Ancaman)
- Security Testing (Pengujian Keamanan)
- Exploitation & Verification (Eksploitasi dan Verifikasi)
- Reporting & Remediation (Pelaporan dan Rekomendasi)
- Remediation & Re-Testing (Remediasi dan Pengujian Ulang)
- PTES (Penetration Testing Execution Standard)
- Pre-engagements Interactions (Menentukan ruang lingkup, perizinan, dan tujuan dari pentest)
- Intelligence Gathering (Mengumpulkan informasi tentang target (OSINT Scanning))
- Threat Modeling (Menentukan aset yang berhaga dan vektor serangan potensial)
- Vulnerability Analysis (Mengidentifikasi Kelemahan)
- Exploitation (Mengeksploitasi kerentanan untuk menguji serangan)
- Post Exploitation (Menilai dampak serangan dan pivoting ke sistem lain)
- Reporting (dokumentasi hasil pengujian, temuan, dan rekomendasi mitigasi)
- NIST SP 800-115 (Technical Guide to Information Security Testing & Assessment)
- Planning (Menentukan ruang lingkup dan perencanaan pengujian)
- Discovery (Mengumpulkan informasi target dan memindai kerentanan)
- Attack & Exploitation (Melakukan exploitasi terhadap kerentanan yang ditemukan)
- Post Testing (Dokumen hasil dan analisis dampak serangan)
OWASP adalah standar yang paling terkenal dalam dunia penetration testing terutama dalam pentest web dan aplikasi. OWASP merupakan sebuah standar keamanan aplikasi web dan API yang mencakup best practices, framework, serta panduan dalam pengujian keamanan aplikasi. Ada banyak dokumen project OWASP yang menjadi standar dalam pengujian keamanan. Salah satu yang paling terkenal adalah OWASP Testing Guide. Berikut ini adalah tahapan pengujian terhadap aplikasi web berdasarkan dokumen OWASP Testing Guide (OTG):
PTES (Penetration Testing Execution Standard) adalah metodologi penetration testing yang mencakup semua tahapan mulai dari perencanaan hingga pelaporan. PTES memberikan panduan lengkap mengenai bagaimana melakukan tes/pengujian keamanan yang sistematis terhadap sistem. Berikut ini adalah tahapan dalam penggunaan standar PTES:
Merupakan panduan penetration testing dan security assessment yang dikeluarkan oleh National Institute of Standards and Technology (NIST). NIST SP 800-115 menyediakan metodologi pengujian kemanan untuk organisasi yang ingin memenuhi regulasi seperti FISMA, HIPAA, dan lainnya. Adapun tahapan-tahapan penetration testing menggunakan standar NIST SP 800-115 adalah sebagai berikut:
Itu lah penjelasan singkat mengenai standar penetration testing berdasarkan penulisan dari Renewable Hacking. Jika ada pertanyaan lebih lanjut silahkan bergabung dengan komunitas kami di WhatsApp: https://chat.whatsapp.com/EzAfFVsOnsr3H6t0gwLTJK
Posting Komentar