6 Metode pengujian penetrasi
Pengujian penetrasi adalah serangan peretasan teknologi informasi yang disimulasikan terhadap perangkat lunak dan keamanan perusahaan. Bisnis memilih untuk menjalankan tes ini untuk mengidentifikasi titik lemah dalam sistem mereka sehingga mereka dapat memperkuatnya dan menghindari malware dan infiltrasi digital. Jika Anda tertarik dengan pengujian penetrasi, penting untuk mengetahui cara kerjanya dan berbagai metode yang dapat Anda gunakan.
Pada artikel ini, kami membahas apa itu pengujian penetrasi, enam metode penetrasi yang dapat Anda terapkan, dan berbagai fase pengujian penetrasi.
Apa itu pengujian penetrasi?
Pengujian penetrasi adalah metode untuk menilai tingkat keamanan perangkat lunak dan teknologi perusahaan. Perusahaan mempekerjakan ahli perangkat lunak dan teknologi yang mencoba menyerang sistem mereka untuk mengidentifikasi area lemah di mana pengguna yang tidak sah sebenarnya dapat memperoleh akses.
Pengujian penetrasi bertujuan untuk mengetahui apakah seorang peretas dapat memperoleh akses ke informasi sensitif, apakah mereka dapat menggunakan teknologi untuk tindakan jahat, apakah mereka dapat memperkenalkan dan menyebarkan malware, dan apakah mereka dapat mengakses profil administratif. Tes ini digunakan untuk mengembangkan perangkat lunak, mematuhi persyaratan keamanan, dan mencegah infeksi malware dan serangan dunia maya. Sebagian besar perusahaan, terutama yang mengelola data klien, melakukan pengujian keamanan secara teratur.
Untuk memastikan keselamatan dan keamanan personel, klien, informasi, dan perangkat lunak mereka, sebagian besar perusahaan harus melakukan pengujian penetrasi setidaknya sekali dalam seperempat. Pastikan semua aspek sistem aman dengan melakukan pengujian penetrasi pada berbagai komponen teknologi informasi, seperti jaringan, aplikasi web, akses klien, layanan nirkabel, dan rekayasa sosial.
Mengapa pengujian penetrasi penting?
Banyak perusahaan menyewa perusahaan keamanan teknologi dan perangkat lunak untuk menjalankan pengujian penetrasi. Dengan melakukan ini, mereka mensimulasikan upaya pelanggaran tanpa risiko sehingga mereka dapat memahami kelemahan dan kerentanan mereka. Area lemah ini mungkin merupakan komplikasi dalam pengkodean, kesalahan komunikasi, atau masalah konfigurasi. Perusahaan menggunakan informasi ini untuk memperkuat keamanan mereka dan menghindari serangan berbahaya dan perubahan yang tidak diinginkan. Untuk organisasi yang mengelola data klien sensitif, seperti bank dan penyedia layanan kesehatan, melindungi data tersebut sangat penting untuk menjaga kepercayaan klien dan mematuhi kebijakan privasi.
Perusahaan juga dapat menggunakan pengujian penetrasi sebagai kesempatan untuk menilai dan melatih staf teknologi informasi mereka. Dengan mengamati bagaimana penguji penetrasi melanggar sistem keamanan siber, staf kemungkinan besar akan membentuk pertahanan yang lebih baik terhadap penyerang.
Ada juga beberapa metode pengujian penetrasi di mana staf teknologi informasi tidak menyadari bahwa pengujian penetrasi sedang terjadi. Mengevaluasi bagaimana staf teknologi informasi merespons dalam situasi keamanan darurat adalah penting untuk memahami bagaimana meningkatkan keterampilan defensif dan prosedur pelanggaran keamanan mereka. Setelah pengujian, laporan sering kali menyertakan elemen-elemen berikut:
- Ringkasan eksekutif: Ini adalah ikhtisar hasil pengujian yang menggeneralisasi masalah keamanan secara ringkas.
- Bagian alat dan metode: Bagian ini menjelaskan alat dan metode yang digunakan peretas untuk melakukan uji penetrasi. Bagian ini jauh lebih teknis daripada ringkasan eksekutif, sehingga profesional teknologi informasi dapat mengambil manfaat paling banyak dari informasi ini.
- Temuan: Bagian ini menguraikan pelanggaran keamanan yang ditemukan dalam pengujian, menjelaskan berbagai ancaman atau masalah keamanan. Ini dapat membantu perusahaan meningkatkan aspek-aspek tertentu dari pendekatan keamanan sibernya.
- Kesimpulan dan saran: Bagian akhir dari laporan berisi kesimpulan penguji dan rekomendasi apa pun yang mereka miliki untuk perbaikan. Perusahaan dapat menggunakan ini sebagai panduan ketika mereka melakukan perubahan setelah pengujian.
6 Metode pengujian penetrasi
Dimungkinkan untuk melakukan pengujian penetrasi Anda sendiri. Namun, mungkin menghemat waktu dan uang Anda untuk berinvestasi dalam perangkat lunak pengujian penetrasi atau menyewa perusahaan yang berspesialisasi dalam pengujian penetrasi. Banyak perusahaan tidak memiliki personel dengan keterampilan yang dibutuhkan untuk melakukan pengujian penetrasi secara efektif. Jika Anda mencoba mengevaluasi kinerja tim keamanan teknologi informasi Anda, meminta personel Anda sendiri untuk melakukan pengujian penetrasi mungkin merupakan konflik kepentingan. Namun, ada banyak metode untuk pengujian penetrasi, termasuk:
Kotak hitam
Pengujian kotak hitam paling mirip dengan skenario peretasan dunia nyata. Saat perusahaan menggunakan metode ini, mereka tidak memberikan informasi apa pun kepada penguji tentang infrastruktur TI, kode sumber, atau arsitektur aplikasi web mereka. Metode ini mungkin membutuhkan waktu yang lama untuk diselesaikan.
Kotak putih
Pengujian kotak putih adalah kebalikan dari pengujian kotak hitam karena perusahaan memberikan informasi kepada penguji tentang sistem dan kode sumber. Pengujian kotak putih menggunakan alat canggih seperti penganalisis kode perangkat lunak dan program debugging. Karena itu, mungkin tidak perlu waktu lama untuk menyelesaikan pengujian kotak hitam.
Kotak abu-abu
Pengujian kotak abu-abu adalah hibrida dari pengujian kotak putih dan kotak hitam di mana penguji memfokuskan upaya mereka untuk menemukan kelemahan seperti kesalahan perangkat lunak. Dalam metode pengujian kotak abu-abu, penguji memiliki pengetahuan parsial tentang sistem. Penguji mungkin mengetahui arsitektur sistem, tetapi tidak mengetahui kode perangkat lunak internal.
Eksternal
Pengujian penetrasi eksternal berfokus pada aspek keamanan yang dihadapi publik. Ini mungkin termasuk protokol internet publik, layanan online, dan aplikasi perusahaan. Saat melakukan pengujian penetrasi yang terfokus secara eksternal, penguji mengidentifikasi kelemahan dalam sistem eksternal, seperti arsitektur operasi dan konfigurasi layanan.
Dalaman
Dalam pengujian semacam ini, penguji berfokus pada komponen internal teknologi dan perangkat lunak perusahaan untuk mengidentifikasi kelemahan. Ini mungkin termasuk mengevaluasi setiap komponen kerangka kerja perusahaan dan hubungan di antara mereka. Beberapa komponen kerangka kerja internal perusahaan termasuk server, router, proxy, dan workstation.
Buta
Pengujian buta seperti pengujian kotak hitam, tetapi dalam metode ini, hanya tim keamanan yang tahu tentang serangan yang disimulasikan. Dalam skenario pengujian penetrasi double-blind, sangat sedikit orang di perusahaan yang tahu tentang pengujian tersebut, yang berarti tim pertahanan teknologi bereaksi seolah-olah itu adalah serangan dunia maya yang nyata. Pengujian double-blind memungkinkan perusahaan untuk mengevaluasi kemampuan identifikasi, waktu respons, dan kemampuan pertahanan mereka terhadap serangan teknologi semacam ini.
Tahapan pengujian penetrasi
Tergantung pada bentuk pengujian penetrasi yang Anda pilih, mungkin ada tahapan proses yang berbeda. Beberapa membutuhkan lebih banyak waktu, dan beberapa secara dekat mensimulasikan serangan dunia nyata pada perangkat lunak perusahaan. Bergantung pada metode pengujian penetrasi yang Anda pilih, mungkin diperlukan waktu antara satu hingga tiga minggu untuk menyelesaikan prosesnya. Terlepas dari metode penetrasi mana yang Anda nilai, berikut adalah beberapa tahapan umum:
Persiapan penetrasi
Langkah pertama untuk pengujian penetrasi adalah menentukan tujuan pengujian. Setelah perusahaan menentukan apa yang ingin dipelajari melalui proses tersebut, perusahaan dapat memutuskan metode pengujian penetrasi mana yang akan digunakan. Perusahaan juga harus memutuskan berapa banyak waktu yang akan mereka dedikasikan untuk proses tersebut, serta berapa banyak anggota tim perusahaan yang harus mengetahui tes yang akan datang. Semua informasi ini digunakan untuk mengembangkan rencana pengujian yang komprehensif tentang kapan dan bagaimana pengujian penetrasi harus dilakukan. Berikut adalah beberapa elemen yang harus disertakan dalam rencana pengujian:
- Dokumentasi terkait
- Akses siber untuk personel terkait
- Informasi kontak untuk manajer proyek utama
- Informasi orientasi
- Jadwal dan timeline
Pengintaian informasi
Langkah kedua dimulai dengan menilai informasi teknologi dasar. Dalam situasi pengujian kotak hitam, penguji mungkin hanya memiliki informasi ini, tetapi dalam metode lain, mereka mungkin memiliki lebih banyak. Informasi teknologi awal dapat mencakup alamat protokol internet atau blok alamat. Tujuan dari langkah ini adalah agar penguji mempelajari lebih lanjut tentang sistem yang mereka coba infiltrasi. Layanan pengujian penetrasi profesional hanya melakukan langkah-langkah yang melibatkan informasi sensitif atau istimewa dengan persetujuan eksplisit dari perusahaan.
Pemindaian penemuan
Selama langkah ini, banyak penguji menggunakan alat otomatis seperti penganalisis kode perangkat lunak dan program debugging untuk menemukan lebih banyak tentang sistem. Proses ini mengungkapkan kelemahan dan kerentanan sambil mencari informasi tentang jaringan, host, dan layanan. Ini mungkin termasuk informasi spesifik seperti lokasi server, port host terbuka, dan layanan yang berjalan.
Analisis resiko
Setelah mereka menilai informasi awal dan menemukan arsitektur perangkat lunak, penguji mengidentifikasi dan mengisolasi titik-titik lemah dalam sistem. Langkah ini dapat memakan waktu dan dapat mencakup menemukan potensi risiko pada perangkat lunak menggunakan injeksi bahasa kueri terstruktur, teknik peretasan umum di mana penguji dapat mengabaikan proses masuk.
Upaya penyusupan
Setelah penguji mengidentifikasi beberapa titik lemah dalam sistem, mereka memberi tahu klien tentang aspek-aspek ini. Klien dapat memilih untuk memperkuat ini tanpa pengujian, atau mereka mungkin menginginkan konfirmasi bahwa mereka memang terbuka untuk penyusupan. Jika ya, penguji dengan hati-hati mengeksploitasi dan memasuki sistem melalui kerentanan ini.
Dalam komputasi, vektor adalah komponen dari sistem yang menyimpan data. Saat melakukan langkah pengujian penetrasi ini, penguji mungkin mencari vektor eksploitasi seperti otentikasi yang rusak, perlindungan data yang lemah, penyimpanan yang tidak aman, penanganan kesalahan yang tidak tepat, dan konfigurasi yang tidak aman. Penguji dapat mencoba untuk tetap berada di dalam sistem selama tindakan balasan dari tim keamanan teknologi informasi di dalam perusahaan atau bisnis untuk menilai kemampuan mereka.
Analisis akhir
Analisis terakhir adalah akhir dari pengujian penetrasi. Penguji melaporkan semua kelemahan dan kerentanan dalam sistem perusahaan. Mereka mungkin menawarkan solusi untuk memperkuat keamanan perangkat lunak di persimpangan ini, dan mereka mungkin memberi tahu perusahaan tentang cara menghindari serangan peretasan di masa depan. Penguji mengungkapkan data sensitif mana yang mereka akses dan berapa lama mereka mempertahankan akses ke sistem selama pengujian.
Pakar pengujian penetrasi menghapus semua data yang diakses yang dibuat atau disimpan selama proses dari sistem yang tidak sah. Setelah mereka menyelesaikan analisis akhir pengujian penetrasi, perusahaan dapat menggunakannya untuk berinvestasi dalam memperkuat keamanan sistem teknologi informasi mereka. Perusahaan dapat menerima laporan lain sebagai bagian dari analisis pengujian penetrasi akhir, seperti laporan pelingkupan pengintaian, laporan teknis terperinci, laporan terperinci yang dapat diekspor, dan laporan perbaikan.