Mengenal Panetration dan Metode Testnya

          Apakah sistem TI perusahaan Anda  aman dari kemungkinan serangan atau pelanggaran data? Apakah  karyawan Anda tidak menyalahgunakan wewenangnya (serangan orang dalam)? Apakah sistem perusahaan benar-benar aman dari peretas, cracker, pengacau, dan pengacau? Bagaimana jika pesaing mencoba masuk ke sistem untuk mempelajari semua tentang bisnis Anda?
 
     Jika data dianggap sebagai aset penting perusahaan,  perusahaan harus memperkuat  jaringannya. Untuk itu, Anda perlu mengevaluasi dan menganalisa sistem jaringan guna melihat kemungkinan masih ada celahcelah kemanan yang perlu diperbaiki secepatnya. Salah satu caranya adalah dengan melakukan Penetration Test (Pentest). Pentest dapat dikatakan merupakan salah satu komponen penting dari Security Audit.
 
     Apa itu Pentest? Secara sederhana, Pentest dapat diartikan sebagai sebuah metode untuk melakukan evaluasi dan analisa terhadap keamanan dari sebuah sistem dan jaringan komputer. Penilaian dilakukan dengan mensimulasikan serangan (attack) oleh seseorang pada jaringan perusahaan untuk mengetahui kelemahan-kelemahan yang masih ada pada  jaringan tersebut. Orang yang melakukan aktivitas ini disebut sebagai penguji penetrasi (Pentester). Umumnya, Pentest juga dikenal sebagai peretasan etis.
 
     Hasil Pentest ini  penting sebagai umpan balik bagi administrator sistem untuk meningkatkan keamanan  sistem komputer mereka. Laporan hasil Pentest akan memberikan informasi tentang status kerentanan sistem, sehingga memudahkan penilaian sistem keamanan komputer yang beroperasi. Jadi Pentest ini adalah tindakan pencegahan untuk melindungi aset digital.
 
     Ada beberapa teknik dan metode untuk melakukan Pentest ini. Pertama, Black Box Testing atau Blind Disclosure, khususnya metode Pentest, dimana diasumsikan Pentester sama sekali tidak mengetahui  infrastruktur dari target captive. Jadi, dalam pengujian kotak hitam, pentester harus mencoba mengekstrak semua informasi yang diperlukan dari awal, kemudian menganalisis dan menentukan jenis serangan yang akan dilakukan.
 
     Kedua, pengujian kotak putih atau pengungkapan penuh. Metode pentest kotak putih ini adalah kebalikan dari pengujian kotak hitam, karena penguji sudah mengetahui semua informasi yang dibutuhkan untuk melakukan pentest. Ketiga, pengujian kotak abu-abu atau pengungkapan parsial, yang merupakan kombinasi dari kondisi pengujian kotak hitam dan kotak putih.
 
     Berdasarkan objeknya, Pintest ini dapat dibagi menjadi 6 kategori, dimana setiap objek memerlukan perlakuan yang berbeda. Pertama, Network Service Pentest, dimana objek pengujiannya adalah infrastruktur jaringan. Tujuannya adalah untuk mengidentifikasi kelemahan pada objek layanan jaringan seperti server, firewall, switch, router, printer, workstation, dan lain-lain. Kedua, Web Application Pentest,  digunakan untuk menemukan kerentanan dan kelemahan keamanan pada aplikasi  web.

     Pentest ini menggunakan sejumlah teknik dan serangan yang tujuannya untuk membobol keamanan sebuah aplikasi web. Item tertentu dipindai dalam upaya ini, seperti aplikasi web, browser, dan komponen lain seperti ActiveX, Plugins, Silverlight, Scriptlets, dan Applet.
 
     Ketiga, pentest sisi klien, digunakan untuk menemukan celah keamanan dalam aplikasi sisi klien. Beberapa program atau aplikasi  termasuk aplikasi sisi klien, seperti Putty, klien email, browser web, Macromedia Flash, dll. Program lain seperti Adobe Photoshop dan Microsoft Office Suite juga melalui pengujian aplikasi sisi klien. Yang keempat, Wireless Pentest,  melibatkan identifikasi dan pengujian koneksi yang menghubungkan perangkat di perusahaan Wi-Fi. Beberapa perangkat yang termasuk dalam kategori ini adalah komputer desktop, laptop, tablet, smartphone, dan Internet of Things (IoT).
 
     Kelima, Social Engineering Pentest, adalah upaya untuk membujuk atau mengelabui pengguna agar memberikan informasi sensitif. Beberapa data sering menjadi sasaran upaya ini, seperti nama pengguna dan kata sandi. Serangan rekayasa sosial yang biasa dilakukan oleh Pentester antara lain: Spoofing, Modifikasi, Boosting, Name Skipping, Headmarking, Dumpster Diving,  Dropping, dan Gifting. Keenam, Pentagon Fisik, adalah upaya Pentagon untuk menembus penghalang fisik  infrastruktur, bangunan, sistem, dan bahkan karyawan  perusahaan.

     Pentest memiliki standar (Penetration Test Execution Standard/PTES)  sebagai acuan dalam pelaksanaannya, yang terbagi dalam beberapa tahapan. Pertama, berinteraksi atau rencanakan sebelum Anda berinteraksi. Pada tahap ini, ruang lingkup Pentest, tenggat waktu, dokumen hukum (kontrak), jumlah tim yang dibutuhkan harus dibahas. Secara khusus, karyawan diinformasikan terlebih dahulu  tentang adanya pentest atau tidak.
 
     Kedua, kumpulkan informasi. Pada tahap ini, semua informasi tentang sistem target dikumpulkan. Selanjutnya, survei jaringan dilakukan  untuk mengumpulkan informasi tentang domain, server, layanan, alamat IP, host,  firewall, dll. sekarang tersedia. Alat yang dapat digunakan misalnya Nmap.
 
     Ketiga, Penilaian Kerentanan. Setelah mengetahui informasi tentang sistem, pencarian kerentanan dapat dilakukan secara manual atau otomatis, misalnya dengan Nessus. Eksploitasi atau upaya penetrasi keempat. Dalam proses ini dilakukan identifikasi target, pemilihan alat yang tepat dan eksploitasi.

     Seringkali, kemampuan untuk memecahkan kata sandi juga diperlukan. Cara lain untuk melakukan ini adalah dengan melakukan beberapa rekayasa sosial dan memeriksa keamanan fisik sistem. Kamis, Laporan. Pada tahap penulisan laporan ini, secara umum dilaporkan langkah-langkah kerja yang dilakukan, celah keamanan yang ditemukan, dan saran perbaikan.
 
     Salah satu aspek kunci dalam melakukan Pentagon adalah menentukan sejauh mana Pentagon harus melakukan tes keamanannya. Biasanya lingkup ini mendefinisikan sistem, lokasi, teknik, dan alat apa yang dapat digunakan untuk melakukan Pentests. Membatasi cakupan Pentest dapat membantu  anggota tim fokus pada tugas Pentest.
 
     Idealnya, perusahaan harus melakukan Pentest  setahun sekali untuk memastikan keamanan siber dan manajemen TI lebih terpadu dan terpusat. (*dari berbagai sumber)

Apa saja Metode dalam Penetration Test?

1. 1. Metode Blackox

     Dalam metode kotak hitam, penguji tidak mendapatkan informasi apa pun tentang sistem yang  diuji, baik infrastruktur maupun kode sumber yang digunakan. Penguji memposisikan diri sebagai peretas yang harus mengeksploitasi sistem untuk menemukan lubang keamanan yang dapat diserang. Di sinilah penguji harus mencoba  menggali  semua informasi yang diperlukan sejak awal, kemudian melakukan analisis dan menentukan jenis serangan yang akan dilakukan. Penguji yang menggunakan metode kotak hitam harus terbiasa dengan alat analisis otomatis dan metode manual. Mereka juga harus dapat membuat peta sistem yang diuji berdasarkan pengamatan yang telah dilakukan. Durasi tes tergantung pada kemampuan penguji untuk menemukan dan mengoperasikan sistem. Jika penguji tidak memiliki keterampilan yang baik,  kerentanan dalam sistem akan sangat sulit ditemukan dan diperbaiki.
 

1. 2. Metode kotak putih

     Dalam pengujian kotak putih, penguji telah mengetahui semua informasi yang diperlukan untuk melakukan pengujian penetrasi, karena ia memiliki akses penuh. Oleh karena itu, tantangan  metode White Box Testing terdiri dari menemukan, menyortir semua data yang diterima  dan mengalokasikan bias untuk setiap titik yang dipertimbangkan. Hal inilah yang membuat metode White Box Testing lebih memakan waktu dibandingkan kedua metode di atas.
 

1. 3. Metode kotak abu-abu

     Metode kotak abu-abu akan memberikan penilaian keamanan yang lebih efektif daripada kotak hitam. Dengan memiliki sejumlah informasi, penguji dapat menguji sistem keamanan dan mensimulasikan serangan. Metode Kotak Abu-abu juga memungkinkan penguji untuk melakukan pengujian yang lebih bertarget untuk mengeksploitasi kerentanan dengan risiko  lebih tinggi.