Pentest Adalah

pentest adalah

Penetration Testing atau Pentest adalah suatu kegiatan dimana seseorang mencoba mensimulasikan serangan yang bisa dilakukan terhadap jaringan organisasi / perusahaan tertentu untuk menemukan kelemahan yang ada pada sistem jaringan tersebut. Orang yang melakukan kegiatan ini disebut penetration tester (disingkat pentester). Penetration Testing mempunyai standar resmi sebagai acuan dalam pelaksanaannya.

Latar Belakang di perlukannya Pentest Atau Pengertian Penetration Testing. Perusahaan besar tentu saja telah memiliki tenaga atau karyawan yang handal di bidang IT (ahli dalam pemograman, Jaringan, dan peralatan lainnya.) Perusahaan anda memiliki beberapa cabang di seluruh Indonesia dan semuanya terkoneksi dengan jaringan Piber Optik. Segala sesuatunya terkoneksi dengan server Pusat sehingga data yang di kelola selalu Up to Date.

Namun hal ini tidak menjamin, jika perusahaan menilai dari segi berikut:

  • Apakah ada jaminan bahwa karyawan anda tidak menyalahgunakan wewenang yang dimiliki (serangan dari dalam)
  • Apakah System perusahaan sepenuhnya aman dari serangan tangan-tangan jahil? (hacker, Cracker, Phreaker, Defacer)
  • Bagaimana Jika pesaing anda mencoba masuk ke system anda untuk mengetahui semua isi perut perusahaan anda?

Penetration Testing dapat dikatakan merupakan salah satu komponen penting dari Security Audit .

Langkah-langkah dalam Penetration Testing:

  • Langkah pertama yang dilakukan pada Pentest adalah perencanaan. Pada tahapan ini harus dibicarakan ruang lingkup pentest, range waktu, dokumen legal (kontrak), jumlah tim yang dibutuhkan serta apakah staff dan karyawan diberitahukan terlebih dahulu atau tidak tentang adanya pentest.
  • Langkah berikutnya adalah information gathering dan analysis. Pada tahapan ini dikumpulkan semua informasi tentang sistem target. Ada banyak alat bantu yang bisa digunakan, diantaranya adalah www.netcraft.com. Kemudian dilakukan network survey untuk mengumpulkan informasi domain, server, layanan yang ada, ip adress, host, adanya firewall, dll. Tools yang dapat digunakan misalnya Nmap
  • Langkah selanjutnya adalah vulnerability detection (pencarian celah keamanan). Setelah mengetahui informasi tentang sistem, pencarian celah keamanan bisa dilakukan manual atau secara automatis misalnya dengan Nessus.
  • Setelah menemukan celah keamanan, maka langkah berikutnya adalah percobaan penyerangan (penetration attempt). Pada proses ini dilakukan penentuan target, pemilihan tools dan exploit yang tepat. Umumnya diperlukan juga kemampuan password cracking. Cara lain yang dapat dilakukan adalah dengan melakukan social engineering dan pengujian physical security dari sistem.
  • Tahap berikutnya adalah analisis dan pembuatan laporan. Disini biasanya dilaporkan tentang langkah kerja yang dilakukan, celah keamanan yang ditemukan serta usulan perbaikan. Tahapan selanjutnya biasanya tindak lanjut, yang biasanya harus dilakukan bersama-sama dengan admin untuk memperbaiki sistem.

Ada beberapa teknik dan metode untuk melakukan Pentest ini. Pertama, Black Box Testing atau Blind Disclosure, yaitu metode Pentest dimana diasumsikan Pentester tidak mengetahui sama sekali infrastruktur dari target pentest. Dengan begitu, pada black box test, si Pentester harus mencoba untuk menggali dari awal semua informasi yang diperlukan kemudian melakukan analisis serta menentukan jenis attack yang akan dilakukan.

Kedua, White Box Testing atau Full Disclosure. Metode pentest white box ini merupakan kebalikan dari black box testing, karena tester telah mengetahui semua informasi yang diperlukan untuk melakukan pentest. Ketiga, Grey Box Testing atau Partial Disclosure, yaitu kombinasi dari kondisi black box dan white box testing.

Berdasarkan objeknya, Pintest ini dapat dibagi menjadi 6 jenis, dimana setiap objek membutuhkan perlakukan yang berbeda. Pertama, Network Service Pentest, dimana objek yang diuji adalah infrastruktur jaringan. Tujuannya untuk mengidentifikasi kelemahan pada objek-objek network service seperti server, firewall, switch, router, printer, workstation, dan lain-lain. Kedua, Web Application Pentest, yang digunakan untuk menemukan kerentanan dan kelemahan keamanan pada aplikasi berbasis web. Pentest ini menggunakan beberapa teknik dan serangan, yang tujuannya untuk menembus keamanan suatu web application. Beberapa elemen yang dipindai dalam upaya pentest jenis ini,seperti web based applicationbrowser dan komponen-komponen lainnya seperti ActiveX, Plugins, Silverlight, Scriptlets, dan Applets.

Ketiga, Client Side Pentest, yang digunakan untuk menemukan kelemahan keamanan pada client side application. Beberapa program atau aplikasi yang termasuk client side application, seperti Putty, email clients, web browsers, Macromedia Flash, dan lain-lain. Program-program lain seperti Adobe Photoshop dan Microsoft Office Suite juga menjadi subyek testing dari client side application. Keempat, Wireless Pentest, yang melibatkan identifikasi dan inspeksi koneksi yang menghubungkan device-device dalam satu Wifi perusahaan. Beberapa device yang menjadi objek pentest jenis ini seperti, desktop, laptop, tablet, smartphones, dan Internet of Things (IoT).

Kelima, Social Engineering Pentest, merupakan sebuah upaya untuk membujuk atau menebar trik kepada user untuk memberikan informasi sensitif. Beberapa data yang kerap menjadi sasaran upaya ini seperti username dan password. Serangan cyber social engineering yang biasa dilakukan oleh Pentester seperti: Physing, Tailgating, Imposter, Name Dropping, Pre-texting, Dumpster Diving, Eaves Dropping, dan Gifts. Keenam, Physical Pentest, merupakan upaya dari Pentester untuk menembus hambatan fisik dari infrastruktur, bangunan, sistem, bahkan karyawan dari sebuah perusahaan.

Pentest memiliki standar (Penetration Testing Execution Standard/PTES) yang digunakan sebagai acuan dalam pelaksanaanya, yang dibagi ke dalam beberapa tahap. Pertama, Pre-engagement Interactions atau Planning. Pada tahapan ini harus dibicarakan ruang lingkup Pentest, rentang waktu, dokumen legal (kontrak), jumlah tim yang dibutuhkan. Termasuk apakah karyawan diberitahukan terlebih dahulu atau tidak tentang adanya pentest.

Kedua, Information Gathering. Pada tahapan ini dikumpulkan semua informasi tentang sistem target. Kemudian dilakukan network survey untuk mengumpulkan informasi domain, server, layanan yang ada, IP adress, host, adanya firewall, dan sebagainya. Tools yang dapat digunakan misalnya Nmap.

Ketiga, Vulnerability Assessment. Setelah mengetahui informasi tentang sistem, pencarian celah keamanan bisa dilakukan secara manual atau otomatis, misalnya dengan Nessus. Keempat Exploitation atau Penetration Attempt. Pada proses ini dilakukan penentuan target, pemilihan tools dan exploit yang tepat. Umumnya diperlukan juga kemampuan password cracking. Cara lain yang dapat dilakukan adalah dengan melakukan social engineering dan pengujian physical security dari sistem. Kelima, Reporting. Pada tahapan pembuatan laporan ini biasanya dilaporkan tentang langkah kerja yang dilakukan, celah keamanan yang ditemukan serta usulan perbaikan.

Salah satu aspek penting dalam melakukan Pentest adalah menentukan ruang lingkup dimana Pentester harus melakukan pengujian keamanannya. Biasanya, ruang lingkup ini mendefinisikan sistem, lokasi, teknik, dan tools apa yang dapat digunakan dalam melakukan Pentest. Membatasi ruang lingkup Pentest dapat membantu memokuskan anggota tim dalam melakukakan tugas Pentest.

Idealnya, suatu perusahaan mesti melakukan Pentest secara teratur setahun sekali untuk memastikan keamanan jaringan dan manajemen Teknologi Informasi yang lebih konsisten dan terarah. 

Share

Add Your Comments

Alamat email Anda tidak akan dipublikasikan.