Mungkin Anda sekarang sudah selesai dengan penilaian risiko dan menerapkan perbaikan untuk semua kerentanan yang teridentifikasi. Namun, Anda tidak boleh berhenti sampai di situ karena Anda masih perlu memvalidasi semua penilaian menggunakan pengujian penetrasi ke jaringan dan sistem Anda.
Apa yang dimaksud dengan pengujian Penetrasi?
Pengujian penetrasi jaringan dan sistem adalah proses yang dilakukan untuk mengidentifikasi kerentanan keamanan di dalam sistem dan aplikasi dengan menggunakan teknik berbahaya yang disengaja untuk mengevaluasi respon dan keamanan.
Dengan melakukan tes pena ini, Anda akan dapat mengidentifikasi kerentanan di dalam sistem dan jaringan Anda. Prosesnya sendiri dilakukan dengan mensimulasikan serangan cyber karena dapat membantu mengidentifikasi kerentanan yang akan lebih sulit ditemukan di dalam jaringan dengan metode lain.
Proses PenTest Langkah demi Langkah
Pengujian penetrasi biasanya dilakukan setelah Anda menyelesaikan proses penilaian kerentanan dan menerapkan semua solusi yang diperlukan. Alasannya adalah karena perusahaan ingin menguji lebih lanjut tentang keamanan sistem dan jaringan. Berikut ini adalah langkah demi langkah yang perlu Anda lakukan jika Anda ingin melakukan uji pena yang sukses pada sistem dan jaringan Anda.
Mengumpulkan informasi dan berdiskusi dengan klien langkah
Sebelum Anda dapat melakukan tes pena, hal pertama yang perlu Anda lakukan adalah berdiskusi dengan klien Anda. Hal ini penting karena Anda perlu mengetahui tujuan dari tes penetrasi dan apa yang diinginkan klien Anda sebagai penguji pena.
Melalui pembahasan ini, Anda akan dapat menentukan metode pengujian mana yang dapat Anda terapkan dalam proyek. Ada beberapa metode pengujian utama yang bisa Anda gunakan, misalnya:
- Metode pengujian kotak hitam
Dalam metode ini, pengujian dilakukan serealistis mungkin agar sedekat mungkin dengan peretas sungguhan. Dengan demikian, Anda hanya akan diberikan pengetahuan internal seminimal mungkin atau terkadang tidak ada pengetahuan sama sekali tentang jaringan atau sistem yang akan Anda uji
Namun, metode pengujian ini sebenarnya adalah yang tercepat untuk dilakukan karena Anda bisa menggunakan alat bantu untuk mengidentifikasi dan kemudian mengeksploitasi kerentanan yang Anda temukan di jaringan. Tetapi Anda perlu mengingat bahwa jika Anda tidak dapat menembus perimeter jaringan menggunakan metode pengujian ini, maka jika ada kerentanan internal maka mereka akan tetap tidak teridentifikasi. - Metode teks kotak abu-abu
Dalam metode ini, pengujian dilakukan dari sudut pandang sistem atau pengguna jaringan. Jadi, Anda akan diberi akses ke dalam jaringan atau sistem dan terkadang bahkan diberi hak istimewa yang lebih tinggi.
Tujuan dari metode pengujian ini adalah untuk lebih fokus pada penilaian keamanan jaringan sehingga Anda juga akan diberikan beberapa informasi tentang kerentanan internal dan eksternal sistem dan jaringan. - Metode uji kotak putih
Dalam metode ini pengujian dilakukan dari sudut pandang pengguna sistem atau jaringan IS atau IT dari sistem atau jaringan. Jadi, Anda akan diberikan akses ke dalam jaringan atau dokumentasi arsitektur sistem dan bahkan kode sumber.
Metode pengujian ini biasanya memakan waktu paling lama dan paling menantang karena Anda akan berurusan dengan data dalam jumlah besar yang perlu ditinjau agar Anda dapat mengidentifikasi kerentanan.
Seperti yang bisa Anda lihat, ada berbagai metode uji pena yang bisa Anda gunakan, jadi Anda harus menentukan metode mana yang lebih sesuai untuk proyek tersebut. Anda perlu memberi tahu klien Anda tentang manfaat spesifik dari semua metode tersebut sehingga Anda dapat menentukan jenisnya berdasarkan tujuan klien.
Setelah Anda mengetahui metode penetration testing mana yang akan Anda gunakan, maka Anda juga harus mendiskusikan waktu dan tanggal pengujian. Tentukan apakah tes harus dilakukan selama jam kerja perusahaan atau pada malam hari setelah bisnis tutup atau bahkan selama akhir pekan. Anda harus mendiskusikannya lebih lanjut dengan klien Anda dan memutuskannya berdasarkan jadwal bisnis mereka.
Jangan lupa bahwa Anda perlu memutuskan apakah pengujian akan dilakukan pada lingkungan pengujian atau pementasan atau lingkungan produksi. Anda juga harus menanyakan apakah klien Anda ingin Anda mengeksploitasi kerentanan yang Anda temukan atau mereka hanya ingin Anda mengidentifikasinya dan kemudian melaporkannya.
Jangan lupa bahwa Anda juga perlu mendapatkan semua dokumentasi tentang informasi yang diperlukan untuk tes pena dari klien Anda.
Langkah pengintaian
Selama langkah ini, Anda perlu menggunakan pemindai jaringan dan pemindai port ke sistem dan jaringan yang ingin Anda uji. Dengan begitu, Anda akan mendapatkan tampilan jaringan yang lengkap serta perangkat yang terhubung dan kerentanan lain yang ada dalam sistem.
Tujuan dari langkah ini adalah untuk melihat lokasi kerentanan sehingga Anda dapat menggunakan kerentanan tersebut dan mengeksploitasinya pada langkah selanjutnya.
Tergantung pada klien Anda, tetapi Anda juga dapat menggunakan metode uji pena rekayasa sosial selama langkah ini untuk memanipulasi seseorang untuk memberikan informasi rahasia yang dapat Anda gunakan untuk mendapatkan akses ke dalam jaringan dengan lebih mudah.
Langkah penemuan
Pada langkah ini Anda akan menemukan informasi yang Anda cari dengan menggunakan metode pada langkah sebelumnya. Kemudian Anda bisa menggunakan informasi yang Anda temukan untuk menemukan berbagai jalur yang bisa Anda gunakan untuk masuk ke dalam jaringan.
Penemuan ini merupakan titik kunci yang dapat menjadi awal dari pengujian eksploitasi yang dapat Anda lakukan pada langkah berikutnya. Jadi, penting untuk menganalisis setiap informasi yang Anda temukan dan menentukan jalur mana yang akan Anda gunakan nantinya. Ingatlah untuk menemukan beberapa jalur karena biasanya Anda perlu mengeksploitasi beberapa jalur sebelum akhirnya bisa mendapatkan akses.
Melakukan langkah uji pena
Setelah semua informasi dikumpulkan dan jalur ditemukan, maka sekarang saatnya bagi Anda untuk melakukan tes pena ke dalam jaringan menggunakan kerentanan yang telah diidentifikasi sebelumnya. Anda bisa menggunakan berbagai alat yang bisa membantu menjalankan skrip untuk mengeksploitasi jaringan atau bahkan membuat skrip sendiri yang Anda kodekan dari awal.
Biasanya penguji pena mulai dengan mengeksploitasi kerentanan termudah atau kerentanan paling kritis yang mereka temukan di jaringan. Tetapi sebagian besar waktu, Anda perlu menguji beberapa kerentanan sampai Anda berhasil mendapatkan akses ke dalam jaringan.
Namun, informasi itu sendiri penting untuk dicatat ketika Anda dapat mempresentasikan hasilnya nanti sehingga klien Anda dapat mengetahui titik-titik mana pada jaringan yang lemah dan kuat.
Langkah pasca eksploitasi
Langkah ini dilakukan untuk membantu menentukan nilai jaringan serta menjaga kontrol akses agar dapat digunakan di kemudian hari. Selama langkah pengujian penetrasi ini, Anda akan menggunakan informasi dan kerentanan baru yang Anda dapatkan melalui langkah sebelumnya dan menentukan keuntungan yang bisa Anda dapatkan darinya dan bagaimana informasi tersebut dapat digunakan untuk melakukan penetrasi lebih dalam ke dalam jaringan.
Selain itu, melalui proses ini Anda juga ingin memastikan bahwa Anda dapat terus mengakses ke dalam sistem bahkan ketika titik masuk awal Anda telah dinonaktifkan. Setelah itu selesai, maka Anda bisa menemukan lebih banyak informasi di dalam sistem seperti kata sandi, sertifikat dan kunci serta banyak cara lain yang bisa Anda gunakan untuk meningkatkan hak istimewa jaringan Anda.
Karena langkah ini sebenarnya menembus sangat dalam ke dalam jaringan, Anda perlu memastikan bahwa klien Anda benar-benar mengizinkan Anda untuk melakukan langkah ini selama diskusi Anda. Terutama karena Anda bisa mendapatkan informasi sensitif melalui langkah ini yang bisa membuat jaringan menjadi rapuh dan terlalu berisiko bagi pemilik bisnis. Jadi, pastikan Anda memiliki izin untuk melakukan langkah ini dari klien sebelum melakukannya.
Mengirimkan Laporan dan rekomendasi untuk langkah-langkah perbaikan
Ingatlah bahwa Anda harus mengirimkan laporan yang secara lengkap menjelaskan semua hal yang Anda lakukan selama uji penetrasi kepada klien Anda. Semuanya harus ditulis secara rinci termasuk proses, kerentanan yang teridentifikasi, dan bukti yang telah Anda kumpulkan selama pengujian.
Anda juga harus membuat analis risiko untuk setiap kerentanan yang Anda temukan dan menguraikannya secara detail. Dengan begitu, klien Anda dapat memahami risiko yang muncul dari kerentanan yang Anda temukan yang akan membantu mereka membuat keputusan yang tepat di kemudian hari.
Kemudian Anda perlu memberikan rekomendasi bagaimana remediasi dapat dilakukan untuk mengurangi kerentanan yang Anda temukan selama penetration testing. Ada berbagai remediasi yang dapat dilakukan seperti memperbarui dan menambal sistem dan jaringan serta membuat kebijakan keamanan untuk mengatasi kerentanan internal.
PenTest yang Berhasil
Satu hal yang perlu Anda perhatikan sebagai pentester adalah bahwa tes yang berhasil tidak berarti Anda harus berhasil menembus sistem dan jaringan. Meskipun Anda tidak dapat masuk ke dalam sistem dan jaringan, hal ini masih dianggap sebagai pengujian yang berhasil.
Alasannya adalah karena pengujian itu sendiri dapat membantu memvalidasi langkah-langkah keamanan yang digunakan dalam sistem dan jaringan. Dengan begitu, klien dapat memastikan bahwa langkah-langkah keamanan mereka cukup memadai dalam mencegah, mendeteksi, dan menangkal serangan siber.
Kesimpulan
Penting untuk mengamankan jaringan dan sistem dengan mengidentifikasi kerentanan di dalam jaringan. Itulah sebabnya, Anda perlu melakukan penetration testing yang dapat membantu menemukan dan mengeksploitasi kerentanan untuk menguji keamanan.
Tags: pengujian penetrasi, metode pengujian penetrasi, teknik pengujian penetrasi, langkah-langkah pengujian penetrasi, pengujian penetrasi yang sukses,