Saat menyiapkan sistem keamanan baru, Anda perlu memastikannya berfungsi dengan baik dengan kerentanan sesedikit mungkin. Di mana aset digital senilai ribuan dolar terlibat, Anda tidak dapat belajar dari kesalahan Anda dan hanya mengisi celah dalam keamanan Anda yang sebelumnya dieksploitasi oleh peretas.
Cara terbaik untuk meningkatkan dan menjamin keamanan jaringan Anda adalah dengan terus mengujinya, mencari kekurangan untuk diperbaiki.
Apa Itu Penetration Testing?
Jadi, apa itu tes pena?
Pengujian penetrasi, juga dikenal sebagai pengujian pena, adalah serangan keamanan siber bertahap yang meniru insiden keamanan yang sebenarnya. Serangan yang disimulasikan dapat menargetkan satu atau beberapa bagian dari sistem keamanan Anda, mencari titik lemah yang dapat dieksploitasi oleh peretas jahat.
Apa yang membedakannya dari serangan dunia maya yang sebenarnya adalah bahwa orang yang melakukannya adalah peretas topi putih — atau etis — yang Anda pekerjakan. Mereka memiliki keterampilan untuk menembus pertahanan Anda tanpa niat jahat dari rekan-rekan mereka yang bertopi hitam.
Jenis Pentest
Ada berbagai contoh pentest tergantung pada jenis serangan yang diluncurkan oleh ethical hacker, informasi yang mereka dapatkan sebelumnya, dan batasan yang ditetapkan oleh karyawan mereka.
Satu pentest bisa menjadi salah satu, atau kombinasi, dari jenis pentest primer, yang meliputi:
Insider Pentest
Orang dalam atau pentest internal mensimulasikan serangan dunia maya orang dalam, di mana peretas jahat berperan sebagai karyawan yang sah dan mendapatkan akses ke jaringan internal perusahaan.
Ini bergantung pada menemukan kelemahan keamanan internal seperti hak akses dan pemantauan jaringan, daripada yang eksternal seperti firewall, antivirus, dan perlindungan titik akhir.
Pentest Orang Luar
Seperti namanya, pentest jenis ini tidak memberi peretas akses apa pun ke jaringan internal atau karyawan perusahaan. Itu membuat mereka memiliki opsi untuk meretas melalui teknologi eksternal perusahaan seperti situs web publik dan port komunikasi terbuka.
Pentest orang luar dapat tumpang tindih dengan pentest rekayasa sosial, tempat peretas menipu dan memanipulasi seorang karyawan untuk memberi mereka akses ke jaringan internal perusahaan, melewati eksternal perlindungan.
Pentest Berdasarkan Data
Dengan pentest berbasis data, peretas diberi informasi keamanan dan data tentang target mereka. Ini mensimulasikan serangan mantan karyawan atau seseorang yang memperoleh data keamanan yang bocor.
Blind Pentest
Berlawanan dengan pengujian berbasis data, pengujian buta berarti peretas tidak mendapatkan informasi apa pun tentang target mereka selain nama mereka dan apa yang tersedia untuk umum.
Pentest Buta Ganda
Selain menguji langkah-langkah keamanan digital perusahaan (perangkat keras dan perangkat lunak), tes ini juga mencakup keamanan dan staf TI. Dalam serangan bertahap ini, tidak ada seorang pun di perusahaan yang mengetahui pentest, memaksa mereka untuk bereaksi seolah-olah sedang menghadapi serangan cyber yang berbahaya.
Ini memberikan data berharga tentang keamanan perusahaan secara keseluruhan dan kesiapan staf serta cara keduanya berinteraksi.
Bagaimana Pengujian Penetrasi Bekerja
Mirip dengan serangan berbahaya, peretasan etis membutuhkan perencanaan yang cermat. Ada beberapa langkah yang perlu diikuti peretas etis untuk memastikan pentest sukses yang menghasilkan wawasan berharga. Berikut wawasan tentang metodologi pentest.
1. Mengumpulkan Informasi dan Perencanaan
Apakah itu pentest buta atau data-driven, pertama peretas perlu mengumpulkan informasi tentang target mereka di satu lokasi dan merencanakan titik serangan di sekitarnya.
2. Evaluasi Kerentanan
Langkah kedua adalah memindai jalur serangan mereka, mencari celah dan kerentanan untuk dieksploitasi. Peretas mencari titik akses kemudian menjalankan beberapa tes skala kecil untuk melihat bagaimana sistem keamanan bereaksi.
3. Memanfaatkan Kerentanan
Setelah menemukan titik masuk yang tepat, peretas akan mencoba menembus keamanannya dan mengakses jaringan.
Ini adalah langkah 'peretasan' yang sebenarnya di mana mereka menggunakan segala cara yang mungkin untuk melewati protokol keamanan, firewall, dan sistem pemantauan. Mereka dapat menggunakan metode seperti injeksi SQL, serangan rekayasa sosial, atau pembuatan skrip lintas situs.
Pelajari bagaimana manipulasi psikologis dapat memengaruhi Anda, ditambah contoh umum untuk membantu Anda mengidentifikasi dan tetap aman dari skema ini.
4. Mempertahankan Akses Terselubung
Sebagian besar sistem pertahanan keamanan siber modern mengandalkan deteksi dan juga perlindungan. Agar serangan berhasil, peretas harus tetap berada di dalam jaringan tanpa terdeteksi lama cukup untuk mencapai tujuan mereka, apakah itu membocorkan data, merusak sistem atau file, atau memasang malware.
5. Pelaporan, Menganalisis, dan Memperbaiki
Setelah serangan selesai — berhasil atau tidak — peretas akan melapor kepada majikan mereka dengan membawa temuan mereka. Profesional keamanan kemudian menganalisis data serangan tersebut, membandingkannya dengan laporan sistem pemantauan mereka, dan menerapkan modifikasi yang tepat untuk meningkatkan keamanan mereka.
6. Bilas dan Ulangi
Seringkali ada langkah keenam di mana perusahaan menguji peningkatan yang mereka buat pada sistem keamanan mereka dengan melakukan uji penetrasi lagi. Mereka mungkin menyewa ethical-hacker yang sama jika mereka ingin menguji serangan berbasis data atau serangan lain untuk blind pentest.
Peretasan etis bukanlah profesi yang hanya melibatkan keterampilan. Sebagian besar peretas etis menggunakan OS dan perangkat lunak khusus untuk membuat pekerjaan mereka lebih mudah dan menghindari kesalahan manual, memberikan semuanya kepada setiap pentest.
Jadi, apa yang digunakan peretas pengujian pena? Berikut ini beberapa contoh.
Parrot Security adalah OS berbasis Linux yang dirancang untuk pengujian penetrasi dan penilaian kerentanan. Ramah cloud, mudah digunakan, dan mendukung berbagai software pentest open source.
Juga OS Linux, Peretasan Langsung adalah pilihan pentester karena ringan dan tidak memiliki persyaratan perangkat keras yang tinggi. Itu juga dilengkapi dengan alat dan perangkat lunak untuk pengujian penetrasi dan peretasan etis.
Nmap adalah file alat kecerdasan sumber terbuka (OSINT) yang memantau jaringan dan mengumpulkan serta menganalisis data tentang host dan server perangkat, menjadikannya berguna bagi peretas black-, grey-, dan white-hat.
Ini juga lintas platform dan bekerja dengan Linux, Windows, dan macOS, jadi sangat ideal untuk peretas etis pemula.
WebShag juga merupakan alat OSINT. Ini adalah alat audit sistem yang memindai protokol HTTPS dan HTTP serta mengumpulkan data dan informasi relatif. Ini digunakan oleh peretas etis yang melakukan pentest orang luar melalui situs web publik.
Ke mana Harus Pergi untuk Pengujian Penetrasi
Menguji pena jaringan Anda sendiri bukanlah pilihan terbaik karena Anda mungkin memiliki pengetahuan luas tentangnya, sehingga lebih sulit untuk berpikir di luar kotak dan menemukan kerentanan tersembunyi. Anda harus menyewa peretas etis independen atau layanan perusahaan yang menawarkan pengujian pena.
Namun, mempekerjakan orang luar untuk meretas jaringan Anda bisa sangat berisiko, terutama jika Anda memberi mereka informasi keamanan atau akses orang dalam. Inilah sebabnya mengapa Anda harus tetap menggunakan penyedia pihak ketiga yang tepercaya. Berikut adalah contoh kecil dari yang tersedia.
HackerOne adalah perusahaan yang berbasis di San Francisco yang menyediakan layanan pengujian penetrasi, penilaian kerentanan, dan pengujian kepatuhan protokol.
Terletak di Texas, ScienceSoft menawarkan penilaian kerentanan, pengujian pena, pengujian kepatuhan, dan layanan audit infrastruktur.
Berbasis di Atlanta, Georgia, Raxis menawarkan layanan berharga dari pengujian pena dan tinjauan kode keamanan hingga pelatihan respons insiden, penilaian kerentanan, dan pelatihan pencegahan rekayasa sosial.
Memanfaatkan Pengujian Penetrasi
Meskipun masih relatif baru, pengujian pena menawarkan wawasan unik tentang cara kerja otak peretas saat mereka menyerang. Ini adalah informasi berharga yang bahkan tidak dapat diberikan oleh profesional keamanan siber paling terampil untuk bekerja di permukaan.
Pengujian pena bisa menjadi satu-satunya cara untuk menghindari menjadi sasaran peretas topi hitam dan menderita konsekuensinya.
Kredit Gambar: Unsplash.
Peretasan etis adalah cara untuk memerangi risiko keamanan yang ditimbulkan oleh kejahatan dunia maya. Apakah peretasan etis legal? Mengapa kita membutuhkannya?
- Keamanan
- Keamanan Online
Anina adalah penulis teknologi lepas dan keamanan internet di MakeUseOf. Dia mulai menulis di cybersecurity 3 tahun lalu dengan harapan membuatnya lebih mudah diakses oleh kebanyakan orang. Tertarik untuk mempelajari hal-hal baru dan kutu buku astronomi yang hebat.
Berlangganan newsletter kami
Bergabunglah dengan buletin kami untuk kiat-kiat teknologi, ulasan, ebook gratis, dan penawaran eksklusif!
Satu langkah lagi…!
Harap konfirmasi alamat email Anda di email yang baru saja kami kirimkan.
