Banyak yang menggunakan pengujian black box pentest untuk menilai keamanan siber mereka, namun ada kelemahannya. Di sinilah kekurangannya, dan apa yang dapat Anda lakukan.

Tes penetrasi diperlukan untuk keamanan perusahaan. Ini adalah serangan siber yang dikendalikan dan disimulasikan yang dilakukan untuk mengidentifikasi kerentanan dan kelemahan dalam pertahanan keamanan sistem atau jaringan. Ada tiga jenis tes penetrasi: tes penetrasi kotak hitam, kotak abu-abu, dan kotak putih.

Banyak yang lebih memilih uji penetrasi kotak hitam karena mereka merasa ini adalah representasi paling realistis dari ancaman dunia maya yang sebenarnya. Namun, daya tarik realisme ini terkadang menutupi potensi kelemahannya. Inilah alasan Anda mungkin mempertimbangkan kembali memilih uji penetrasi kotak hitam untuk penilaian keamanan Anda berikutnya.

Apa Itu Uji Penetrasi Kotak Hitam?

Tes penetrasi kotak hitam adalah analisis keamanan siber di mana penguji mensimulasikan serangan terhadap suatu sistem, meniru perspektif penyerang eksternal untuk mengidentifikasi kerentanan dari sudut pandang pihak luar.

instagram viewer

Sama seperti penyerang sungguhan, penguji penetrasi kotak hitam mungkin tidak memiliki wawasan internal apa pun tentang aset dan infrastruktur sistem Anda, sehingga ini merupakan ujian sesungguhnya bagi pertahanan Anda. Pendekatan ini bergantung pada replikasi skenario ancaman eksternal yang menyelidiki kerentanan.

Para penguji mengikuti naluri dan pengetahuan mereka tentang vektor serangan, mencoba menyusup dan mengungkap kelemahan dalam aset organisasi. Meskipun tujuannya adalah untuk mencerminkan risiko yang ada di dunia nyata, penting untuk diketahui bahwa hal ini harus mengorbankan potensi kesenjangan yang hanya bisa diungkapkan oleh pemahaman internal.

Mengapa Uji Penetrasi Kotak Hitam Mungkin Gagal

Menurut Standar Verifikasi Keamanan Aplikasi OWASP 4.0, pengujian penetrasi kotak hitam telah terbukti menimbulkan masalah keamanan kritis selama 30 tahun terakhir dan hal ini telah menyebabkan pelanggaran besar-besaran. Namun pengujian black box pentest, terutama bila dilakukan pada akhir pengembangan, bukanlah jaminan keamanan yang efektif.

Kendala waktu

Satu hal yang secara signifikan membedakan pengujian penetrasi kotak hitam dengan serangan siber sebenarnya adalah waktu yang diperlukan untuk melakukan keduanya. Aktor jahat mempunyai banyak waktu untuk melakukan serangan, berbulan-bulan atau bahkan bertahun-tahun; sementara itu, sebagian besar tes penetrasi selesai dalam beberapa minggu.

Penyerang hanya memerlukan satu titik masuk atau kerentanan untuk mendapatkan akses ke dalam sistem, dan mereka dapat bertahan di sana selama berbulan-bulan. Karena uji penetrasi memiliki jangka waktu yang terbatas, hal ini sering kali membatasi kedalaman eksplorasi, sehingga membuat penguji penetrasi tidak dapat melakukan simulasi serangan siber secara menyeluruh.

Pengetahuan yang Terbatas

Meskipun pengujian black box dirancang untuk meniru ancaman eksternal, pengujian ini tidak memiliki konteks yang dimiliki oleh tim internal. Tanpa memahami secara spesifik arsitektur dan pertahanan sistem Anda, penguji penetrasi mungkin mengabaikannya kerentanan kritis yang hanya akan mereka temukan jika mereka memiliki pengetahuan tentang aset tersebut dan bagaimana aset tersebut berada dikembangkan.

Hal ini terkadang dapat mengakibatkan penilaian yang tidak tepat. Penguji mungkin hanya menargetkan titik masuk yang umum, mengabaikan area tertentu dengan asumsi penyerang tidak akan mengeksploitasinya, dan mengabaikan potensi titik buta yang dapat diungkap oleh penilaian yang lebih holistik. Itu sebabnya beberapa pentester mengumpulkan intelijen lalu menyerang, sehingga memberikan pengukuran keamanan Anda yang lebih akurat.

Meremehkan Ancaman Orang Dalam

Hanya berfokus pada ancaman eksternal mengabaikan risiko yang ditimbulkan oleh orang dalam. Pengujian black box mungkin tidak cukup mengevaluasi kerentanan yang dapat dieksploitasi oleh karyawan atau kontraktor yang memiliki akses.

Mempertimbangkan Pendekatan yang Seimbang

Uji penetrasi kotak abu-abu dan kotak putih menawarkan keunggulan unik yang melengkapi metode kotak hitam.

Tes kotak abu-abu memberikan keseimbangan dengan memberikan informasi internal yang terbatas, mensimulasikan penyerang yang berpengetahuan luas. Sementara itu, pengujian white-box menawarkan pemeriksaan transparan terhadap cara kerja sistem Anda, memungkinkan identifikasi kerentanan yang cermat. Memilih perpaduan pendekatan-pendekatan ini memberikan gambaran yang lebih baik tentang kerentanan organisasi Anda. Menerapkan pendekatan yang seimbang akan memperkuat pertahanan Anda dan memupuk ketahanan proaktif terhadap ancaman yang diketahui dan tidak terduga.