Tutorial Pengujian Penetrasi: Apa itu PenTest?
Pengujian Penetrasi
Pengujian Penetrasi atau Pengujian Pena adalah salah satu jenisnya Pengujian Keamanan digunakan untuk menutupi kerentanan, ancaman, dan risiko yang dapat dieksploitasi oleh penyerang dalam aplikasi perangkat lunak, jaringan, atau aplikasi web. Tujuan dari pengujian penetrasi adalah untuk mengidentifikasi dan menguji semua kemungkinan kerentanan keamanan yang ada dalam aplikasi perangkat lunak. Pengujian penetrasi juga disebut Pen Test.
Kerentanan adalah risiko bahwa penyerang dapat mengganggu atau mendapatkan akses resmi ke sistem atau data apa pun yang ada di dalamnya. Kerentanan biasanya muncul secara tidak sengaja selama tahap pengembangan dan implementasi perangkat lunak. Kerentanan umum termasuk kesalahan desain, kesalahan konfigurasi, bug perangkat lunak, dll. Analisis Penetrasi bergantung pada dua mekanisme yaitu Penilaian Kerentanan dan Pengujian Penetrasi (VAPT).
Mengapa Pengujian Penetrasi?
Penetrasi sangat penting dalam suatu perusahaan karena –
- Sektor keuangan seperti Bank, Perbankan Investasi, Bursa Perdagangan Saham ingin data mereka diamankan, dan pengujian penetrasi sangat penting untuk memastikan keamanan
- Jika sistem perangkat lunak telah diretas dan organisasi ingin menentukan apakah masih ada ancaman dalam sistem untuk menghindari peretasan di masa mendatang.
- Pengujian Penetrasi Proaktif adalah perlindungan terbaik terhadap peretas
Jenis Pengujian Penetrasi
Jenis uji penetrasi yang dipilih biasanya bergantung pada cakupan dan apakah organisasi ingin mensimulasikan serangan oleh karyawan, Admin Jaringan (Sumber Internal) atau Sumber Eksternal. Ada tiga jenis pengujian Penetrasi dan itu adalah
- Black Box pengujian
- Putih Box Pengujian penetrasi
- Abu-abu Box Pengujian Penetrasi
Dalam pengujian penetrasi black-box, seorang penguji tidak memiliki pengetahuan tentang sistem yang akan diuji. Ia bertanggung jawab untuk mengumpulkan informasi tentang jaringan atau sistem target.
Dalam pengujian penetrasi kotak putih, penguji biasanya diberikan informasi lengkap tentang jaringan atau sistem yang akan diuji termasuk skema alamat IP, kode sumber, detail OS, dll. Ini dapat dianggap sebagai simulasi serangan oleh sumber internal mana pun (Karyawan suatu Organisasi).
Dalam pengujian penetrasi kotak abu-abu, penguji diberikan pengetahuan parsial tentang sistem. Hal ini dapat dianggap sebagai serangan oleh peretas eksternal yang telah memperoleh akses tidak sah ke dokumen infrastruktur jaringan organisasi.
Bagaimana melakukan Pengujian Penetrasi
Berikut ini adalah aktivitas yang perlu dilakukan untuk melakukan Penetration Test –
Langkah 1) Tahap perencanaan
- Ruang lingkup & Strategi penugasan ditentukan
- Kebijakan keamanan yang ada, standar digunakan untuk menentukan ruang lingkup
Langkah 2) Fase penemuan
- Kumpulkan informasi sebanyak-banyaknya tentang sistem termasuk data dalam sistem, nama pengguna bahkan kata sandi. Ini juga disebut sebagai SIDIK JARI
- Pindai dan Selidiki ke dalam port
- Periksa kerentanan sistem
Langkah 3) Fase Serangan
- Temukan eksploitasi untuk berbagai kerentanan Anda memerlukan Hak Istimewa keamanan yang diperlukan untuk mengeksploitasi sistem
Langkah 4) Fase Pelaporan
- Sebuah laporan harus berisi temuan rinci
- Risiko kerentanan yang ditemukan dan Dampaknya terhadap bisnis
- Rekomendasi dan solusi, jika ada
Tugas utama dalam pengujian penetrasi adalah mengumpulkan informasi sistem. Ada dua cara untuk mengumpulkan informasi –
- Model 'Satu ke satu' atau 'satu ke banyak' sehubungan dengan host: Seorang penguji melakukan teknik secara linier terhadap satu host target atau pengelompokan logis dari host target (misalnya subnet).
- Model 'Banyak ke satu' atau 'banyak ke banyak': Penguji menggunakan beberapa host untuk menjalankan teknik pengumpulan informasi secara acak, terbatas, dan non-linier.
Contoh Alat Uji Penetrasi
Ada berbagai macam alat yang digunakan dalam pengujian penetrasi dan alat Pentest yang penting adalah:
1) Teramind
Teramind memberikan rangkaian komprehensif untuk pencegahan ancaman orang dalam dan pemantauan karyawan. Hal ini meningkatkan keamanan melalui analisis perilaku dan pencegahan kehilangan data, memastikan kepatuhan dan mengoptimalkan proses bisnis. Platformnya yang dapat disesuaikan memenuhi berbagai kebutuhan organisasi, memberikan wawasan yang dapat ditindaklanjuti yang berfokus pada peningkatan produktivitas dan menjaga integritas data.
Fitur:
- Pencegahan Ancaman Orang Dalam: Mendeteksi dan mencegah tindakan pengguna yang mungkin mengindikasikan ancaman orang dalam terhadap data.
- Optimasi Proses Bisnis: Memanfaatkan analisis perilaku berbasis data untuk mendefinisikan ulang proses operasional.
- Produktivitas Tenaga Kerja: Memantau produktivitas, keamanan, dan perilaku kepatuhan tenaga kerja.
- Manajemen Kepatuhan: Membantu mengelola kepatuhan dengan solusi tunggal dan terukur yang cocok untuk usaha kecil, perusahaan, dan lembaga pemerintah.
- Forensik Insiden: Memberikan bukti untuk memperkaya respons insiden, investigasi, dan intelijen ancaman.
- Pencegahan kehilangan data: Memantau dan melindungi terhadap potensi hilangnya data sensitif.
- Pemantauan Karyawan: Menawarkan kemampuan untuk memantau kinerja dan aktivitas karyawan.
- Analisis Perilaku: Menganalisis data perilaku aplikasi pelanggan yang terperinci untuk mendapatkan wawasan.
- Pengaturan Pemantauan yang Dapat Disesuaikan: Memungkinkan penyesuaian pengaturan pemantauan agar sesuai dengan kasus penggunaan tertentu atau untuk menerapkan aturan yang telah ditentukan sebelumnya.
- Wawasan Dasbor: Memberikan visibilitas dan wawasan yang dapat ditindaklanjuti mengenai aktivitas tenaga kerja melalui dasbor yang komprehensif.
- nmap– Alat ini digunakan untuk melakukan pemindaian port, identifikasi OS, Melacak rute dan untuk pemindaian Kerentanan.
- Nessus– Ini adalah alat kerentanan berbasis jaringan tradisional.
- Pass-The-Hash – Alat ini terutama digunakan untuk memecahkan kata sandi.
Peran dan Tanggung Jawab Penguji Penetrasi
Tugas Penguji Penetrasi adalah:
- Penguji harus mengumpulkan informasi yang diperlukan dari Organisasi untuk memungkinkan pengujian penetrasi
- Temukan kelemahan yang memungkinkan peretas menyerang mesin target
- Penguji Pena harus berpikir & bertindak seperti peretas sejati meskipun secara etis.
- Pekerjaan yang dilakukan oleh penguji Penetrasi harus dapat direproduksi sehingga pengembang dapat dengan mudah memperbaikinya
- Tanggal mulai dan tanggal akhir pelaksanaan tes harus ditentukan sebelumnya.
- Seorang penguji harus bertanggung jawab atas segala kerugian dalam sistem atau informasi selama Pengujian Perangkat Lunak
- Seorang penguji harus menjaga kerahasiaan data dan informasi
Penetrasi Manual vs. pengujian penetrasi otomatis
Pengujian Penetrasi Manual | Pengujian Penetrasi Otomatis |
---|---|
Pengujian Manual membutuhkan profesional ahli untuk menjalankan tes | Alat pengujian otomatis memberikan laporan yang jelas dengan profesional yang kurang berpengalaman |
Pengujian Manual memerlukan Excel dan alat lain untuk melacaknya | Pengujian Otomatisasi memiliki alat terpusat dan standar |
Dalam Pengujian Manual, hasil sampel bervariasi dari satu pengujian ke pengujian lainnya | Dalam kasus Tes Otomatis, hasilnya tidak berbeda dari satu tes ke tes lainnya |
Pembersihan Memori harus diingat oleh pengguna | Pengujian Otomatis akan melakukan pembersihan menyeluruh. |
Kekurangan Pengujian Penetrasi
Penetration Testing tidak dapat menemukan semua kerentanan dalam sistem. Ada keterbatasan waktu, anggaran, ruang lingkup, keterampilan Penetration Tester
Berikut ini adalah efek samping ketika kita melakukan pengujian penetrasi:
- Kehilangan Data dan Korupsi
- Down Time
- Meningkatkan Biaya
Kesimpulan
Penguji harus bertindak seperti peretas sungguhan dan menguji aplikasi atau sistem dan perlu memeriksa apakah suatu kode ditulis dengan aman. Uji penetrasi akan efektif jika ada kebijakan keamanan yang diterapkan dengan baik. Kebijakan dan metodologi pengujian penetrasi harus menjadi wadah untuk membuat pengujian penetrasi menjadi lebih efektif. Ini adalah panduan pemula lengkap untuk Pengujian Penetrasi.
Periksa kami Proyek Pengujian Penetrasi Langsung