Apa itu Pengujian Keamanan? Contoh
Apa itu Pengujian Keamanan?
Pengujian Keamanan adalah jenis Pengujian Perangkat Lunak yang mengungkap kerentanan, ancaman, risiko dalam aplikasi perangkat lunak dan mencegah serangan jahat dari penyusup. Tujuan Pengujian Keamanan adalah untuk mengidentifikasi semua kemungkinan celah dan kelemahan sistem perangkat lunak yang dapat mengakibatkan hilangnya informasi, pendapatan, reputasi di tangan karyawan atau pihak luar Organisasi.
Mengapa Pengujian Keamanan Penting?
Tujuan utama Pengujian Keamanan adalah untuk mengidentifikasi ancaman pada sistem dan mengukur potensi kerentanannya, sehingga ancaman dapat ditemui dan sistem tidak berhenti berfungsi atau tidak dapat dieksploitasi. Ini juga membantu mendeteksi semua kemungkinan risiko keamanan dalam sistem dan membantu pengembang memperbaiki masalah melalui pengkodean.
Jenis Pengujian Keamanan dalam Pengujian Perangkat Lunak
Ada tujuh jenis utama pengujian keamanan sesuai manual metodologi Pengujian Keamanan Sumber Terbuka. Penjelasannya adalah sebagai berikut:
- Pemindaian Kerentanan: Hal ini dilakukan melalui perangkat lunak otomatis untuk memindai sistem terhadap tanda-tanda kerentanan yang diketahui.
- Pemindaian Keamanan: Proses ini melibatkan identifikasi kelemahan jaringan dan sistem, dan kemudian memberikan solusi untuk mengurangi risiko tersebut. Pemindaian ini dapat dilakukan untuk pemindaian Manual dan Otomatis.
- Pengujian penetrasi: Pengujian semacam ini mensimulasikan serangan dari peretas jahat. Pengujian ini melibatkan analisis sistem tertentu untuk memeriksa potensi kerentanan terhadap upaya peretasan eksternal.
- Tugas beresiko: Pengujian ini melibatkan analisis risiko keamanan yang diamati dalam organisasi. Risiko diklasifikasikan menjadi Rendah, Sedang dan Tinggi. Pengujian ini merekomendasikan pengendalian dan tindakan untuk mengurangi risiko.
- Audit Keamanan: Ini adalah pemeriksaan internal Aplikasi dan Operasistem ting untuk kelemahan keamanan. Audit juga dapat dilakukan melalui pemeriksaan kode baris demi baris
- Peretasan etis: Ini meretas sistem Perangkat Lunak Organisasi. Berbeda dengan peretas jahat yang mencuri demi keuntungannya sendiri, tujuannya adalah untuk mengungkap kelemahan keamanan dalam sistem.
- Penilaian Postur: Ini menggabungkan pemindaian Keamanan, Ethical Hacking dan Penilaian Risiko untuk menunjukkan postur keamanan organisasi secara keseluruhan.
Bagaimana melakukan Pengujian Keamanan
Selalu disepakati, biayanya akan lebih besar jika ditunda pengujian keamanan setelah fase implementasi perangkat lunak atau setelah penerapan. Oleh karena itu, perlu melibatkan pengujian keamanan dalam siklus hidup SDLC pada fase awal.
Mari kita lihat proses Keamanan terkait yang akan diadopsi untuk setiap fase di SDLC
Fase SDLC | Proses Keamanan |
---|---|
Persyaratan | Analisis keamanan untuk persyaratan dan memeriksa kasus penyalahgunaan/penyalahgunaan |
Mendesain | Analisis risiko keamanan untuk perancangan. Perkembangan dari Rencana Tes termasuk tes keamanan |
Pengkodean dan Pengujian Unit | Pengujian dan Keamanan Statis dan Dinamis Putih Box pengujian |
Tes integrasi | Black Box pengujian |
Pengujian Sistem | Black Box Pengujian dan Pemindaian Kerentanan |
Organisasi | Pengujian Penetrasi, Pemindaian Kerentanan |
Bantuan | Analisis dampak Patch |
Rencana pengujian harus mencakup
- Kasus atau skenario pengujian terkait keamanan
- Data Uji terkait dengan pengujian keamanan
- Alat Uji diperlukan untuk pengujian keamanan
- Analisis berbagai hasil pengujian dari berbagai alat keamanan
Contoh Skenario Uji untuk Pengujian Keamanan
Contoh skenario Pengujian untuk memberi Anda gambaran sekilas tentang kasus pengujian keamanan –
- Kata sandi harus dalam format terenkripsi
- Aplikasi atau Sistem tidak boleh mengizinkan pengguna yang tidak valid
- Periksa cookie dan waktu sesi untuk aplikasi
- Untuk situs keuangan, tombol kembali Browser tidak berfungsi.
Metodologi/ Pendekatan / Teknik Pengujian Keamanan
Dalam pengujian keamanan, metodologi yang berbeda diikuti, yaitu sebagai berikut:
- Harimau Box: Hacking ini biasanya dilakukan pada laptop yang mempunyai kumpulan OS dan tools hacking. Pengujian ini membantu penguji penetrasi dan penguji keamanan untuk melakukan penilaian kerentanan dan serangan.
- Black Box: Tester berwenang melakukan pengujian terhadap segala sesuatu tentang topologi jaringan dan teknologinya.
- Abu-abu Box: Informasi parsial diberikan kepada penguji tentang sistem, dan merupakan gabungan model kotak putih dan kotak hitam.
Peran Pengujian Keamanan
- Peretas – Mengakses sistem atau jaringan komputer tanpa izin
- Crackers – Membobol sistem untuk mencuri atau menghancurkan data
- Peretas Etis – Melakukan sebagian besar aktivitas pelanggaran tetapi dengan izin dari pemiliknya
- Script Kiddies atau packet monkeys – Peretas tidak berpengalaman dengan kemampuan bahasa pemrograman
Alat Pengujian Keamanan
1) Teramind
Teramind memberikan rangkaian komprehensif untuk pencegahan ancaman orang dalam dan pemantauan karyawan. Hal ini meningkatkan keamanan melalui analisis perilaku dan pencegahan kehilangan data, memastikan kepatuhan dan mengoptimalkan proses bisnis. Platformnya yang dapat disesuaikan memenuhi berbagai kebutuhan organisasi, memberikan wawasan yang dapat ditindaklanjuti yang berfokus pada peningkatan produktivitas dan menjaga integritas data.
Fitur:
- Pencegahan Ancaman Orang Dalam: Mendeteksi dan mencegah tindakan pengguna yang mungkin mengindikasikan ancaman orang dalam terhadap data.
- Optimasi Proses Bisnis: Memanfaatkan analisis perilaku berbasis data untuk mendefinisikan ulang proses operasional.
- Produktivitas Tenaga Kerja: Memantau produktivitas, keamanan, dan perilaku kepatuhan tenaga kerja.
- Manajemen Kepatuhan: Membantu mengelola kepatuhan dengan solusi tunggal dan terukur yang cocok untuk usaha kecil, perusahaan, dan lembaga pemerintah.
- Forensik Insiden: Memberikan bukti untuk memperkaya respons insiden, investigasi, dan intelijen ancaman.
- Pencegahan kehilangan data: Memantau dan melindungi terhadap potensi hilangnya data sensitif.
- Pemantauan Karyawan: Menawarkan kemampuan untuk memantau kinerja dan aktivitas karyawan.
- Analisis Perilaku: Menganalisis data perilaku aplikasi pelanggan yang terperinci untuk mendapatkan wawasan.
- Pengaturan Pemantauan yang Dapat Disesuaikan: Memungkinkan penyesuaian pengaturan pemantauan agar sesuai dengan kasus penggunaan tertentu atau untuk menerapkan aturan yang telah ditentukan sebelumnya.
- Wawasan Dasbor: Memberikan visibilitas dan wawasan yang dapat ditindaklanjuti mengenai aktivitas tenaga kerja melalui dasbor yang komprehensif.
2) Owasp
Proyek Keamanan Aplikasi Web Terbuka (OWASP) adalah organisasi nirlaba di seluruh dunia yang berfokus pada peningkatan keamanan perangkat lunak. Proyek ini memiliki banyak alat untuk menguji berbagai lingkungan dan protokol perangkat lunak. Alat andalan proyek ini meliputi
- Proksi Serangan Zed (ZAP – alat pengujian penetrasi terintegrasi)
- Pemeriksaan Ketergantungan OWASP (ini memindai ketergantungan proyek dan memeriksa kerentanan yang diketahui)
- Proyek Lingkungan Pengujian Web OWASP (kumpulan alat keamanan dan dokumentasi)
3) Kawat Shark
Wireshark adalah alat analisis jaringan yang sebelumnya dikenal sebagai Ethereal. Alat ini menangkap paket secara real time dan menampilkannya dalam format yang dapat dibaca manusia. Pada dasarnya, alat ini adalah penganalisa paket jaringan yang menyediakan detail menit tentang protokol jaringan, dekripsi, informasi paket, dll. Alat ini merupakan sumber terbuka dan dapat digunakan di Linux, Windows, OSX, Solaris, NetBSD, FreeBSD dan banyak sistem lainnya. Informasi yang diambil melalui alat ini dapat dilihat melalui GUI atau Utilitas TShark mode TTY.
4) W3af
w3af adalah serangan aplikasi web dan kerangka audit. Ini memiliki tiga jenis plugin; penemuan, audit, dan serangan yang berkomunikasi satu sama lain untuk setiap kerentanan di situs, misalnya plugin penemuan di w3af mencari url yang berbeda untuk menguji kerentanan dan meneruskannya ke plugin audit yang kemudian menggunakan URL ini untuk mencari kerentanan.
Mitos dan Fakta Pengujian Keamanan
Mari kita bahas topik menarik tentang Mitos dan fakta pengujian keamanan:
Mitos #1 Kami tidak memerlukan kebijakan keamanan karena kami memiliki bisnis kecil
Fakta: Setiap orang dan setiap perusahaan memerlukan kebijakan keamanan
Mitos #2 Tidak ada laba atas investasi dalam pengujian keamanan
Fakta: Pengujian Keamanan dapat menunjukkan area perbaikan yang dapat meningkatkan efisiensi dan mengurangi waktu henti, sehingga memungkinkan hasil maksimal.
Mitos #3: Satu-satunya cara untuk mengamankannya adalah dengan mencabutnya.
Fakta: Satu-satunya cara terbaik untuk mengamankan sebuah organisasi adalah dengan menemukan “Keamanan Sempurna”. Keamanan sempurna dapat dicapai dengan melakukan penilaian postur dan membandingkannya dengan justifikasi bisnis, hukum, dan industri.
Mitos #4: Internet tidak aman. Saya akan membeli perangkat lunak atau perangkat keras untuk menjaga sistem dan menyelamatkan bisnis.
Fakta: Salah satu masalah terbesar adalah membeli perangkat lunak dan perangkat keras untuk keamanan. Sebaliknya, organisasi harus memahami keamanan terlebih dahulu dan kemudian menerapkannya.
Kesimpulan
Pengujian keamanan merupakan pengujian yang paling penting bagi suatu aplikasi dan memeriksa apakah data rahasia tetap terjaga kerahasiaannya. Dalam jenis pengujian ini, penguji berperan sebagai penyerang dan bermain-main dengan sistem untuk menemukan bug terkait keamanan. Pengujian Keamanan sangat penting dalam Rekayasa Perangkat Lunak untuk melindungi data dengan segala cara.