Assalamu‘alaikum wr. wb.
Hello guys! Dalam Cybersecurity, sudah tidak asing lagi yang namanya Uji Penetrasi atau Penetration Testing, yaitu untuk mencoba atau melakukan evaluasi keamanan dari sebuah Sistem dan Jaringan Komputer. Evaluasi tersebut nantinya digunakan untuk menstimulasikan Jaringan dan nantinya dapat memperbaiki Jaringan Komputer yang dimilikinya.
Sumber Artikel Materi : Dewaweb.com (Blog), Linknet.id, dan IBM.com (Topics)
A. Pengertian Penetration Testing
Pengujian Penetrasi atau Penetration Testing merupakan pendekatan untuk mengevaluasi keamanan sistem perangkat atau komputer dengan cara menstimulasikan serangan siber yang nyata. Metode ini dilaksanakan oleh seorang profesional ahli yang dikenal sebagai penester.
Penester tersebut akan berusaha menemukan celah atau kerentanan dalam sistem keamanan. Setelah kerentanan ditemukan, mereka akan mencoba melakukan penetrasi melalui celah tersebut untuk memperoleh akses ke dalam sistem. Pada tahap ini, mereka akan mengambil peran seakan menjadi peretas (hacker) yang berupaya mengambil alih kendali atau mencuri informasi pribadi.
Proses pengujian ini sangat bermanfaat bagi organisasi atau perusahaan untuk memahami sejauh mana ketahanan server mereka terhadap serangan. Dari hasil pengujian ini, perusahaan dapat mengidentifikasi, menilai, dan mengatasi masalah terkait keamanan sistem mereka.
Tujuan utamanya adalah untuk mengantisipasi risiko eksploitasi data penting oleh pihak yang tidak berwenang. Pengujian ini juga menjadi salah satu syarat agar organisasi atau perusahaan mematuhi standar keamanan yang telah ditetapkan oleh otoritas pemerintah. Terutama jika perusahaan berhubungan dengan penyimpanan data pribadi pengguna, seperti lembaga keuangan atau platform e-commerce.
Kegagalan dalam memenuhi syarat tersebut dapat menghambat kelancaran operasi bisnis perusahaan dengan aman.
B. Manfaat Penetration Testing
Memang telah diungkapkan bahwa pengujian penetrasi memiliki manfaat dalam memperkuat keamanan jaringan. Namun, manfaat dari pengujian penetrasi tidak hanya sebatas itu, ada beberapa aspek lain yang penting untuk diperhatikan. Di bawah ini, akan diuraikan beberapa manfaat dari pengujian penetrasi.
1. Mendeteksi Kerentanan pada Situs Web
Salah satu manfaat utama dari Penetration Testing adalah identifikasi kerentanan pada Website. Kita tahu bahwa sistem jaringan komputer tidak selalu terjamin aman atau bebas dari ancaman siber. Untuk memverifikasi efektivitas kerja sistem komputer, pengujian penetrasi menjadi pilihan. Melalui metode ini, secara tidak langsung, sistem keamanan bisa ditingkatkan dengan mengidentifikasi sebanyak mungkin celah yang mungkin ada pada suatu situs web.
2. Meramalkan Kerugian Bisnis
Selain memberikan manfaat terhadap keamanan perusahaan, Penetration Testing juga memiliki dampak pada perhitungan potensi kerugian bisnis yang mungkin dialami oleh perusahaan. Bagaimana hal ini terjadi? Ketika sistem jaringan komputer terkena serangan oleh kelompok individu tidak bertanggung jawab atau peretas, perusahaan akan mengalami kerugian yang signifikan.
Dalam konteks ini, Penetration Testing dapat membantu perusahaan meramalkan jenis kerugian yang mungkin muncul jika peretas berhasil menyerang sistem jaringan komputer dan juga memberikan panduan untuk mengurangi potensi kerugian tersebut. Selain memberikan rasa aman, pengujian penetrasi ini juga berpotensi meningkatkan kepercayaan konsumen terhadap perusahaan, karena menunjukkan komitmen untuk menjaga keamanan dan privasi mereka.
C. Tahapan dalam Penetration Testing
 |
| Tahapan dalam Penetration Testing |
Ketika melakukan penester melakukan Penetration Testing, ada beberapa langkah yang harus dijalani, mulai dari pengintaian, pemindaian, eksploitasi, pertahanan akses, hingga analisis atau pelaporan. Kelima tahap ini memiliki peran unik yang berkontribusi dalam menjalankan pengujian penetrasi ini. Ingin mendapatkan pemahaman lebih lanjut tentang masing-masing tahap penester? Di bawah ini disajikan informasi rinci mengenai setiap tahap tersebut.
1. Planning (Perencanaan)
Tahap awal yang ditempuh adalah Planning (Perencanaan). Perencanaan dalam pengujian penetrasi ini meliputi :
- Mendefinisikan lingkup dan tujuan pengujian, termasuk sistem yang akan diperiksa dan metode yang akan digunakan.
- Mengumpulkan informasi tentang jaringan, domain, dan server email untuk mendapatkan pemahaman lebih dalam tentang target serta potensi kerentanannya.
2. Scanning (Pemindaian)
Setelah tahap Perencanaan (Planning), langkah berikutnya adalah Pemindaian (Scanning). Pemindaian dilakukan untuk memahami respons aplikasi atau jaringan komputer terhadap upaya penyusupan. Dalam pemindaian ini, ada dua pendekatan yang digunakan :
- Analisis Statis, memeriksa kode aplikasi untuk memprediksi perilaku saat sistem berjalan. Alat ini mampu memeriksa seluruh kode secara keseluruhan.
- Analisis Dinamis, memeriksa kode aplikasi yang berjalan secara real-time. Pendekatan ini dianggap lebih praktis karena memberikan pandangan langsung terhadap kinerja aplikasi.
3. Gaining Access (Mendapatkan Akses)
Setelah memperoleh pemahaman dari pemindaian, Penester mulai menggunakan teknik seperti Cross-site Scripting, Injeksi SQL, Backdoor, dan Serangan Aplikasi Web lainnya untuk mengidentifikasi kerentanannya. Tidak hanya itu, Penester juga mencoba untuk mengambil keuntungan dari kerentanan ini melalui berbagai metode, seperti pencurian data atau eskalasi hak akses. Fokus utama tahap ini adalah memahami dampak kerentanannya.
4. Maintaining Access (Mempertahankan Akses)
Langkah selanjutnya adalah memelihara akses. Pada tahap ini, pentester menggunakan kerentanan yang telah ditemukan untuk menilai apakah kerentanan ini tetap ada dalam sistem yang sudah dieksploitasi. Jika kerentanan ini dapat bertahan lama, dapat menjadi masalah bagi peretas jahat yang berusaha mendapatkan akses yang lebih dalam.
5. Analysis (Analisis)
Pada tahap akhir pengujian penetrasi, terdapat analisis dan pelaporan. Dalam fase ini, pengujian penetrasi menghasilkan dokumen yang mencatat kerentanan sistem jaringan komputer. Selain itu, penester juga menganalisis dan melaporkan risiko yang berasal dari kerentanan tersebut serta memberikan saran untuk meningkatkan keamanan.
D. Proses Penetration Testing
Untuk menguji sistem, ada beberapa jenis pengujian penetrasi yang dapat digunakan oleh perusahaan atau organisasi. Berikut adalah beberapa prosesnya :
1. Gray-Box Testing
Jenis pengujian pertama ini melibatkan memberikan sejumlah informasi terbatas tentang sistem yang akan diuji. Pentester akan berusaha menemukan celah atau kerentanan dengan informasi yang telah diberikan. Secara sederhana, mereka berperan seperti seorang peretas dengan pengetahuan terbatas mengenai celah keamanan yang mungkin ada.
2. Black-Box Testing
Uji coba black-box adalah pengujian tanpa memberikan informasi apapun kepada pentester tentang sistem yang akan diuji. Dalam hal ini, pentester berupaya mencari celah yang dapat dieksploitasi tanpa memiliki pengetahuan sebelumnya tentang server yang diuji. Ini berbeda dengan jenis sebelumnya, di mana penester memiliki beberapa informasi mengenai sistem perangkat, yang memudahkan pelaksanaan tugasnya.
3. White-Box Testing
Jenis pengujian terakhir ini melibatkan memberikan informasi lengkap tentang sistem yang akan diuji. Penester diberikan akses ke sumber kode, struktur jaringan, dan kode sumber sistem. Dengan informasi tersebut, penester memanfaatkannya untuk mencari dan menemukan celah dalam sistem keamanan. Dengan demikian, perusahaan dapat dengan cepat mengidentifikasi area yang perlu dievaluasi dan ditingkatkan.
E. Jenis-jenis Penetration Testing
Semua uji penetrasi melibatkan serangan simulasi terhadap sistem komputer perusahaan. Namun, jenis uji penetrasi yang berbeda menargetkan aset perusahaan yang berbeda.
1. Application Penetration Testing
Uji penetrasi aplikasi mencari kerentanan dalam aplikasi dan sistem terkait, termasuk aplikasi web dan situs web, aplikasi seluler dan IoT, aplikasi cloud, dan Antarmuka Pemrograman Aplikasi (API).
2. Network Penetration Testing
Uji penetrasi jaringan menyerang seluruh jaringan komputer perusahaan. Ada dua jenis uji penetrasi jaringan secara umum, yaitu Uji Eksternal (External Testing) dan Uji Internal (Internal Testing).
Pada Uji Eksternal, pen tester meniru perilaku peretas eksternal untuk menemukan masalah keamanan pada aset yang dapat diakses melalui internet seperti server, router, situs web, dan komputer karyawan. Ini disebut "uji eksternal" karena pen tester mencoba meretas jaringan dari luar.
Pada Uji Internal, pen tester meniru perilaku pelaku berbahaya dalam atau peretas dengan kredensial yang dicuri. Tujuannya adalah mengungkap kerentanan yang bisa dieksploitasi oleh seseorang dari dalam jaringan—misalnya, menyalahgunakan hak akses untuk mencuri data sensitif.
3. Hardware Penetration Testing
Uji keamanan ini mencari kerentanan dalam perangkat yang terhubung ke Jaringan, seperti Laptop, Perangkat Seluler dan IoT, dan Teknologi Operasional (OT).
Pen tester dapat mencari kerentanan perangkat lunak, seperti eksploitasi sistem operasi yang memungkinkan peretas mendapatkan akses jarak jauh ke titik akhir. Mereka juga dapat mencari kerentanan fisik, seperti pusat data yang tidak diamankan dengan benar yang bisa dimasuki oleh pelaku jahat. Tim pengujian juga dapat menilai bagaimana peretas bisa berpindah dari perangkat yang terkompromi ke bagian lain dari jaringan.
4. Personnel Penetration Testing
Uji penetrasi personel mencari kelemahan dalam kebiasaan siber keamanan karyawan. Dengan kata lain, uji keamanan ini menilai seberapa rentannya perusahaan terhadap serangan rekayasa sosial.
Pen tester personel menggunakan Teknik Phishing, Vishing (Voice Phishing), dan Smishing (SMS Phishing) untuk memancing karyawan agar memberikan informasi sensitif. Uji penetrasi personel juga dapat mengevaluasi keamanan fisik kantor. Misalnya, pen tester mungkin mencoba menyusup ke gedung dengan menyamar sebagai pengantar barang. Metode ini, disebut "tailgating," umum digunakan oleh penjahat di dunia nyata.
Sekian Penjelasan tentang Penetration Testing. Mohon maaf apabila ada kesalahan sedikitpun.
Terima Kasih 😄😘👌👍 :)
Wassalamu‘alaikum wr. wb.