Apa itu Penetration Testing?
Penetration testing = proses identifikasi kelemahan security dalam infrastruktur IT, dilakukan oleh penyerang imitasi, dengan cara mencoba mengambil alih kendali atas sistem danmemperoleh data. Bahasa simple-nya: ge-test security IT, dengan cara test serangan. Pengujian tersebut menjamin bahwa sistem program kita cukup aman.
Analogi: penetration testing seperti mencoba membobol rumah, dengan cara membuka kunci yang paling lemah, dan menghancurkan jendela.
Penetration Test |
Penetration Testing - An Introduction
Bagaimana Cara Melakukan Security Assessment: Langkah-2 Umum.
Grafik berikut mengilustrasikan langkah-2 umum security assessment:Langkah Umum Penetration Test |
Penetration test umumnya memiliki tahapan sebagai berikut:
- Tujuan: penetapan tujuan dari security assessment.
- Reconnaissance: memahami sebanyak mungkin tentang perusahaan dan sistem yang menjadi target. Hal ini dilakukan secara online dan offline.
Reconnaissance - Discovery: scanning port atau kerentanan dari rentang IP untuk lebih mempelajari tentang lingkungan system. Ada beberapa macam jenis scan. Port scan mengidentifikasi port dengan status open.
Discovery - Portscan - Eksploitasi: menggunakan pemahaman terkait kerentanan dan system untuk mengeksploitasi sistem agar memperoleh akses, baik pada level sistem operasi ataupun aplikasi.
Exploitation - Brute forcing: menguji seluruh sistem untuk identifikasi password yang lemah dan memperoleh akses jika password tersebut lemah.
Brute Forcing - Social engineering: mengeksploitasi orang/ staf melalui email phishing, USB mengandung malware, pembicaraan telepon, dan metode lain untuk memperoleh akses ke informasi dan sistem.
Social Engineering - Ambil Alih Kontrol: akses data dalam mesin, misal passwords, hash password, screenshots, files, installing keyloggers, dan mengambil alih kendali screen. Hal ini sering dapat membuka pintu untuk eksploitasi lebih lanjut, brute forcing, dan social engineering.
Contoh: akses ke direktori D: , tanpa diketahui pemilik / user sebenarnya.Taking Control Dir D Keylogging - Pivoting: menggunakan satu mesin network (yang sudah di-compromise, sehingga teridentifikasi sebagai network host), untuk akses /serang ke multiple network, untuk menghindari deteksi / pembatasan oleh firewall.
Pivoting - Pengumpulan Bukti: mengumpulkan screenshots, passwords hashes, files, sebagai bukti bahwa anda telah berhasil masuk ke dalam network/ database.
- Pelaporan: melaporkan bagaimana pelaku penetration telah mampu menyusup ke dalam network dan informasi apa yang pelaku berhasil akses.
Reporting - Remediasi: mengatasi/ menyelesaikan masalah/ isu yang membuat pelaku penetration mampu masuk ke dalam network. Hal sebenarnya dilakukan bukan oleh pelaku penetration, melainkan oleh bagian IT department.
Penentuan Lingkup Penetration Test
Sebelum mulai melakukan test, tanyakan diri anda: apa aset digital yang penting yang perlu dilindungi?- Jika organisasi adalah bisnis retail, aset penting nya database yang menyimpan informasi seluruh nomor credit card konsumen anda.
- Jika organisasi adalah vendor software, maka aset penting nya adalah source code.
- Jika organisasi adalah bank, maka aset pentingnya adalah aplikasi online banking.
Jika tujuan dari penetration test adalah untuk compliance, maka penetration test mencakup area yang dipersyaratkan dalam ketentuan terkait.
External dan Internal Security Assessments
Security assessments dapat dilakukan dari perspektif outsider yang mencoba menyerang organisasi melalui internet, atau dari perspektif pihak insider yang jahat. Kedua pendekatan ini disebut external dan internal security assessments.- External security assessment dilakukan jika organisasi khawatir adanya serangan pihak luar melalui internet. Kebanyakan organisasi mulai dengan external penetration test.
- Internal penetration test dilakukan ketika terdapat akses internal ke dalam network. Organisasi khawatir adanya akses internal yang unauthorized. Selain itu, internal penetration tests juga dapat memberi tahu organisasi, seberapa besar kerusakan yang dapat dilakukan oleh intruder, jika ada pegawai yang secara tidak sengaja membuka attachment dari suatu email phishing, atau seberapa jauh instrusi visitor ke site organisasi, jika visitor tersebut plugging laptop nya ke dalam local network.
In-House dan Outsourced Security Assessments
Penggunaan security assessments in-house atau outsource, tergantung beberapa faktor:- Ukuran organisasi. Apakah organisasi mempekerjakan full time penetration tester? Jika tidak, apakah organisasi memiliki security professional yang melakukan tugas tersebut secara paruh waktu?
- Outsourcing mungkin menjadi keputusan yang tepat jika organisasi hanya melakukan penetration test sekali dalam setahun, atau jika organisasi ingin mendapatkan hasil dari independent assessment.
- Beberapa perusahaan menggunakan hybrid model.
- Kepatuhan terhadap Peraturan juga mempengaruhi keputusan pemilihan assessor. Industri perbankan diwajibkan untuk melakukan security testing dalam periode tertentu.
Bagaimana Memilih Penetration Tester
Siapa pun Pengujinya, hal yang harus dipastikan adalah bahwa orang tersebut telah terlatih/ ahli dan sangat dapat dipercaya. Sebagai bagian dari penugasan, penguji penetration dapat memperoleh akses ke data yang mereka biasanya tidak diijinkan untuk melihat, termasuk properti intelektual, nomor credit cards, dan catatan SDM. Itu sebabnya mengapa trustworthiness menjadi hal yang sangat penting.Jika anda tidak mengidentifikasi dan memperbaiki masalah security dalam network anda, dengan cara menyewa ahli IT untuk berada di pihak anda, maka data sensitif anda akan sangat mungkin diakses oleh pihak yang tidak berada di pihak anda.
Credit to:
http://backtracktutorials.com
www.rapid7.com
0 comments:
Post a Comment