Artikel Seri IT Security : Penetration Testing “Melindungi Perusahaan Anda Dengan Cara Yang Benar

Sama seperti dokter harus menyelidiki pasien mereka mengungkap penyakit atau penyakit tersembunyi, begitu juga perusahaan harus menyelidiki jaringan, sistem, aplikasi, dan aset web untuk disingkap kelemahan tunduk pada kemungkinan peretasan. Latihan ini disebut Penetration Testing (Pengujian Penetrasi) untuk jangka pendek. Seperti semua masalah yang berkaitan dengan keamanan, ada cara-cara perilaku yang optimal pen tes dan kurang dari cara yang ideal. Artikel ini meliputi :

  • Ruang lingkup cybercrime dan lainnya masalah yang membutuhkan pengujian pen tes yang ketat
  • Jenis pen tes
  • Harapan dan tanggung jawab penguji penetration
  • Praktik terbaik yang diterima secara umum untuk pengujian penetration
  • Alat bantu teratas untuk membantu dengan pengujian penatration, dan
  • Pertimbangan untuk melakukan pengujian penetration oleh staf internal atau yang di-outsource perusahaan

Ruang lingkup cybercrime

Hampir tidak ada hari ketika laporan utama cybercrime tidak mendominasi berita. Tapi seberapa besar masalahnya? Menurut laporan dari CSO baru-baru ini merilis , para ahli memprediksi bahwa pada tahun 2021 cybercrime secara global akan menelan biaya $ 6 triliun per tahun atau dua kali lipat dari itu berada di 2015. Yang mengherankan prediksi itu adalah, bahkan lebih luar biasa untuk mempertimbangkan transfer kekayaan ke aktor buruk yang terjadi dan manfaat inovasi yang belum direalisasi, investasi, dan pengambilan risiko. Seperti sebuah karpet yang ditarik keluar dari bawah perusahaan, kerugian tidak hanya besar tetapi menghancurkan masa depan dan kelangsungan hidup mereka.

Selain kerugian langsung dari cybercrime, kita juga harus mengarahkan pada angka ini secara langsung biaya yang dikeluarkan perusahaan untuk memerangi cybercrime. Menurut Gartner, saat ini kami menghabiskan $ 86,4 miliar untuk memerangi cybercrime, dan mereka proyeksikan jumlah itu untuk mencapai $ 1 triliun antara 2017 – 2021. Tidak termasuk dalam jumlah ini juggernaut yang sedang berkembang itu adalah internet of Things dan sepupu teknologi terkaitnya.

Anda mendapatkan: masalahnya besar dan biayanya besar sekali. Yang perlu kita lakukan adalah meletakkan yang terbaik dan karyawan keamanan cyber paling cerdas untuk bekerja. Namun, ada tangkapan. Tidak terisi pekerjaan cybersecurity diharapkan mencapai diatas 3,5 juta pada 2021, sangat menghambat perusahaan kemampuan untuk secara efektif mengamankan perusahaan mereka.

Ketika Internet terus meledak dalam konten dan sistem, jumlah pengguna internet juga meledak. Menurut Cybersecurity Ventures, enam miliar orang akan berada di Internet pada tahun 2022, sekitar 75% dari populasi dunia, naik dari 3,8 miliar pada tahun 2017. Dengan semakin banyak pengguna Internet datang lebih banyak peluang potensial untuk serangan.

Kebanyakan taktik kejahatan dunia maya yang lebih baru adalah ransomware. Naik dari $ 325 juta pada 2015, serangan ransomware pada 2017 melebihi $ 5 miliar dan, menurut Cybersecurity Ventures, akan meningkat menjadi $ 11,5 miliar pada 2019. Ini memprediksi serangan ransomware akan melanda setiap 14 detik, sesuatu yang harus membuat CIO dan tim keamanan mereka terjaga di malam hari.

Dunia serangan konstan ini adalah hal baru yang normal. Keamanan yang diperlakukan sebagai perenungan dan bukan menjadi pusat dari DNA perusahaan adalah menyiapkan peta selamat datang untuk peretas dan mengundang mereka dengan serangkaian kunci tambahan.

Jenis Pen Tes

Untuk menghadapi serangan cybercrime dan masalah terkait, perusahaan bergantung pada pengujian penetrasi. Pen Tes, juga disebut sebagai peretasan etika, pada dasarnya memanfaatkan alat peretas dan rangkaian keahlian untuk kepentingan perusahaan. Ada beberapa pengujian penatration tergantung pada infrastruktur yang ditargetkan. Jadi, penting untuk memahami terlebih dahulu apa yang ingin Anda temukan atau terbukti layak. Mari lakukan peninjauan singkat tentang apa yang diperlukan setiap jenis.

Pengujian Eksternal

Jenis ini berfokus hanya pada apa yang terlihat di Internet, seperti situs web, DNS, dan server email. Tujuan keseluruhannya adalah untuk mendapatkan akses, mengumpulkan data yang berharga, dan pergi tanpa diidentifikasi atau dilacak. Anggap saja seperti seorang penguji yang memeriksa kunci di pintu eksternal dan jendela sebuah bangunan untuk memverifikasi bahwa mereka benar-benar menjaga terhadap akses yang tidak sah. Konsep yang sama berlaku kecuali terhadap ruang digital perusahaan, termasuk server, firewall, dll.

Pengujian Internal

Berbeda dari pengujian eksternal, pen tes internal dilakukan di belakang firewall. Tes-tes ini dapat mengambil beberapa bentuk; mungkin meniru karyawan yang tidak puas, atau dengan serangan phishing berbahaya yang difasilitasi oleh kredensial karyawan yang dicuri. Dari dalam, penguji cenderung memiliki jangkauan yang lebih luas ke jaringan dan / atau sistem, termasuk skema alamat IP (s), kode sumber, dan detail OS, dengan licik menghindari deteksi.

Pengujian Buta

Pengujian Black-Box AKA, adalah teknik yang digunakan untuk memprediksi bagaimana aktor yang buruk akan menyerang perusahaan tertentu. Banyak sekali seorang penguji buta disediakan dengan sedikit lebih dari nama perusahaan. Apa yang terbentang selama pengujian adalah kemungkinan peta jalan tentang bagaimana aktor yang buruk akan menavigasi sistem untuk melubangi keamanan dan kemudian mengumpulkan data. Jenis tes ini memberi wawasan kepada personil keamanan secara realtime ke setiap taktik penguji.

Pengujian Buta Ganda

Dalam pengujian ini, tidak ada pengetahuan bahwa pengujian akan segera terjadi. Personil keamanan yang melakukan pekerjaan sehari-hari mereka dibiarkan dalam gelap dan harus bereaksi secara real time. Jenis tes double-blind ini sangat mirip dengan serangan dunia nyata karena semua pihak tidak menyadari upaya pihak lain; pertama masuk dan kedua untuk memblokir.

Pengujian Bertarget

Seperti namanya, jenis pen tes ini berfokus aspek-aspek khusus dari infrastruktur organisasi. Di sini, baik pen tester dan tim keamanan bekerja bersama untuk memahami, melacak, dan memantau gerakan.

Ekspektasi dan Tanggung Jawab Penguji Penetrasi Etis

Mengingat taruhan yang tinggi dari cybercrime, penguji penetrasi etika harus mematuhi parameter yang jelas dari penugasan mereka.

Khususnya, semua penguji penetrasi harus:

  • Berpikir dan bertindak seperti aktor jahat yang benar-benar bermaksud menyebabkan kerusakan atau pencurian, akan sampai ke titik hampir menyebabkan kerusakan yang nyata;
  • Bijaklah dengan informasi yang diperlukan untuk melakukan tes penetrasi;
  • Mengartikulasikan dengan jelas jenis tes yang akan dilakukan;
  • Gunakan setiap dan semua sarana yang diperlukan untuk menemukan kekurangan yang rentan terhadap serangan dari aktor jahat dalam sistem, perangkat lunak, jaringan, dan aplikasi yang ditentukan;
  • Tetap pada jadwal yang disetujui untuk memastikan pengujian pena yang sebenarnya tidak disalahartikan sebagai peristiwa peretasan yang sebenarnya;
  • Jadilah ilmuwan yang rajin dengan secara hati-hati mencatat tindakan, reaksi, masalah, dll. Sehingga pengujian dapat diulang seperlunya untuk menerangi sepenuhnya area yang menjadi perhatian;
  • Bertanggung jawab atas semua kerugian dalam sistem, termasuk kinerja data dan mesin; dan
  • Menjaga kerahasiaan yang ketat terkait dengan data perusahaan, termasuk laporan apa pun yang dihasilkan oleh penguji, kecuali secara khusus dirilis oleh perusahaan.

Praktik Umum Terbaik yang Diterima untuk Pengujian Penatration

Sementara perusahaan mungkin memiliki proses pengujian penetrasi mereka sendiri dan selalu ada satu-off, edge-case, dan keadaan khusus yang akan menentukan bagaimana pen tes dilakukan, ada kesepakatan yang paling luas yang melibatkan setidaknya lima tahap berikut.

  1. Perencanaan, penelitian, dan pengintaian Tahap ini berfokus pada ruang lingkup pengujian untuk memastikan semua pihak yang terlibat memiliki instruksi yang jelas, memahami sistem apa yang sedang diuji, intelijen apa yang saat ini ada sehubungan dengan domain, OS, jaringan, server email, situs web , dan infrastruktur berharga lainnya.
  1. Memindai, Selama tahap ini, tester pena akan menentukan bagaimana aplikasi atau sistem tertentu merespons intrusi, sebut saja elemen pertama dari uji tegangan penatration. Pemindaian ini dapat dilakukan secara statis atau dinamis saat aplikasi atau sistem berjalan.
  1. Memperoleh akses, Tahap ini adalah ketika tester penetrasi menarik semua berhenti, memanfaatkan berbagai alat dan taktik untuk meluncurkan serangan aplikasi web seperti Cross-site Scripting (XSS), SQL injection (SQLi), dan Man-in-the-Middle (MITM) serangan untuk mengeksploitasi kerentanan dan pengguna sistem target. Setelah mengamankan akses, pen tester kemungkinan akan menggunakan metode lain untuk mengeksplorasi dan mengeksploitasi bukaan lebih jauh. Metode ini mungkin termasuk meningkatkan hak istimewa, mencuri data jika memungkinkan, dan mencegat lalu lintas.
  1. Menjaga Akses, Bergantung pada ruang lingkup pengujian, mempertahankan akses setelah melanggar sistem atau aplikasi adalah penting karena ini menunjukkan bagaimana aktor jahat yang gigih dapat tetap berada di tempatnya, tidak terdeteksi, dalam jangka waktu yang lama. Seperti strain bakteri yang tidak terkontrol oleh antibiotik, kuman dapat terus merusak.
  1. Analisis dan Pelaporan, Setelah pengujian selesai, pen tester meninjau ulang dengan petugas keamanan tepat apa yang telah dilakukan, bagaimana sistem dilakukan, berapa lama penguji berada di dalam sistem tanpa terdeteksi, kerentanan apa yang ada, dan prioritas mana yang memerlukan perhatian segera. Masukan ini sangat penting untuk mengaktifkan perusahaan untuk meremediasi sistem tertentu secara memadai dan aplikasi.

Tergantung pada hasil penetrasi tes, perusahaan harus segera melakukan tes lain setelah daerah bendera merah telah ditambal untuk menentukan apakah mereka telah diperbaiki secara memadai.

Lebih jauh, perusahaan harus mempertimbangkan hal yang biasa jadwal berbagai jenis tes untuk memastikannya sistem atau aplikasi baru yang diterapkan tidak berfungsi merupakan kerentanan potensial.

12 Alat Pengujian Penetrasi Terpopuler

Bakat yang hanya satu bagian dari persamaan, alat pengujian penetrasi adalah sisi lain. Di bawah ini adalah tinjauan singkat tentang beberapa alat teratas yang biasa digunakan untuk membantu personel keamanan dalam pen tes mereka.

Meskipun ada banyak alat lain, ini paling sering disebutkan dalam berbagai ulasan.

  1. Metasploit

Metasploit Pro adalah alat validasi eksploitasi dan kerentanan yang membantu membagi alur kerja pengujian penetrasi menjadi tugas yang lebih kecil dan lebih mudah dikelola. Dengan Metasploit Pro, perusahaan dapat memanfaatkan kekuatan Metasploit Framework dan mengeksploitasi basis data melalui antarmuka pengguna berbasis web untuk melakukan penilaian keamanan dan validasi kerentanan.

  1. Wireshark

Wireshark adalah salah satu penganalisis protokol jaringan terdepan dan banyak digunakan di dunia. Ini memungkinkan perusahaan melihat apa yang terjadi di jaringan mereka pada tingkat mikroskopis dengan “mengendus” paket jaringan saat mereka melintasi kabel dan digunakan di banyak perusahaan komersial dan nirlaba, lembaga pemerintah, dan lembaga pendidikan.

  1. Kali Linux

Kali Linux menggabungkan lebih dari 300 pengujian penetrasi dan program audit keamanan dengan sistem operasi Linux, memberikan solusi lengkap yang memungkinkan administrator TI dan profesional keamanan untuk menguji keefektifan strategi mitigasi risiko.

  1. w3af

w3af adalah kerangka kerja yang sangat populer dan fleksibel untuk menemukan dan mengeksploitasi kerentanan aplikasi web. Sangat mudah untuk menggunakan dan memperluas dan menampilkan lusinan web penilaian dan eksploitasi plugin.

  1. Netsparker

Netsparker menemukan dan melaporkan kerentanan aplikasi web seperti SQL Injection dan Cross-site Scripting pada semua jenis aplikasi web, terlepas dari platform dan teknologi yang dibangunnya.

  1. Nessus

Nessus Professional adalah salah satu solusi penilaian industri yang paling banyak digunakan untuk mengidentifikasi kerentanan, masalah konfigurasi, dan malware yang digunakan penyerang untuk menembus organisasi jaringan. Ini spesialisasi dalam pemeriksaan kepatuhan, pencarian data sensitif, pemindaian IP, situs web pemindaian, dan secara keseluruhan unggul dalam membantu pentester dalam menemukan titik lemah.

  1. Burpsuite

Burp suite adalah kerentanan aplikasi web scanner. Ini berkisar dalam kemampuannya yang mencakup sebuah intercepting proxy, web crawling untuk konten dan fungsionalitas, pemindaian aplikasi web, dll.

  1. Kain & Habel

Ini adalah alat pemulihan kata sandi untuk Microsoft Windows. Dapat memulihkan berbagai jenis kata sandi menggunakan metode seperti mengendus jaringan paket , serta kata sandi retak teknik termasuk kamus, kekerasan, dan serangan cryptanalysis.

  1. Zed Attack Proxy (ZAP)

ZAP adalah salah satu alat keamanan gratis terpopuler di dunia dan secara aktif dipelihara oleh ratusan suka relawan internasional. Bisa membantu perusahaan menemukan keamanan secara otomatis kerentanan dalam aplikasi web mereka, baik mereka masih dalam pengembangan dan pengujian, atau sudah dalam produksi.

  1. Acunetix

Acunetix adalah pemindai kerentanan web khusus untuk aplikasi web. Ini menyediakan injeksi SQL, pengujian skrip lintas situs, laporan kepatuhan PCI, dll. Bersama dengan mengidentifikasi banyak kerentanan.

  1. John The Ripper

John the Ripper adalah cracker kata sandi, saat ini tersedia untuk banyak varian Unix, Windows, DOS, dan OpenVMS. Tujuan utamanya adalah mendeteksi kata sandi Unix yang lemah, tetapi juga efektif terhadap Kerberos AFS, Windows LM Hashes, MD4, dll.

  1. Retina

The Retina Network Security Scanner adalah salah satu kerentanan yang lebih canggih solusi penilaian di pasar. Tersedia sebagai aplikasi yang berdiri sendiri atau sebagai bagian dari Retina CS Enterprise Vulnerability Management, Retina Security Scanner memungkinkan perusahaan untuk secara efisien mengidentifikasi eksposur TI dan memprioritaskan remediasi di seluruh perusahaan. Pengujian penatration yang kuat sering melibatkan penggunaan banyak alat yang berbeda untuk mencakup semua aspek pengujian. Jadi, tidak jarang untuk memanfaatkan sebagian besar, jika tidak semua, alat di daftar ini dalam beberapa bentuk atau mode. Penguji penatration yang canggih bereaksi terhadap sistem yang mereka temui dengan campuran alat yang tepat.

Pertimbangan untuk Pengujian Penetrasi Internal vs. Outsourced

Penetrasi pengujian sebaiknya diserahkan kepada profesional berpengalaman yang memahami berbagai alat, teknologi, dan teknik karena ada risiko yang melekat terkait dengan tes itu sendiri. Misalnya, apakah dilakukan secara manual atau melalui beberapa sistem otomatis, pen tes dapat “menembak” jaringan, memperlambatnya dan mengubah komputer menjadi node yang lamban, atau, yang lebih buruk lagi, bahkan menyebabkan sistem macet, yang dapat memiliki efek berbahaya pada bisnis. Jika perusahaan Anda memiliki profesional keamanan yang terlatih dan bersertifikat yang ahli dalam bidang seni dan sains pengujian penatration, Anda boleh melanjutkan dengan peringatan yang diperlukan. Namun, jika staf internal Anda tidak memiliki keterampilan untuk melakukan pengujian dan tidak memiliki pengalaman, adalah bijaksana untuk mempertimbangkan pihak ketiga yang lebih baik yang dilengkapi untuk menghindari potensi dampak negatif bisnis / sistem. Mereka kemungkinan akan melihat skenario kerentanan yang jauh lebih beragam yang akan bermanfaat bagi perusahaan Anda.

Berikut adalah beberapa pertanyaan yang harus Anda ajukan kepada penguji penetrasi pihak ketiga yang Anda pertimbangkan untuk direkrut:

  • Sertifikasi industri apa yang dimiliki perusahaan dan siapa yang secara khusus di perusahaan yang memegangnya?
  • Berapa banyak penguji penetrasi yang digunakannya?
  • Apa nama individu individu yang akan melakukan tes penetrasi untuk perusahaan Anda?
  • Kualifikasi dan sertifikasi profesional apa yang mereka miliki dan seberapa berpengalaman mereka?
  • Layanan apa yang disediakan perusahaan dalam membantu menguji coba?
  • Bisakah ini diikuti dengan pelatihan anti-phishing kesadaran keamanan?
  • Bagaimana cara melakukan tes penetrasi, dan skala waktu berapa?
  • Berapa biaya tes, dan dalam keadaan apa ruang lingkup proyek dapat meningkat?
  • Langkah apa yang dilakukan penguji penetrasi untuk meminimalkan efek yang mungkin terjadi pada bisnis Anda?
  • Asuransi apa yang dimiliki perusahaan jika secara tidak sengaja menyebabkan kerusakan?
  • Laporan dan rekomendasi apa yang akan diberikan setelah tes, dan berapa banyak detail yang akan mereka sertakan?

Kesimpulan

Penetrasi pengujian seharusnya menjadi, jika belum, merupakan kejadian biasa di sebagian besar

perusahaan. Agar tetap di depan para aktor jahat yang berusaha menyebabkan kerusakan, penting bahwa pengujian tidak sporadis tetapi hampir konstan karena setiap perubahan dalam sistem, aplikasi atau basis data dapat memiliki efek riak di mana kerentanan dapat terjadi mudah dieksploitasi.

Daniel Lowrie

ITProTV Edutainer – Keamanan

tentang Penulis

Daniel bekerja sebagai administrator sistem dan jaringan sebelum pindah ke pengajaran. Dia tertarik ke ITProTV karena dia sendiri adalah pelajar visual dan itu adalah kunci konten ITProTV. Dia memegang sertifikasi di A +, Jaringan +, Linux +, CEH, dan MCSA

 

Editor Penterjemah : Abdul Kadir Syamsuir (Konsultan IT Independen & Technopreuner)

Please follow and like us:
0

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *