Uji penetrasi ( penetration tester) adalah cara yang bagus untuk mengidentifikasi kerentanan yang ada dalam sistem atau .jaringan yang sudah memiliki langkah-langkah keamanan sebagai langkah preventif. . Sebuah tes penetrasi biasanya melibatkan penggunaan metode yang dilakukan oleh individu yang terpercaya yang sengaja menyerang dengan logika yang sama seperti yang digunakan oleh penyusup dari luar atau hacker .
Tergantung pada jenis tes yang .dilakukan , ini mungkin saja hanya melibatkan pemindaian sederhana dari sebuah alamat IP untuk mengidentifikasi mesin yang sedang beroperasi ( live) atau dengan desain yang lebih tajam misalnya mengambil akses root / admin.
Hasil penetration test ini atau serangan ini kemudian didokumentasikan dan disajikan sebagai laporan kepada pemilik sistem dan .kerentanan diidentifikasi kemudian dapat diselesaikan .
Hasil penetration test ini atau serangan ini kemudian didokumentasikan dan disajikan sebagai laporan kepada pemilik sistem dan .kerentanan diidentifikasi kemudian dapat diselesaikan .
Pengujian penetrasi sering dilakukan karena dua alasan . Tentu saja hal ini baik karena untuk meningkatnya kesadaran pengelolaan masalah keamanan atau intrusion detection dan seberapa cepat kemampuan respon terhadap adanya threat. .Hal ini juga membantu manajemen yang lebih tinggi dalam pengambilan keputusan .
Manajemen suatu organisasi mungkin tidak ingin atau tidak mampu untuk mengatasi semua semua kerentanan yang ditemukan dalam penilaian kerentanan, tetapi mungkin ingin untuk mengatasi kelemahan sistemnya yang ditemukan yang paling berbahaya, dan inilah fungsi dari melalui penetration test . Seperti halnya juga dengan analogi yang sama untuk pacth patch system operasi windows dimana dengan sebegitu banyaknya patch yang muncul di setiap minggu nya maka biasanya yang kemudian di install adalah patch patch yang memang mampu menghilanglkan vulnerability yang dianggap berbahaya.
Disamping itu adanya pen test juga hasilnya bisa digunakan untuk capacity building dari sisi infrastruktur dan system operasi sebab paling tidak suatu organisasi akan berusaha untuk mengalokasi kan anggaran demi untuk menutup sekian banyak vulnerability yang ada di dalam jaringan mereka.
Penetration Testing memiliki 2 metode yaitu sebagai berikut :
1. Blackbox Testing, yaitu melakukan penetrasi tanpa mengetahui apapun mengenai sistem yang anda gunakan selain domain website anda.
2. Whitebox Testing, yaitu melakukan penetrasi dengan mengetahui informasi mengenai sistem dan logic yang anda gunakan, dimana kami akan mempelajari logic dari pemrograman website anda sehingga menambah pengetahuan kami akan website anda dan menjadikan eksplorasi ditemukannya vulnerable/kelemahan lebih jauh dan mendalam.
Metodologi
Perencanaan dan Persiapan
Dalam rangka untuk membuat uji penetrasi bisad dilakukan dengan sukses, banyak persiapan perlu dilakukan. Idealnya pertemuan kickoff harus disebut antara organisasi dan penguji penetrasi. Pertemuan kickoff harus membahas masalah mengenai ruang lingkup dan tujuan uji penetrasi serta pihak terlibat. Harus ada tujuan yang jelas untuk tes penetrasi yang akan dilakukan. sebuah organisasi yang melakukan tes tanpa alasan yang jelas tidak boleh kaget jika hasil nya pun tidak mengandung hasil yang jelas.
Dalam kebanyakan kasus tujuan dari uji penetrasi adalah untuk menunjukkan bahwa kerentanan dieksploitasi ada dalam jaringan organisasi infrastruktur. Pematokan uji penetrasi dilakukan dengan mengidentifikasi mesin, sistem dan jaringan, persyaratan operasional dan staf yang terlibat.
Agenda penting lainnya untuk dibahas adalah waktu dan durasi dari uji penetrasi dilakukan. Hal ini penting, karena akan memastikan bahwa dilakukan penetrasi sementara kegiatan bisnis dan operasional normal sehari-hari tetap berjalan dan tidak terganggu.
Salah satu hal yang perlu di bahas lainnya adalah apakah staf itu dari organisasi harus diberitahu sebelum uji penetrasi dilakukan atau tidak. Pemberitahuan mungkin tepat , tetapi dapat mengubah perilaku mereka dengan cara yang akan bisa mempengaruhi hasil uji penetrasi. Di sisi lain, memilih untuk tidak memperingatkan staf mungkin mengakibatkan mereka mengambil tindakan yang tidak perlu mempengaruhi kondisi yang sudah ada.
Dalam kebanyakan kasus tujuan dari uji penetrasi adalah untuk menunjukkan bahwa kerentanan dieksploitasi ada dalam jaringan organisasi infrastruktur. Pematokan uji penetrasi dilakukan dengan mengidentifikasi mesin, sistem dan jaringan, persyaratan operasional dan staf yang terlibat.
Agenda penting lainnya untuk dibahas adalah waktu dan durasi dari uji penetrasi dilakukan. Hal ini penting, karena akan memastikan bahwa dilakukan penetrasi sementara kegiatan bisnis dan operasional normal sehari-hari tetap berjalan dan tidak terganggu.
Salah satu hal yang perlu di bahas lainnya adalah apakah staf itu dari organisasi harus diberitahu sebelum uji penetrasi dilakukan atau tidak. Pemberitahuan mungkin tepat , tetapi dapat mengubah perilaku mereka dengan cara yang akan bisa mempengaruhi hasil uji penetrasi. Di sisi lain, memilih untuk tidak memperingatkan staf mungkin mengakibatkan mereka mengambil tindakan yang tidak perlu mempengaruhi kondisi yang sudah ada.
Pengumpulan Informasi dan Analisa
Setelah melakukan perencanaan dan persiapan yang diperlukan dengan organisasi (atau target) langkah berikutnya adalah untuk mengumpulkan informasi sebanyak mungkin tentang sistem target atau jaringan.. Tools dan sumberdaya nya cukup banyak dari mulai acunetix, vulnerability scanning, netcraft, nmaps dll..
Vulnerability Detection
Setelah mengumpulkan informasi yang relevan tentang sistem yang ditargetkan, berikutnya adalah langkah adalah untuk menentukan kerentanan yang ada di setiap sistem. penguji penetrasi harus memiliki koleksi eksploitasi dan kerentanan yang mereka miliki untuk ini . Tools yang digunakan umumnya setipe dengan nessus dari segi kemampuannya.
Setelah mengumpulkan informasi yang relevan tentang sistem yang ditargetkan, berikutnya adalah langkah adalah untuk menentukan kerentanan yang ada di setiap sistem. penguji penetrasi harus memiliki koleksi eksploitasi dan kerentanan yang mereka miliki untuk ini . Tools yang digunakan umumnya setipe dengan nessus dari segi kemampuannya.
Percobaan Penetrasi
Setelah menentukan kerentanan yang ada dalam sistem, tahap selanjutnya adalah mengidentifikasi target cocok untuk usaha penetrasi
Bayangkan sebuah skenario di mana dua penguji penetrasi yang diperlukan untuk melakukan uji penetrasi pada jaringan yang terdiri dari lebih dari 400 mesin. setelah pertemuan informasi yang memadai dan kerentanan tentang jaringan, mereka menemukan bahwa ada hanya 10 server pada jaringan dan sisanya PC hanya biasa digunakan oleh karyawan , maka bisa dikatakan 10 server ini lah yang akan jadi target utamanya. Adapun tools nya bisa meliputi password cracking, meta exploit, sql injection , ftp cracking dll.
Analisa dan Pelaporan
Setelah melakukan step step diatas maka selanjutnya adalah menghasilkan laporan. Hal ini harus diikuti dengan analisis dan komentar yang kritis terhadap kerentanan yang ada dalam jaringan atau system mulai dari prioritas yang paling rentan sd ke level yang kerentanannya memiliki impact yang kecil.
• Ringkasan dari setiap skenario penetrasi yang sukses
• Rinci daftar semua informasi yang dikumpulkan selama pengujian penetrasi
• Daftar rinci dari semua kerentanan yang ditemukan
• Deskripsi semua kerentanan yang ditemukan
• Saran dan teknik untuk mengatasi kerentanan ditemukan
Setelah melakukan step step diatas maka selanjutnya adalah menghasilkan laporan. Hal ini harus diikuti dengan analisis dan komentar yang kritis terhadap kerentanan yang ada dalam jaringan atau system mulai dari prioritas yang paling rentan sd ke level yang kerentanannya memiliki impact yang kecil.
• Ringkasan dari setiap skenario penetrasi yang sukses
• Rinci daftar semua informasi yang dikumpulkan selama pengujian penetrasi
• Daftar rinci dari semua kerentanan yang ditemukan
• Deskripsi semua kerentanan yang ditemukan
• Saran dan teknik untuk mengatasi kerentanan ditemukan
Pembersihan
Langkah terakhir adalah membersihkan semua jejak, log, output file hasil dari penetrasi yang sudah dilakukan. Daftar rinci dari semua kegiatan penetrasi, tools dan lainnya harus tetap dijaga kerahasiannya.
Hal yang perlu difahami adalah ada beda antara pengujian penetrasi dan assessment keamanan jaringan , suatu assessment penting pada level tertentu tetapi tidak dapat mencerminkan sejauh mana hacker akan mengeskploitasi vulnerability. Penetrasi adalah simulasi dengan serangan “real world “, serangan berbasis hacker sesungguhnya, seorang hacker tidak perlu menunggu sampai menemukan 10 kerentananan, mereka cukup menemukan 1 kerentanan yang kan di eksploitasi habis habisan untuk mendapatkan akses kedalam jaringan suatu organisasi.
0 comments:
Post a Comment