Penetration Testing (Pentest) Bagi Pemula

Jika Anda merupakan penggemar kisah Science Fiction (SciFi) terutama dengan tema besar teknologi, pasti Anda tidak asing dengan proses cracking dan hacking yang dilakukan dalam kisah tersebut. Proses cracking dapat didefinisikan sebagai perusakan atau pembobolan sistem keamanan IT, seperti merusak, mengambil, dan memanupulasi data, dengan tujuan untuk merugikan orang lain. Kegiatan cracking ini lah yang kerap kali disalah artikan sebagai hacking sehingga orang-orang yang melakukan cracking banyak disebut sebagai Hacker, alih-alih Cracker.

Hacking sendiri merupakan kegiatan dengan tujuan yang bertolak belakang dengan Cracking. Dalam prosesnya, hacker melakukan peretasan, pengetesan, dan manipulasi data semata-mata untuk mengetes keamanan sistem IT sesuai dengan izin pemilik sistem tersebut. Ada pula kegiatan serupa yang memang direncanakan dalam proses pembuatan dan pengembangan sistem IT, dan dinamakan Penetration Testing (Pentest) atau Pengujian Penetrasi. Adapun beberapa pihak lebih senang untuk menyebutnya sebagai Security Assesment.

Mengenal Pentest Lebih Jauh

Pentest merupakan simulasi serangan siber yang ditujukan ke sistem keamanan komputer. Serangan ini dilakukan secra etis untuk menemukan celah keamanan sistem yang harus diperbaiki oleh pengelola. Yang dimaksud “etis” dalam hal ini adalah bahwa kegiatan hacking dilakukan secara legal dan dengan persetujuan pengembang/pemilik/pengelola sistem.  Dalam proses produksi barang pada umumnya, kegiatan ini bisa diibaratkan sebagai Quality Assurance dalam bidang sistem keamanan IT.

Pentest meliputi proses pemindaian port dan manajemen risiko. Lalu, apa yang sebenarnya dilakukan dalam proses tersebut? Sebagai gambaran, pengembang membangun gedung bertingkat untuk digunakan sebagai kantor bank – alih-alih sistem IT. Pentest pemindaian port diibaratkan sebagai proses menghitung berapa jumlah pintu, jendela, maupun ruangan yang ada di gedung tersebut. Kemudian, manajemen risiko akan berusaha untuk mendobrak seluruh pintu, jendela, dan segala celah di gedung tersebut agar pencuri dapat masuk dan membobol uang yang ada di brankas bank. Dalam hal sistem IT, yang biasanya akan ditest adalah perangkat lunak (software), firewall, encryption, IDS/IPS, dan DLP. Pentest kemudian akan mencoba untuk mengambil alih kendali sistem dan membobol data yang ada.

Baca Juga: 6 Rekomendasi Anti Ransomware untuk Melindungi Perangkat Anda

Manfaat Penetration Testing

Pentest sangat berguna bagi pengelola sistem dalam mencegah serangan keamanan yang bisa terjadi di waktu mendatang. Meskipun Pentest dapat memakan biaya, tetapi jika dihitung berdasarkan risiko, maka biaya Pentest akan jauh lebih kecil disbanding biaya kerugian dari kerusakan sistem, pembobolan dan pencurian data akibat serangan keamanan sistem yang terjadi di masa depan.

Biasanya, para pengembang menggunakan jasa professional dalam melakukan Pentest. Penting bagi mereka untuk melakukan diskusi dan konsultasi dengan pakar mengenai Pentest sebelum dilakukan. Ada beberapa pertimbangan agar Pentest dilakukan secara hati-hati, salah satunya adalah agar tidak merusak jaringan. Kerusakan jaringan akan berdampak pada bisnis secara keseluruhan, apalagi jika sistem dibuat untuk bisnis dengan skala menengah sampai besar. Pada dasarnya, sebelum Pentest pertama dilakukan, pengembang belum mengetahui titik kelemahan dari sistem yang dibangunnya. Oleh karena itu, konsultasi dibutuhkan untuk mengurangi risiko kerusakan jaringan setelah dilakukan Pentest.

Konsultasi yang dilakukan dengan pakar juga akan memberikan wawasan kepada pengembang akan kerentanan sistem keamanan mereka. Konsultasi dengan pakar dapat dilakukan sebelum dan setelah Pentest agar mendapatkan hasil yang memuaskan. Diharapkan, setelah Pentest, maka produk akhir aman untuk dijual atau dilepas ke pasar.

Yang Diuji dalam Pentest

Aplikasi Web

Seiring dengan semakin menjamurnya penggunaan website untuk bisnis dan perusahaan, maka penting untuk melakukan Pentest untuk aplikasi web. Ada dua sisi yang biasanya dilakukan uji coba yakni dari server dan dari sisi klien. Biaya dan juga waktu yang dikeluarkan untuk Pentest aplikasi web tentu saja tidak sedikit, tetapi perlu diingat jika sebagian besar serangan cracker diluncurkan ke aplikasi web. Oleh karena itu, Anda benar-benar harus mempertimbangkan Pentest dan melakukannya secara matang untuk melindungi bisnis Anda.

Infrastruktur Jaringan

Salah satu serangan paling gencar oleh cracker ditujukan ke infrastruktur jaringan IT. Pentest dalam infrastruktur jaringan berfokus pada infrastruktur internal seperti pada Next-Generation Intrusion Prevention System atau NGIPS. Pentest juga dapat difokuskan untuk infrastruktur eksternal seperti mencoba untuk membobol firewall eksternal yang saat dalam pengembangan dikonfigurasi dengan buruk. Dalam Pentest infrastruktur jaringan juga dapat dilakukan uji terhadap router.

Nirkabel

Seperti namanya, pengujian ini dilakukan terhadap jaringan nirkabel. Yang ditest dalam jaringan nirkabel adalah identifikasi dan eksploitasi konfigurasi jaringan nirkabel yang tidak aman serta sistem otentikasi yang lemah. Jika konfigurasi jaringan nirkabel lemah dan rentan, maka pihak ketiga dapat membobol akses ke jaringan kabel bahkan dari luar gedung.

Saat ini bisnis juga lebih banyak menggunakan gadget atau perangkat selular dibanding PC. Oleh karena itu, Pentest juga diperlukan untuk menguji apakah gadget yang digunakan oleh karyawan Anda dapat dibobol di jaringan terbuka.

Fisik

Selain melakukan Pentest untuk sistem IT, Anda juga dapat melakukan Pentest untuk keamanan fisik bisnis atau perusahaan Anda. Yang biasanya dilakukan adalah mencari akses gedung, dan mencari dokumen penting yang dibuang tetapi masih dapat digunakan dan berbahaya untuk kelangsungan bisnis perusahaan Anda. Pentest ini biasanya dilakukan dengan mencoba menguping atau mengorek informasi serta meletakkan perangkat di kantor Anda yang selanjutnya akan digunakan untuk membuka akses bagi mereka.

Kedengarannya sepele, tetapi inilah alasan besar mengapa Pentest fisik ini sangat krusial. Kebanyakan perusahaan akan berusaha untuk meningkatkan sistem keamanan IT mereka tetapi mereka lalai jika suatu saat ada penyusup yang masuk ke kantor mereka untuk mencuri data atau dokumen berharga. Dan cara mereka pun beragam dan bisa dalam bentuk yang sangat simpel, seperti meminta kode akses Wi-Fi atau meminta untuk masuk ke dalam gedung tanpa akses berpura-pura sebagai karyawan.

Rekayasa Sosial

Mungkin Anda sudah familiar dengan istilah phising, baiting, atau bahkan pretexting. Saat ini kejahatan siber yang paling banyak terjadi mungkin phising kartu kredit. Misalnya, Phising dilakukan dengan membuat halaman web palsu yang identik dengan halaman web asli. Kemudian korban akan diberikan link halaman web palsu tersebut dan memasukkan informasi credential ke dalam web (misal: halaman pembayaran belanja dengan kartu kredit). Kemudian, cracker akan menyalin informasi korban tersebut untuk disalahgunakan.

Hal sama juga dapat terjadi di perusahaan Anda. Karyawan Anda mungkin akan mengklik e-mail phising dalam inbox mereka, mengklik tombol apapun yang bisa jadi merupakan tombol untuk memberikan akses data tertentu, atau bahkan mengunduh malware. Dalam scenario lain, karyawan Anda mungkin secara tidak sengaja menemukan perangkat USB (flashdisk) kemudian mencolokkannya ke perangkat komputer di kantor Anda. Tanpa diketahui, di dalam flashdisk tersebut terdapat malware yang dapat membahayakan keamanan sistem IT Anda. Pentest rekayasa sosial ini berguna untuk melihat tingkat risiko karyawan Anda sendiri dalam keamanan sistem.

Baca Juga: Ancaman Sistem Perbankan Online: Apa Itu Banking Trojan ?

Layanan Logique Digital Indonesia

Logique Digital Indonesia memiliki jasa penetration testing untuk meningkatkan keamanan pada sistem yang Anda kembangkan. Kami memiliki tim IT security berpengalaman untuk membantu Anda. Silakan klik Layanan Pentest Logique atau klik hubungi kami untuk mendapat informasi lebih lanjut.

Related Posts