Feradhita (LOGIQUE), SEO consultant :
Ketika berbicara soal security vulnerabilities dan penetration testing istilah OWASP Top 10 seringkali disebut. Meskipun sudah beberapa kali dijelaskan, saya masih belum bisa memahami arti istilah tersebut sepenuhnya. Haha.
Bisa gak mas Iskandar jelaskan apa itu OWASP Top 10 secara sederhana agar bisa lebih mudah dipahami oleh orang-orang yang tidak terlalu paham soal keamanan siber seperti saya?
Iskandar (LOGIQUE), Security Consultant :
OWASP Top 10 adalah module standar atau framework yang biasa digunakan oleh pentester atau security auditor untuk melakukan audit terhadap software. Bisa dikatakan bahwa OWASP Top 10 merupakan kerangka berpikir atau kerangka kerja agar ketika melakukan pentesting bisa menjadi lebih terarah.
Feradhita (LOGIQUE), SEO consultant :
Oh... jadi OWASP Top 10 bisa disebut sebagai panduan saat melakukan security testing ya?
Iskandar (LOGIQUE), Security Consultant :
Iya. Sebenarnya, selain OWASP Top 10 ada beberapa guideline atau standar lain yang juga digunakan seperti NIST atau CREST, cuma memang yang paling diketahui secara luas atau banyak digunakan secara global adalah OWASP.
Feradhita (LOGIQUE), SEO consultant :
OWASP itu apa mas? Saya pernah membaca di artikel kalau OWASP itu adalah sebuah organisasi?
Iskandar (LOGIQUE), Security Consultant :
Iya, OWASP itu singkatan dari Open Worldwide Application Security Project yaitu sebuah organisasi non profit. Kalau di lihat di ruang lingkup teknologi ada banyak organisasi-organisasi non profit yang memang memberikan banyak kontribusi. Contohnya seperti ada WWW yang sebenarnya juga merupakan suatu organisasi dengan fokus pada pembuatan standar internet.
Nah, kalau OWASP berkontribusi membantu developer atau security auditor untuk menemukan masalah keamanan pada software.
Feradhita (LOGIQUE), SEO consultant :
Apakah OWASP itu hanya fokus pada keamanan web application?
Iskandar (LOGIQUE), Security Consultant :
Di OWASP ada banyak kategorinya. Jadi gak cuma keamanan siber pada web application saja tapi juga mobile app, infrastructure, dll.
Organisasi ini memang pada awalnya hanya fokus pada web application. Alasannya karena web application bisa diakses dengan mudah oleh semua orang secara global sehingga sering jadi target serangan siber. Namun sekarang fokusnya sudah berkembang hingga mobile app karena aplikasi seluler juga sudah banyak digunakan. Jadi target atau fokus dari OWASP ini adalah aplikasi atau software yang bisa diakses secara global, misal saya ada di Indonesia tapi bisa mengakses aplikasi atau website dari Amerika.
Feradhita (LOGIQUE), SEO consultant :
Maksud dari Top 10 di OWASP itu apa mas?
Iskandar (LOGIQUE), Security Consultant :
OWASP Top 10 adalah daftar 10 kerentanan keamanan yang paling sering ditemukan pada software. Harapannya dengan adanya daftar tersebut, software developer, pentest atau security auditor bisa lebih fokus, berhati-hati, dan dapat menghindarinya.
Untuk menentukan daftar yang masuk ke top 10, OWASP riset berdasarkan data. Tim OWASP melakukan enumerasi atau penghitungan serta sampling terhadap data-data security breach. Mereka kemudian membuat list dan menentukan 10 jenis kerentanan yang sering ditemukan.
Feradhita (LOGIQUE), SEO consultant :
Nah, top 10 yang disebutkan oleh OWASP itu isinya tentang kerentanan keamanan pada web application atau mobile app?
Iskandar (LOGIQUE), Security Consultant :
OWASP punya kategorinya sendiri-sendiri, ada top 10 untuk web application dan top 10 mobile app. Daftar kerentanan keamanannya juga berbeda-beda sesuai dengan platformnya masing-masing. Bahkan tidak menutup kemungkinan jika kedepannya OWASP juga akan fokus pada aplikasi IoT.
Feradhita (LOGIQUE), SEO consultant :
Bisa dijelaskan gak mas, bagaimana cara tim IT Security menggunakan daftar OWASP Top 10 sebagai panduan untuk mengidentifikasi kerentanan keamanan?
Iskandar (LOGIQUE), Security Consultant :
Di dalam OWASP ada checklist yang akan kami ikuti satu per-satu, seperti checking network, checking SSL, dan seterusnya sesuai guideline. Di sana ada step-by-step yang harus diikuti juga. Nah ketika ada yang tidak sesuai dengan guideline, peran pentester di sini adalah untuk melakukan eksploitasi. Selanjutnya, ketika kerentanan atau celah keamanan berhasil dieksploitasi, maka pentester akan menginformasikan level risiko yang bisa ditimbulkan apakah itu high, medium, atau low.
Oleh karena itulah, pentester harus memiliki pengalaman dan pengetahuan teknis untuk melakukan eksploitasi. Misalnya ada aplikasi yang jalan di PHP dan aplikasi dengang Golang, maka dia harus tahu cara untuk mengeksploitasi code-nya karena berbeda bahasa pemrograman maka cara eksploitasinya juga berbeda.
Feradhita (LOGIQUE), SEO consultant :
Wah berarti IT security atau pentester harus bisa banyak bahasa pemrograman?
Iskandar (LOGIQUE), Security Consultant :
Security pentester harus memiliki pengetahuan tentang beragam bahasa pemrograman. Setidaknya, mereka harus tahu pengetahuan dasar.
Meskipun demikian, pentester yang baik dan profesional biasanya akan menguasai banyak bahasa pemrograman. Semakin banyak yang dia ketahui, maka semakin banyak teknik eksploitasi yang bisa mereka praktikan.
Feradhita (LOGIQUE), SEO consultant :
Dari kesepuluh daftar kerentanan di OWASP Top 10, selama mas Iskandar melakukan pentest di berbagai perusahaan, jenis kerentanan apa aja paling sering ditemukan?
Iskandar (LOGIQUE), Security Consultant :
Sama sesuai daftar yang disebutkan di OWASP. Jadi, data yang mereka sediakan itu memang benar-benar valid. Haha.
Tapi dari kesepuluh daftar di OWASP, jenis kerentanan yang paling sering ditemukan adalah Injection dan Broken Access Control. Kadang ada juga kerentanan yang tidak termasuk di OWASP Top 10, tapi kebanyakan itu ditemukan di aplikasi-aplikasi dengan teknologi lama.
Feradhita (LOGIQUE), SEO consultant :
Karena teknologi terus berkembang, apa OWASP Top 10 juga selalu diperbarui?
Iskandar (LOGIQUE), Security Consultant :
Ya, OWASP Top 10 diperbarui secara berkala oleh komunitas Open Worldwide Application Security Project (OWASP). Revisi biasanya terjadi dalam rentang beberapa tahun ketika ada perubahan teknologi yang signifikan.
Feradhita (LOGIQUE), SEO consultant :
Kalau tahun 2023 ini ada serangan siber baru mas?
Iskandar (LOGIQUE), Security Consultant :
Ya tiap tahun pasti ada serangan siber baru. Contohnya sekarang ada serangan siber bernama “zenbleed” yaitu vulnerability yang mempengaruhi CPU atau processor.
Feradhita (LOGIQUE), SEO consultant :
Nah, kalau kasus kebocoran data pada salah satu bank di Indonesia kemarin gara-gara serangan apa?
Iskandar (LOGIQUE), Security Consultant :
Terkait kasus bank kemarin, ketika dilihat data awal yang bocor adalah data laptop. Jadi diasumsikan bahwa penyebab kebocoran data tersebut berasal dari human error misal karyawan yang terkena serangan social engineering karena download aplikasi tidak sah atau membuka link phishing sehingga mengakibatkan perangkat terinfeksi malware. Ini masih asumsi ya karena belum ada penjelasan lebih lanjut dari pihak terkait. Jadi jenis serangan pada kasus bank kemarin tidak termasuk kerentanan web app ataupun mobile app sehingga tidak ada di dalam list OWASP Top 10.
Feradhita (LOGIQUE), SEO consultant :
Untuk menghindari kasus serupa seperti yang dialami bank tersebut, perusahaan bisa memanfaatkan solusi phishing simulation dari LOGIQUE ya mas?
Iskandar (LOGIQUE), Security Consultant :
Betul! Phishing simulation adalah salah satu solusi untuk meningkatkan security awareness karyawan. Jadi kita tidak boleh buka link yang tidak tepercaya, tidak boleh mudah percaya dengan email yang masuk, atau mengangkat telepon dari pihak-pihak yang tidak bisa dipercaya. Dengan meningkatkan security awareness, maka perusahaan dapat meminimalisir human weakness yang bisa dimanfaatkan oleh penjahat siber untuk membobol akses ke data rahasia perusahaan.
Feradhita (LOGIQUE), SEO consultant :
Sebagai konsultan IT security, bisa beri tips atau langkah-langkah praktis yang bisa diambil oleh developer yang ingin menghindari kerentanan keamanan di OWASP Top 10?
Iskandar (LOGIQUE), Security Consultant :
Lakukan apa yang sudah direkomendasikan OWASP. Dengan mengikuti panduan yang sudah diberikan, web app ataupun mobile app akan memiliki sistem keamanan yang baik. Selanjutkan perusahaan juga bisa memanfaatkan jasa penetration testing untuk membantu mendeteksi kerentanan keamanan yang tidak disadari oleh tim developer.
Feradhita (LOGIQUE), SEO consultant :
Terimakasih banyak mas Iskandar atas penjelasannya. Sekarang saya jadi lebih bisa memahami apa itu OWASP Top 10.
Iskandar (LOGIQUE), Security Consultant :
Sama-sama. Senang bisa membantu memberikan penjelasan yang mudah dipahami tentang OWASP Top 10.