Penjelasan Tentang Apa Itu OWASP Top 10 oleh Konsultan Keamanan Siber LOGIQUE

Oh... jadi OWASP Top 10 bisa disebut sebagai panduan saat melakukan security testing ya?

Iya. Sebenarnya, selain OWASP Top 10 ada beberapa guideline atau standar lain yang juga digunakan seperti NIST atau CREST, cuma memang yang paling diketahui secara luas atau banyak digunakan secara global adalah OWASP.

OWASP itu apa mas? Saya pernah membaca di artikel kalau OWASP itu adalah sebuah organisasi?

Iya, OWASP itu singkatan dari Open Worldwide Application Security Project yaitu sebuah organisasi non profit. Kalau di lihat di ruang lingkup teknologi ada banyak organisasi-organisasi non profit yang memang memberikan banyak kontribusi. Contohnya seperti ada WWW yang sebenarnya juga merupakan suatu organisasi dengan fokus pada pembuatan standar internet.

Nah, kalau OWASP berkontribusi membantu developer atau security auditor untuk menemukan masalah keamanan pada software.

Apakah OWASP itu hanya fokus pada keamanan web application?

Di OWASP ada banyak kategorinya. Jadi gak cuma keamanan siber pada web application saja tapi juga mobile app, infrastructure, dll.

Organisasi ini memang pada awalnya hanya fokus pada web application. Alasannya karena web application bisa diakses dengan mudah oleh semua orang secara global sehingga sering jadi target serangan siber. Namun sekarang fokusnya sudah berkembang hingga mobile app karena aplikasi seluler juga sudah banyak digunakan. Jadi target atau fokus dari OWASP ini adalah aplikasi atau software yang bisa diakses secara global, misal saya ada di Indonesia tapi bisa mengakses aplikasi atau website dari Amerika.

Maksud dari Top 10 di OWASP itu apa mas?

OWASP Top 10 adalah daftar 10 kerentanan keamanan yang paling sering ditemukan pada software. Harapannya dengan adanya daftar tersebut, software developer, pentest atau security auditor bisa lebih fokus, berhati-hati, dan dapat menghindarinya.

Untuk menentukan daftar yang masuk ke top 10, OWASP riset berdasarkan data. Tim OWASP melakukan enumerasi atau penghitungan serta sampling terhadap data-data security breach. Mereka kemudian membuat list dan menentukan 10 jenis kerentanan yang sering ditemukan.

Bisa dijelaskan gak mas, bagaimana cara tim IT Security menggunakan daftar OWASP Top 10 sebagai panduan untuk mengidentifikasi kerentanan keamanan?

Di dalam OWASP ada checklist yang akan kami ikuti satu per-satu, seperti checking network, checking SSL, dan seterusnya sesuai guideline. Di sana ada step-by-step yang harus diikuti juga. Nah ketika ada yang tidak sesuai dengan guideline, peran pentester di sini adalah untuk melakukan eksploitasi. Selanjutnya, ketika kerentanan atau celah keamanan berhasil dieksploitasi, maka pentester akan menginformasikan level risiko yang bisa ditimbulkan apakah itu high, medium, atau low.

Oleh karena itulah, pentester harus memiliki pengalaman dan pengetahuan teknis untuk melakukan eksploitasi. Misalnya ada aplikasi yang jalan di PHP dan aplikasi dengang Golang, maka dia harus tahu cara untuk mengeksploitasi code-nya karena berbeda bahasa pemrograman maka cara eksploitasinya juga berbeda.

Wah berarti IT security atau pentester harus bisa banyak bahasa pemrograman?

Security pentester harus memiliki pengetahuan tentang beragam bahasa pemrograman. Setidaknya, mereka harus tahu pengetahuan dasar.

Meskipun demikian, pentester yang baik dan profesional biasanya akan menguasai banyak bahasa pemrograman. Semakin banyak yang dia ketahui, maka semakin banyak teknik eksploitasi yang bisa mereka praktikan.

Dari kesepuluh daftar kerentanan di OWASP Top 10, selama mas Iskandar melakukan pentest di berbagai perusahaan, jenis kerentanan apa aja paling sering ditemukan?

Sama sesuai daftar yang disebutkan di OWASP. Jadi, data yang mereka sediakan itu memang benar-benar valid. Haha.

Tapi dari kesepuluh daftar di OWASP, jenis kerentanan yang paling sering ditemukan adalah Injection dan Broken Access Control. Kadang ada juga kerentanan yang tidak termasuk di OWASP Top 10, tapi kebanyakan itu ditemukan di aplikasi-aplikasi dengan teknologi lama.

Karena teknologi terus berkembang, apa OWASP Top 10 juga selalu diperbarui?

Ya, OWASP Top 10 diperbarui secara berkala oleh komunitas Open Worldwide Application Security Project (OWASP). Revisi biasanya terjadi dalam rentang beberapa tahun ketika ada perubahan teknologi yang signifikan.

Kalau tahun 2023 ini ada serangan siber baru mas?

Ya tiap tahun pasti ada serangan siber baru. Contohnya sekarang ada serangan siber bernama “zenbleed” yaitu vulnerability yang mempengaruhi CPU atau processor.

Nah, kalau kasus kebocoran data pada salah satu bank di Indonesia kemarin gara-gara serangan apa?

Terkait kasus bank kemarin, ketika dilihat data awal yang bocor adalah data laptop. Jadi diasumsikan bahwa penyebab kebocoran data tersebut berasal dari human error misal karyawan yang terkena serangan social engineering karena download aplikasi tidak sah atau membuka link phishing sehingga mengakibatkan perangkat terinfeksi malware. Ini masih asumsi ya karena belum ada penjelasan lebih lanjut dari pihak terkait. Jadi jenis serangan pada kasus bank kemarin tidak termasuk kerentanan web app ataupun mobile app sehingga tidak ada di dalam list OWASP Top 10.

Untuk menghindari kasus serupa seperti yang dialami bank tersebut, perusahaan bisa memanfaatkan solusi phishing simulation simulation dari LOGIQUE ya mas?

Betul! Phishing simulation adalah salah satu solusi untuk meningkatkan security awareness karyawan. Jadi kita tidak boleh buka link yang tidak tepercaya, tidak boleh mudah percaya dengan email yang masuk, atau mengangkat telepon dari pihak-pihak yang tidak bisa dipercaya. Dengan meningkatkan security awareness, maka perusahaan dapat meminimalisir human weakness yang bisa dimanfaatkan oleh penjahat siber untuk membobol akses ke data rahasia perusahaan.

Sebagai konsultan IT security, bisa beri tips atau langkah-langkah praktis yang bisa diambil oleh developer yang ingin menghindari kerentanan keamanan di OWASP Top 10?

Lakukan apa yang sudah direkomendasikan OWASP. Dengan mengikuti panduan yang sudah diberikan, web app ataupun mobile app akan memiliki sistem keamanan yang baik. Selanjutkan perusahaan juga bisa memanfaatkan jasa penetration testing untuk membantu mendeteksi kerentanan keamanan yang tidak disadari oleh tim developer.

Terimakasih banyak mas Iskandar atas penjelasannya. Sekarang saya jadi lebih bisa memahami apa itu OWASP Top 10.

Sama-sama. Senang bisa membantu memberikan penjelasan yang mudah dipahami tentang OWASP Top 10.