Metodologi dan standar pengujian penetrasi

Ruang online terus berkembang dengan cepat, membuka lebih banyak kesempatan untuk serangan siber yang terjadi di dalam sistem komputer, jaringan, atau aplikasi web. Untuk memitigasi dan mempersiapkan diri menghadapi risiko tersebut, pengujian penetrasi merupakan langkah penting dalam menemukan kerentanan keamanan yang mungkin digunakan penyerang.

Uji penetrasi, adalah tes keamanan yang dijalankan untuk mengejek serangan siber dalam aksi. Serangan siber dapat mencakup upaya phishing atau pelanggaran sistem keamanan jaringan. Ada berbagai jenis pengujian penetrasi yang tersedia untuk organisasi tergantung pada kontrol keamanan yang dibutuhkan. Pengujian dapat dijalankan secara manual atau dengan alat bantu otomatis melalui lensa tindakan tertentu, atau metodologi pengujian penetrasi.

Istilah “peretasan etis” dan “pengujian penetrasi” kadang-kadang digunakan secara bergantian, tetapi ada perbedaan. Peretasan etis adalah bidang keamanan siber yang lebih luas yang mencakup penggunaan keterampilan peretasan untuk meningkatkan keamanan jaringan. Uji penetrasi hanyalah salah satu metode yang digunakan peretas etis. Peretas etis juga dapat menyediakan analisis malware, penilaian risiko, dan alat serta teknik peretasan lainnya untuk mengungkap dan memperbaiki kelemahan keamanan, dan bukannya membahayakan.

Laporan Biaya Pelanggaran Data IBM 2023 menemukan biaya rata-rata global dari pelanggaran data pada tahun 2023 menjadi 4,45 juta USD, meningkat 15% selama 3 tahun. Salah satu cara untuk mengurangi pelanggaran ini adalah dengan melakukan pengujian penetrasi yang akurat dan tajam.

Perusahaan menyewa penguji penetrasi untuk meluncurkan serangan simulasi terhadap aplikasi, jaringan, dan aset lainnya mereka. Dengan melakukan serangan palsu, penguji penetrasi membantu tim keamanan mengungkap kerentanan keamanan penting dan meningkatkan postur keamanan secara keseluruhan. Serangan ini sering dilakukan oleh tim merah, atau tim keamanan ofensif. Tim merah mensimulasikan taktik, teknik, dan prosedur (TTP) penyerang yang sebenarnya terhadap sistem organisasi sebagai cara untuk menilai risiko keamanan.

Ada beberapa metodologi pengujian penetrasi yang perlu dipertimbangkan saat Anda memasuki proses pengujian. Pilihan organisasi akan bergantung pada Kategori organisasi target, tujuan uji penetrasi, dan cakupan uji keamanan. Tidak ada satu pendekatan yang cocok untuk semuanya. Ini mengharuskan organisasi untuk memahami masalah keamanan dan kebijakan keamanannya agar ada analisis kerentanan yang adil sebelum proses pengujian penetrasi.

Salah satu langkah pertama dalam proses pengujian penetrasi adalah memutuskan metodologi mana yang harus diikuti.

Di bawah ini, kami akan membahas lima kerangka kerja pengujian penetrasi dan metodologi pengujian pen yang paling populer untuk membantu memandu para pemangku kepentingan dan organisasi pada metode terbaik untuk kebutuhan spesifik mereka dan memastikan metode tersebut mencakup semua area yang diperlukan.

1. Open-Source Security Testing Methodology Manual

Open-Source Security Testing Methodology Manual (OSSTMM) adalah salah satu standar pengujian penetrasi yang paling populer. Metodologi ini ditinjau oleh rekan sejawat untuk pengujian keamanan dan dibuat oleh Institute for Security and Open Methodologies (ISECOM).

Metode ini didasarkan pada pendekatan ilmiah untuk pengujian pena dengan panduan yang dapat diakses dan dapat disesuaikan untuk penguji. OSSTMM mencakup fitur-fitur utama, seperti fokus operasional, pengujian saluran, metrik, dan analisis kepercayaan dalam metodologinya.

OSSTMM menyediakan kerangka kerja untuk pengujian penetrasi jaringan dan penilaian kerentanan untuk para profesional pengujian pena. Hal ini dimaksudkan sebagai kerangka kerja bagi penyedia layanan untuk menemukan dan menyelesaikan kerentanan, seperti data sensitif dan masalah seputar autentikasi.

2. Open Web Application Security Project

OWASP, singkatan dari Open Web Application Security Project, adalah sebuah organisasi sumber terbuka khusus untuk keamanan aplikasi web.

Tujuan organisasi nirlaba ini adalah untuk membuat semua materinya gratis dan mudah diakses bagi siapa saja yang ingin meningkatkan keamanan aplikasi web mereka sendiri. OWASP memiliki Top 10 mereka sendiri (tautan berada di luar ibm.com), yang merupakan laporan yang terpelihara dengan baik yang menguraikan masalah keamanan terbesar dan risiko untuk aplikasi web, seperti skrip lintas situs, otentikasi yang rusak, dan berada di balik firewall. OWASP menggunakan daftar 10 teratas sebagai dasar untuk Panduan Pengujian OWASP. 

Panduan ini dibagi menjadi tiga bagian: Kerangka kerja pengujian OWASP untuk pengembangan aplikasi web, metodologi pengujian aplikasi web, dan pelaporan. Metodologi aplikasi web dapat digunakan secara terpisah atau sebagai bagian dari kerangka kerja pengujian web untuk pengujian penetrasi aplikasi web, pengujian penetrasi aplikasi seluler, pengujian penetrasi API, dan pengujian penetrasi IoT.

3. Standar Eksekusi Pengujian Penetrasi

PTES, atau Penetration Testing Execution Standard, adalah metode pengujian penetrasi yang komprehensif.

PTES dirancang oleh tim profesional keamanan informasi dan terdiri dari tujuh bagian utama yang mencakup semua aspek pengujian pena. Tujuan dari PTES adalah untuk memiliki panduan teknis untuk menguraikan apa yang diharapkan organisasi dari uji penetrasi dan memandu mereka selama prosesnya, mulai dari tahap awal interaksi.

PTES bertujuan untuk menjadi dasar bagi uji penetrasi dan menyediakan metodologi standar bagi para profesional dan organisasi keamanan. Panduan ini menyediakan berbagai sumber daya, seperti praktik terbaik dalam setiap tahap proses pengujian penetrasi, dari awal hingga akhir. Beberapa fitur utama PTES adalah eksploitasi dan pasca eksploitasi. Eksploitasi mengacu pada proses mendapatkan akses ke sistem melalui teknik penetrasi seperti rekayasa sosial dan pemecahan kata sandi. Eksploitasi pasca adalah ketika data diekstraksi dari sistem yang dikompromikan dan akses dipertahankan.

4. Kerangka Kerja Penilaian Keamanan Sistem Informasi

Information System Security Assessment Framework (ISSAF) adalah kerangka kerja pengujian penetrasi yang didukung oleh Information Systems Security Group (OISSG).

Metodologi ini tidak lagi dipertahankan dan kemungkinan bukan sumber terbaik untuk informasi terkini. Namun, salah satu kekuatan utamanya adalah metodologi ini menghubungkan langkah-langkah pengujian pen individu dengan alat pengujian pen yang spesifik. Jenis format ini dapat menjadi landasan yang baik untuk menciptakan metodologi individual.

5. Institut Standar dan Teknologi Nasional

NIST, kependekan dari National Institute of Standards and Technology, adalah kerangka kerja keamanan siber yang menyediakan seperangkat standar pengujian penetrasi untuk diikuti oleh pemerintah federal dan organisasi luar. NIST adalah lembaga di Departemen Perdagangan AS dan harus dianggap sebagai standar minimum untuk diikuti.

Pengujian penetrasi NIST selaras dengan panduan yang dikirim oleh NIST. Untuk mematuhi panduan tersebut, organisasi harus melakukan uji penetrasi dengan mengikuti serangkaian pedoman yang telah ditentukan sebelumnya.

Tetapkan cakupan

Sebelum uji penetrasi dimulai, tim penguji dan perusahaan menetapkan ruang lingkup untuk pengujian. Ruang lingkup menguraikan sistem mana yang akan diuji, kapan pengujian akan terjadi, dan metode yang dapat digunakan penguji penetrasi. Ruang lingkup juga menentukan berapa banyak informasi yang akan dimiliki penguji penetrasi sebelumnya.

Mulai pengujian

Langkah selanjutnya adalah menguji rencana lingkup dan menilai kerentanan dan fungsionalitas. Pada langkah ini, pemindaian jaringan dan kerentanan dapat dilakukan untuk mendapatkan pemahaman yang lebih baik tentang infrastruktur organisasi. Pengujian internal dan pengujian eksternal dapat dilakukan tergantung pada kebutuhan organisasi. Ada berbagai pengujian yang dapat dilakukan oleh penguji penetrasi, termasuk pengujian kotak hitam, pengujian kotak putih, dan pengujian kotak abu-abu. Masing-masing memberikan tingkat informasi yang berbeda-beda tentang sistem target.

Setelah gambaran umum jaringan dibuat, penguji dapat mulai menganalisis sistem dan aplikasi dalam ruang lingkup yang diberikan. Pada langkah ini, penguji penetrasi mengumpulkan informasi sebanyak mungkin untuk memahami kesalahan konfigurasi.

Laporkan temuan

Langkah terakhir adalah melaporkan dan mengevalusi. Pada langkah ini, penting untuk mengembangkan laporan pengujian penetrasi dengan semua temuan dari pengujian yang menguraikan kerentanan yang diidentifikasi. Laporan tersebut harus mencakup rencana mitigasi dan potensi risiko jika remediasi tidak terjadi.

Jika Anda mencoba menguji semuanya, Anda akan membuang-buang waktu, anggaran, dan sumber daya. Dengan menggunakan platform komunikasi dan kolaborasi dengan data historis, Anda dapat memusatkan, mengelola, dan memprioritaskan jaringan, aplikasi, perangkat, dan aset berisiko tinggi lainnya untuk mengoptimalkan program pengujian keamanan Anda. Portal X-Force® Red memungkinkan semua orang yang terlibat dalam remediasi untuk melihat temuan pengujian segera setelah kerentanan ditemukan dan menjadwalkan pengujian keamanan sesuai keinginan mereka.