Apa itu pengujian penetrasi jaringan?

Tujuan dari pengujian penetrasi jaringan adalah untuk mengungkap dan mengidentifikasi kerentanan apa pun yang ada di dalam organisasi. Hal ini termasuk melakukan evaluasi mendalam terhadap langkah-langkah keamanan jaringan melalui pengujian eksternal dan pengujian internal, seperti pengujian aplikasi web, dan serangan phishing tiruan.

Cara kerja penetrasi jaringan adalah bahwa peretas etis, atau tim merah, menggunakan alat dan teknik peretasan untuk melakukan serangan siber tiruan pada sistem komputer suatu organisasi. Tujuannya adalah untuk berada di belakang firewall organisasi dan mendapatkan akses yang tidak sah.

Pengujian penetrasi jaringan dapat mencakup penyerangan aplikasi web, API, titik akhir, dan kontrol fisik. Simulasi serangan pada sistem operasi dapat mengungkapkan kelemahan keamanan dan menunjukkan kepada organisasi lokasi titik-titik lemahnya.

Serangan palsu membantu tim keamanan mengungkap kerentanan keamanan yang berkaitan dengan infrastruktur jaringan. Ancaman umum yang dapat diuji termasuk serangan denial-of-service terdistribusi (DDos), sistem nama domain (DNS), malware, phishing, dan injeksi SQL.

Penguji juga menggunakan alat bantu untuk melakukan pengintaian dan mengotomatisasi proses pengujian pena. Seringkali ada dua jenis tes yang digunakan: internal dan eksternal.

Pengujian jaringan internal: Dalam pengujian internal, penguji penetrasi bertindak sebagai penyerang internal atau seseorang yang mungkin mencoba melakukan tindakan jahat dengan kredensial yang dicuri. Tujuan utama dari jenis pengujian ini adalah untuk menemukan kerentanan yang mungkin digunakan oleh seseorang atau karyawan dari dalam organisasi. Simulasi ini dilakukan dengan mencuri informasi dan menyalahgunakan hak istimewa untuk mengakses data pribadi atau sensitif.

Pengujian jaringan eksternal: Layanan pengujian penetrasi jaringan eksternal dimaksudkan untuk meniru penyerang dari luar yang mencoba masuk ke dalam jaringan. Penguji penetrasi ini bekerja untuk menemukan masalah keamanan yang terhubung langsung ke internet, seperti server, router, situs web, aplikasi, dan komputer karyawan, yang merupakan risiko sumber terbuka.

Sering kali uji penetrasi jaringan mengikuti empat langkah spesifik. Pengujian berakhir dengan laporan uji pen jaringan, yang merupakan analisis terperinci tentang risiko bisnis dan temuan risiko.

Pada tahap pertama, peretas etis akan berdiskusi dengan pemangku kepentingan utama tentang tujuan keseluruhan dari pengujian dan kerentanan yang telah diidentifikasi oleh organisasi. Sebelum melakukan pengujian penetrasi, penilaian kerentanan harus dilakukan.

Dari sana, penguji penetrasi dan pemangku kepentingan memutuskan pengujian mana yang akan dilakukan dan metrik keberhasilan yang mereka rencanakan untuk digunakan. Penguji menggunakan beberapa alat dan metodologi yang berbeda untuk melakukan serangan palsu, seperti pemindaian port dan pemetaan jaringan (nmap).

Ada tiga jenis perspektif pengujian yang umum digunakan. Tergantung pada organisasi, metodologi ini dapat digunakan secara terpisah atau digabungkan.

Pengujian kotak hitam: Pengujian 'kotak hitam' menyimulasikan pendekatan peretas rata-rata, yang tidak memiliki pengetahuan internal tentang jaringan. Jenis pengujian ini adalah pengujian penetrasi eksternal karena tujuannya adalah menggunakan kerentanan di sisi akses untuk publik di dalam jaringan.

Pengujian kotak abu-abu: Jenis uji penetrasi jaringan ini lebih berfokus pada bagian internal dan bertujuan untuk menggambarkan peretas yang memiliki akses ke sistem internal. Pengujian ini juga tetap mempertahankan beberapa aspek peretas eksternal. Tes kotak abu-abu bertujuan untuk menjadi aktor jahat dalam suatu organisasi yang mungkin memiliki hak istimewa yang tinggi yang digunakan dengan cara yang jahat.

Pengujian kotak putih: Terakhir, pengujian kotak putih memiliki tingkat gangguan tertinggi dari tiga jenis pengujian keamanan. Tes ini dilakukan untuk menggambarkan seorang spesialis TI atau seseorang yang memiliki akses ke kode sumber organisasi dan semua data tentang sistem yang mungkin tersedia. Pengujian ini biasanya dilakukan terakhir untuk menguji integritas arsitektur TI. Dan selanjutnya memastikan kemungkinan peretas dan serangan siber ke sistem target tidak dapat ditembus.

Dalam fase pengintaian dan penemuan, penguji penetrasi mengambil data dari pengintaian untuk melakukan pengujian langsung dan menemukan kerentanan yang ada melalui sejumlah taktik, seperti rekayasa sosial. Dengan menggunakan alat yang menipu untuk memanipulasi individu agar mau berbagi informasi, para penguji penetrasi berharap dapat menemukan di mana letak titik-titik lemah dan menargetkan kerentanan tersebut.

Pada langkah penemuan, penguji penetrasi dapat menggunakan alat seperti pemindai port dan pemindai kerentanan. Pemindai port mengidentifikasi port terbuka pada sistem di mana peretas mungkin masuk dan pemindai kerentanan mengidentifikasi kerentanan yang ada pada sistem.

Langkah selanjutnya adalah menerapkan semua pekerjaan awal yang telah dilakukan hingga saat ini ke dalam tindakan. Pada langkah ini, penguji penetrasi melakukan uji penetrasi jaringan dengan menggunakan alat yang dapat menggunakan skrip atau mencoba mencuri data. Tujuannya adalah untuk mengetahui seberapa besar kerusakan yang dapat ditimbulkan oleh peretas etis dan jika mereka mendapatkan akses, tentukan berapa lama mereka dapat bertahan di dalam sistem.

Penguji pen dapat memulai dengan menguji satu kerentanan pada satu waktu tetapi harus melakukan pengujian pada beberapa kerentanan untuk memastikan bahwa pendekatan yang luas diambil untuk mengatasi risiko keamanan ini.

Langkah terakhir adalah mendokumentasikan uji penetrasi jaringan yang dilakukan, kemudian membahas hasil dari setiap uji tersebut dan mendiskusikan langkah-langkah remediasi dengan tim keamanan informasi. Laporan ini merinci seluruh proses dari awal hingga akhir dan mengidentifikasi kerentanan, bukti, data, dan rekomendasi untuk organisasi.

Laporan ini penting bagi pemilik bisnis untuk memiliki gambaran lengkap tentang risiko apa yang telah diidentifikasi dan analisis yang selanjutnya membantu mereka membuat keputusan yang tepat.