Uji penetrasi, atau "pen test", adalah tes keamanan yang meluncurkan serangan siber tiruan untuk menemukan kerentanan dalam sistem komputer.
Penguji penetrasi adalah profesional keamanan yang ahli dalam bidang peretasan etis, yaitu penggunaan alat dan teknik peretasan untuk memperbaiki kelemahan keamanan dan bukan untuk membahayakannya. Perusahaan menyewa penguji penetrasi untuk meluncurkan simulasi serangan terhadap aplikasi, jaringan, dan aset mereka lainnya. Dengan melakukan serangan palsu, penguji penetrasi membantu tim keamanan mengungkap kerentanan keamanan yang sangat penting dan meningkatkan postur keamanan secara keseluruhan.
Istilah "peretasan etis" dan "pengujian penetrasi" terkadang digunakan secara bergantian, tetapi ada perbedaannya. Peretasan etis adalah bidang keamanan siber yang lebih luas yang mencakup penggunaan keterampilan peretasan untuk meningkatkan keamanan jaringan. Uji penetrasi hanyalah salah satu metode yang digunakan peretas etis. Peretas etis juga dapat menyediakan analisis malware, penilaian risiko, dan layanan lainnya.
Buletin industri
Ikuti perkembangan tren industri yang paling penting—dan menarik—di bidang AI, otomatisasi, data, dan lainnya dengan buletin Think. Lihat Pernyataan Privasi IBM.
Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM kami untuk informasi lebih lanjut.
Ada tiga alasan utama mengapa perusahaan melakukan uji pen.
Uji penetrasi lebih komprehensif dibandingkan penilaian kerentanan saja. Uji penetrasi dan penilaian kerentanan membantu tim keamanan mengidentifikasi kelemahan dalam aplikasi, perangkat, dan jaringan. Namun, metode-metode ini memiliki tujuan yang sedikit berbeda, sehingga banyak organisasi yang menggunakan keduanya alih-alih mengandalkan salah satunya.
Penilaian kerentanan biasanya berupa pemindaian otomatis berulang yang mencari kerentanan yang diketahui dalam sistem dan menandainya untuk ditinjau. Tim keamanan menggunakan penilaian kerentanan untuk memeriksa kelemahan umum dengan cepat.
Uji penetrasi satu langkah lebih maju. Saat penguji pen menemukan kerentanan, mereka mengeksploitasinya dalam serangan simulasi yang meniru perilaku peretas jahat. Hal ini memberikan pemahaman mendalam kepada tim keamanan tentang bagaimana peretas yang sebenarnya dapat mengeksploitasi kerentanan untuk mengakses data sensitif atau mengganggu operasi. Daripada mencoba menebak-nebak apa yang mungkin dilakukan oleh peretas, tim keamanan dapat menggunakan pengetahuan ini untuk merancang kontrol keamanan jaringan untuk menghadapi ancaman siber di dunia nyata.
Karena penguji penetrasi menggunakan proses otomatis dan manual, mereka mengungkap kerentanan yang diketahui dan tidak diketahui. Karena penguji penetrasi secara aktif mengeksploitasi kelemahan yang mereka temukan, mereka lebih kecil kemungkinannya untuk menghasilkan sinyal positif palsu; Jika mereka dapat mengeksploitasi kelemahan, penjahat siber pun dapat melakukannya. Dan karena layanan pengujian penetrasi disediakan oleh pakar keamanan pihak ketiga, yang menerapkan pendekatan sistem dari sudut pandang peretas, pengujian penetrasi sering kali menemukan kekurangan yang mungkin terlewatkan oleh tim keamanan internal.
Pakar keamanan siber merekomendasikan pengujian penetrasi. Banyak pakar dan otoritas keamanan siber merekomendasikan uji penetrasi sebagai tindakan keamanan proaktif. Misalnya, pada tahun 2021, pemerintah federal AS mendesak perusahaan untuk menggunakan uji penetrasi untuk mempertahankan diri dari serangan ransomware.
Pengujian penetrasi mendukung kepatuhan terhadap peraturan. Peraturan keamanan data seperti Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) dan General Data Protection Regulation (GDPR) mewajibkan kontrol keamanan tertentu. Uji penetrasi dapat membantu perusahaan membuktikan kepatuhan terhadap peraturan ini dengan memastikan kontrol mereka berfungsi sebagaimana mestinya.
Peraturan lain secara eksplisit mengharuskan uji penetrasi. Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS), yang berlaku untuk organisasi yang memproses kartu kredit, secara khusus meminta "pengujian penetrasi eksternal dan internal secara rutin".
Uji penetrasi juga dapat mendukung kepatuhan terhadap standar keamanan informasi yang bersifat sukarela, seperti ISO/IEC 27001.
Semua uji penetrasi melibatkan serangan simulasi terhadap sistem komputer perusahaan. Namun, jenis uji pen yang berbeda menargetkan jenis aset perusahaan yang berbeda pula.
Pengujian penetrasi pada aplikasi mencari kerentanan dalam aplikasi dan sistem terkait, termasuk aplikasi web dan situs web, aplikasi seluler dan IoT, aplikasi cloud, dan antarmuka pemrograman aplikasi (API).
Penguji penetrasi sering kali memulai dengan mencari kerentanan yang tercantum dalam Open Web Application Security Project (OWASP) Top 10. OWASP Top 10 adalah daftar kerentanan paling kritis dalam aplikasi web. Daftar ini diperbarui secara berkala untuk mencerminkan lanskap keamanan siber yang terus berubah, tetapi kerentanan yang umum terjadi meliputi injeksi kode berbahaya, kesalahan konfigurasi, dan kegagalan autentikasi. Di luar OWASP Top 10, pengujian penetrasi pada aplikasi juga mencari kelemahan dan kerentanan keamanan yang tidak terlalu umum yang mungkin unik untuk aplikasi yang sedang dikerjakan.
Uji penetrasi jaringan menyerang seluruh jaringan komputer perusahaan. Ada dua jenis uji penetrasi jaringan: uji eksternal dan uji internal.
Dalam pengujian eksternal, penguji pen meniru perilaku peretas eksternal untuk menemukan masalah keamanan pada aset yang berhubungan dengan internet seperti server, router, situs web, dan komputer karyawan. Ini disebut “uji eksternal” karena penguji pen mencoba masuk ke jaringan dari luar.
Dalam pengujian internal, penguji penetrasi meniru perilaku orang dalam yang jahat atau peretas dengan kredensial curian. Tujuannya adalah untuk mengungkap kerentanan yang mungkin dieksploitasi seseorang dari dalam jaringan—misalnya, menyalahgunakan hak akses untuk mencuri data sensitif.
Uji keamanan ini mencari kerentanan pada perangkat yang terhubung ke jaringan, seperti laptop, perangkat seluler dan IoT, serta teknologi operasional (OT).
Penguji pen mungkin mencari kelemahan perangkat lunak, seperti eksploitasi sistem operasi yang memungkinkan peretas mendapatkan akses jarak jauh ke titik akhir. Mereka mungkin mencari kerentanan fisik, seperti pusat data yang tidak diamankan dengan benar yang mungkin dimasuki oleh aktor jahat. Tim penguji juga dapat menilai bagaimana peretas dapat berpindah dari perangkat yang disusupi ke bagian lain dari jaringan.
Pengujian penetrasi terhadap personel mencari kelemahan dalam kesehatan keamanan siber karyawan. Dengan kata lain, tes keamanan ini menilai seberapa rentan perusahaan terhadap serangan rekayasa sosial.
Penguji penetrasi personel menggunakan phishing, vishing (phishing suara), dan smishing (phishing SMS) untuk mengelabui karyawan agar membocorkan informasi sensitif. Uji penetrasi terhadap personel juga dapat mengevaluasi keamanan kantor fisik. Misalnya, penguji penetrasi mungkin mencoba menyelinap ke gedung dengan menyamar sebagai kurir pengiriman. Metode ini, yang disebut "tailgating", umumnya digunakan oleh penjahat dunia nyata.
Sebelum uji pen dimulai, tim penguji dan perusahaan menetapkan ruang lingkup untuk pengujian. Ruang lingkup menguraikan sistem mana yang akan diuji, kapan pengujian akan terjadi, dan metode yang dapat digunakan penguji pen. Ruang lingkup juga menentukan berapa banyak informasi yang akan dimiliki penguji pen sebelumnya:
Dalam pengujian kotak hitam, penguji penetrasi tidak memiliki informasi tentang sistem target. Mereka harus mengandalkan penelitian mereka sendiri untuk menyusun rencana serangan, seperti yang dilakukan peretas di dunia nyata.
Dalam pengujian kotak putih, penguji penetrasi memiliki transparansi total ke dalam sistem target. Perusahaan membagikan detail seperti diagram jaringan, kode sumber, kredensial, dan banyak lagi.
Dalam pengujian kotak abu-abu, penguji pen mendapatkan sebagian informasi, tetapi tidak banyak. Misalnya, perusahaan mungkin berbagi rentang IP untuk perangkat jaringan, tetapi penguji pen harus menyelidiki rentang IP tersebut untuk mengetahui kerentanannya sendiri.
Setelah ruang lingkup ditentukan, pengujian dimulai. Penguji penetrasi dapat mengikuti beberapa metodologi pengujian penetrasi. Yang umum termasuk pedoman pengujian keamanan aplikasi OWASP, Penetration Testing Execution Standard (PTES), dan Institut Standar dan Teknologi Nasional (NIST) SP 800-115.
Terlepas dari metodologi mana yang digunakan tim pengujian, prosesnya biasanya mengikuti langkah-langkah keseluruhan yang sama.
Tim pengujian mengumpulkan informasi tentang sistem target. Penguji penetrasi menggunakan metode pengintaian yang berbeda tergantung pada target. Misalnya, jika targetnya adalah aplikasi, penguji penetrasi mungkin mempelajari kode sumbernya. Jika targetnya adalah seluruh jaringan, penguji penetrasi mungkin menggunakan penganalisis paket untuk memeriksa arus lalu lintas jaringan.
Penguji penetrasi sering memanfaatkan intelijen sumber terbuka (OSINT) juga. Dengan membaca dokumentasi publik, artikel berita, dan bahkan akun media sosial dan GitHub karyawan, penguji penetrasi dapat mengumpulkan informasi berharga tentang target mereka.
Penguji penetrasi menggunakan pengetahuan yang mereka peroleh pada langkah pengintaian untuk mengidentifikasi kerentanan yang dapat dieksploitasi di dalam sistem. Misalnya, penguji penetrasi mungkin menggunakan pemindai port seperti Nmap untuk mencari port terbuka tempat mereka dapat mengirim malware. Untuk uji penetrasi rekayasa sosial, tim pengujian mungkin mengembangkan cerita palsu, atau "pretext", yang mereka gunakan dalam email phishing untuk mencuri kredensial karyawan.
Sebagai bagian dari langkah ini, penguji pen dapat memeriksa bagaimana fitur keamanan bereaksi terhadap intrusi. Misalnya, mereka mungkin mengirim lalu lintas yang mencurigakan ke firewall perusahaan untuk melihat apa yang terjadi. Penguji pen akan menggunakan apa yang mereka ketahui untuk menghindari deteksi selama pengujian.
Tim penguji memulai serangan yang sebenarnya. Penguji penetrasi dapat mencoba berbagai serangan tergantung pada sistem target, kerentanan yang mereka temukan, dan ruang lingkup pengujian. Beberapa serangan yang paling umum diuji meliputi:
– Injeksi SQL: Penguji penetrasi mencoba membuat halaman web atau aplikasi mengungkapkan data sensitif dengan memasukkan kode berbahaya ke dalam bidang input.
Skrip lintas situs: Penguji penetrasi mencoba menanam kode berbahaya di situs web perusahaan.
Serangan Denial-of-service: Penguji penetrasi mencoba membuat server, aplikasi, dan sumber daya jaringan lainnya offline dengan memadatinya dengan lalu lintas.
Rekayasa sosial: Penguji penetrasi menggunakan phishing, umpan, pretext, atau taktik lain untuk mengelabui karyawan agar membahayakan keamanan jaringan.
Serangan Brute force: Penguji penetrasi mencoba membobol sebuah sistem dengan menjalankan skrip yang menghasilkan dan menguji kemungkinan kata sandi hingga berhasil.
Serangan man-in-the-middle: Penguji penetrasi mencegat lalu lintas antara dua perangkat atau pengguna untuk mencuri informasi sensitif atau menanam malware.
Setelah penguji penetrasi mengeksploitasi kerentanan untuk mendapatkan pijakan di dalam sistem, mereka mencoba bergerak dan mengakses lebih banyak lagi. Fase ini terkadang disebut "vulnerability chaining" karena penguji penetrasi bergerak dari satu kerentanan ke kerentanan lainnya untuk masuk lebih dalam ke dalam jaringan. Misalnya, mereka mungkin mulai dengan menanam keylogger di komputer karyawan. Dengan menggunakan keylogger itu, mereka bisa merekam kredensial karyawan. Dengan menggunakan kredensial tersebut, mereka dapat mengakses database sensitif.
Pada tahap ini, tujuan penguji penetrasi adalah mempertahankan akses dan meningkatkan hak istimewa mereka sambil menghindari langkah-langkah keamanan. Penguji penetrasi melakukan semua ini untuk meniru ancaman persisten tingkat lanjut (APT), yang dapat bersembunyi dalam sistem selama berminggu-minggu, berbulan-bulan, atau bertahun-tahun sebelum terdeteksi.
Di akhir simulasi serangan, penguji penetrasi membersihkan jejak yang mereka tinggalkan, seperti trojan backdoor yang mereka tanam atau konfigurasi yang mereka ubah. Dengan begitu, peretas dunia nyata tidak dapat menggunakan exploit penguji penetrasi untuk menembus jaringan.
Kemudian, penguji pen menyiapkan laporan tentang serangan itu. Laporan tersebut biasanya menguraikan kerentanan yang mereka temukan, eksploitasi yang mereka gunakan, detail tentang bagaimana mereka menghindari fitur keamanan, dan deskripsi tentang apa yang mereka lakukan saat berada di dalam sistem. Laporan ini juga dapat mencakup rekomendasi khusus tentang remediasi kerentanan. Tim keamanan internal dapat menggunakan informasi ini untuk memperkuat pertahanan terhadap serangan dunia nyata.
Penguji penetrasi menggunakan berbagai alat untuk melakukan pengintaian, mendeteksi kerentanan, dan mengotomatiskan bagian-bagian penting dari proses pengujian penetrasi. Beberapa alat bantu yang paling umum termasuk:
Sistem operasi khusus: Kebanyakan penguji pen menggunakan OS yang dirancang untuk pengujian penetrasi dan peretasan etis. Yang paling populer adalah Kali Linux, distribusi Linux sumber terbuka yang sudah diinstal sebelumnya dengan alat pengujian pen seperti Nmap, Wireshark, dan Metasploit.
Alat peretas kredensial: Program-program ini dapat mengungkap kata sandi dengan memecahkan enkripsi atau meluncurkan serangan brute-force, yang menggunakan bot atau skrip untuk secara otomatis menghasilkan dan menguji kata sandi potensial sampai ada yang berhasil. Contohnya termasuk Medusa, Hyrda, Hashcat, dan John the Ripper.
Pemindai port: Pemindai port memungkinkan penguji pen untuk menguji perangkat dari jarak jauh untuk mengetahui port yang terbuka dan tersedia, yang dapat digunakan untuk menerobos jaringan. Nmap adalah pemindai port yang paling banyak digunakan, tetapi masscan dan ZMap juga umum digunakan.
Pemindai kerentanan: Alat pemindai kerentanan mencari sistem untuk mengetahui kerentanan yang diketahui, sehingga penguji pen dapat dengan cepat menemukan pintu masuk potensial ke dalam target. Contohnya termasuk Nessus, Core Impact, dan Netsparker.
Pemindai kerentanan web adalah bagian dari pemindai kerentanan yang menilai aplikasi web dan situs web. Contohnya termasuk Burp Suite dan Zed Attack Proxy (ZAP) OWASP.
Penganalisis paket: Penganalisis paket, yang juga disebut sniffer paket, memungkinkan penguji pen menganalisis lalu lintas jaringan dengan menangkap dan memeriksa paket. Penguji pen dapat mengetahui dari mana lalu lintas berasal, ke mana tujuannya, dan, dalam beberapa kasus, data apa yang dikandungnya. Wireshark dan tcpdump adalah salah satu penganalisis paket yang paling umum digunakan.
Metasploit: Metasploit adalah kerangka kerja pengujian penetrasi dengan sejumlah fungsi. Yang terpenting, Metasploit memungkinkan penguji pen untuk mengotomatiskan serangan siber. Metasploit memiliki perpustakaan bawaan kode eksploitasi dan muatan yang telah ditulis sebelumnya. Penguji pen dapat memilih eksploitasi, memberinya muatan untuk dikirimkan ke sistem target, dan membiarkan Metasploit menangani sisanya.