Keamanan ofensif, atau "OffSec," mengacu pada serangkaian strategi keamanan proaktif yang menggunakan taktik yang sama dengan pelaku kejahatan dalam serangan di dunia nyata untuk memperkuat keamanan jaringan dan bukan merusaknya. Metode keamanan ofensif yang umum termasuk red teaming, pengujian penetrasi, dan penilaian kerentanan.
Operasi keamanan ofensif sering kali dilakukan oleh peretas etis, profesional keamanan siber yang menggunakan skill peretasan mereka untuk menemukan dan memperbaiki kelemahan sistem TI. Peretas etis melakukan pelanggaran simulasi dengan izin, tidak seperti penjahat siber nyata yang membobol sistem untuk mencuri data sensitif atau meletakkan malware. Mereka menghentikan penyebab kerusakan yang nyata, dan mereka menggunakan temuan dari serangan palsu mereka untuk membantu organisasi meningkatkan pertahanan mereka.
Secara historis, keamanan ofensif juga mengacu pada strategi untuk membuat frustrasi calon penyerang, seperti dengan memancing pelaku ancaman ke dalam direktori buntu. Metode-metode antagonis ini kurang umum dalam lanskap keamanan informasi saat ini.
Dapatkan insight untuk mengelola risiko pelanggaran data dengan lebih baik dengan laporan Biaya Pelanggaran Data terbaru.
Daftar untuk mendapatkan X-Force Threat Intelligence Index
Untuk memahami mengapa keamanan ofensif itu penting, akan sangat membantu jika kita membandingkannya dengan keamanan defensif.
Langkah-langkah keamanan defensif, seperti perangkat lunak anti-virus dan firewall, dirancang secara reaktif. Alat-alat ini dibuat untuk memblokir ancaman yang diketahui atau mendeteksi perilaku yang mencurigakan. Beberapa alat keamanan defensif yang canggih, seperti platform SOAR, juga dapat mengotomatiskan respons terhadap serangan yang sedang berlangsung.
Meskipun taktik keamanan defensif bisa membantu menggagalkan serangan siber yang sedang berlangsung, metode ini menciptakan beban kerja yang berat bagi tim keamanan. Analis harus memilah peringatan dan data untuk memisahkan ancaman nyata dari alarm palsu. Ditambah lagi, langkah-langkah keamanan defensif hanya dapat melindungi dari vektor serangan yang sudah diketahui, sehingga organisasi terpapar ancaman siber yang baru dan tidak diketahui.
Keamanan ofensif melengkapi keamanan defensif. Tim keamanan menggunakan taktik OffSec untuk menemukan dan merespons vektor serangan yang tidak diketahui yang mungkin terlewatkan oleh tindakan keamanan lainnya. Keamanan ofensif juga lebih proaktif daripada keamanan defensif. Alih-alih merespons serangan siber saat terjadi, langkah-langkah keamanan ofensif menemukan dan mengatasi kelemahan sebelum penyerang dapat mengeksploitasinya.
Singkatnya, keamanan ofensif menghasilkan informasi yang membuat keamanan defensif menjadi lebih efektif. Keamanan ini juga mengurangi beban tim keamanan. Karena manfaat ini, keamanan ofensif adalah standar industri di beberapa sektor yang sangat diatur.
Taktik, teknik, dan prosedur (TTP) yang digunakan oleh profesional keamanan ofensif adalah sama dengan yang digunakan oleh pelaku ancaman. Dengan menggunakan TTP ini, para profesional OffSec dapat membasmi potensi kerentanan yang mungkin digunakan oleh para peretas sungguhan saat menguji program keamanan yang ada.
Taktik keamanan ofensif utama meliputi:
Pemindaian kerentanan adalah proses otomatis untuk mendeteksi kerentanan dalam aset TI organisasi. Pemindaian ini melibatkan penggunaan alat khusus untuk memindai sistem komputer dari kerentanan.
Pemindai kerentanan dapat mencari aset untuk mengetahui kerentanan yang terkait dengan versi perangkat lunak tertentu. Pemindai ini juga dapat melakukan pengujian yang lebih aktif, seperti melihat cara aplikasi merespons string injeksi SQL yang umum atau input berbahaya lainnya.
Peretas sering kali menggunakan pemindaian kerentanan untuk mengidentifikasi kerentanan yang dapat mereka eksploitasi saat melakukan serangan. Pada gilirannya, para ahli OffSec menggunakan pemindai kerentanan yang sama untuk menemukan dan menutup kerentanan ini sebelum para peretas dapat memanfaatkannya. Pendekatan proaktif ini memungkinkan organisasi untuk tetap berada di depan dalam menghadapi ancaman dan memperkuat pertahanannya.
Pengujian penetrasi, atau "pengujian pena", adalah penggunaan serangan siber tiruan untuk menemukan kerentanan dalam sistem komputer. Pada dasarnya, penguji pena bertindak sebagai pemindai kerentanan manusia, mencari kelemahan jaringan dengan meniru peretas sungguhan. Penguji pena mengadopsi perspektif penyerang, yang pada gilirannya memungkinkan mereka untuk secara efektif menentukan kerentanan yang paling mungkin ditargetkan oleh aktor jahat.
Karena pakar keamanan manusia melakukan pengujian pena, mereka dapat mendeteksi kerentanan yang mungkin terlewatkan oleh alat yang sepenuhnya otomatis dan kecil kemungkinannya untuk menghasilkan positif palsu. Jika mereka bisa mengeksploitasi kecacatan, begitu juga penjahat siber. Dan karena pengujian pena sering disediakan oleh layanan keamanan pihak ketiga, mereka sering dapat menemukan kekurangan yang mungkin terlewatkan oleh tim keamanan internal.
Red teaming, juga dikenal sebagai "simulasi permusuhan," adalah latihan di mana sekelompok ahli menggunakan TTP dari penjahat siber dunia nyata untuk meluncurkan serangan simulasi terhadap sistem komputer.
Tidak seperti uji pena, red teaming adalah penilaian keamanan permusuhan. Red team secara aktif mengeksploitasi vektor serangan, tanpa menyebabkan kerusakan nyata, untuk melihat seberapa jauh mereka bisa melangkah. Red team juga berhadapan dengan blue team yang terdiri dari para insinyur keamanan yang bertujuan untuk menghentikan mereka. Hal ini memberikan kesempatan bagi organisasi untuk menguji prosedur respons insiden secara langsung.
Organisasi akan mempekerjakan red team internal atau mengontrak pihak ketiga untuk melakukan latihan red team. Untuk menguji pertahanan teknis dan kesadaran karyawan, operasi red team dapat menggunakan berbagai taktik. Metode red team yang umum digunakan termasuk serangan ransomware tiruan, phishing dan simulasi rekayasa sosial lainnya, dan bahkan teknik pembobolan di tempat seperti membuntuti.
Tim merah dapat melakukan berbagai jenis tes tergantung pada jumlah informasi yang mereka miliki. Dalam pengujian white-box, red team memiliki transparansi penuh ke dalam struktur internal dan kode sumber sistem target. Dalam pengujian kotak hitam, red team tidak memiliki informasi tentang sistem dan harus membobolnya dari luar, seperti halnya peretas di dunia nyata. Dalam pengujian kotak abu-abu, red team mungkin memiliki beberapa pengetahuan dasar tentang sistem target, seperti rentang IP untuk perangkat jaringan, tetapi tidak banyak yang lain.
Pengalaman peretasan praktis, pengetahuan tentang bahasa pemrograman, dan keakraban dengan keamanan aplikasi web sangat penting untuk upaya keamanan ofensif. Untuk memvalidasi keahlian mereka dalam domain ini, para profesional keamanan ofensif sering kali mendapatkan sertifikasi seperti Offensive Security Certified Professional (OSCP) atau Certified Ethical Hacker (CEH).
Tim OffSec juga mengikuti metodologi peretasan etis yang sudah ada, termasuk proyek-proyek sumber terbuka seperti Open Source Security Testing Methodology Manual (OSSTMM) dan Penetration Testing Execution Standard (PTES).
Para profesional keamanan ofensif juga terampil dengan alat keamanan ofensif yang umum, termasuk:
Metasploit: Kerangka kerja untuk mengembangkan dan mengotomatisasi eksploitasi terhadap sistem TI. Ini terutama digunakan untuk pengujian pena dan penilaian kerentanan.
Kali Linux: Sistem operasi Linux yang dirancang untuk pengujian pena dan forensik digital.
Burp Suite: Alat pengujian keamanan aplikasi web yang dapat memindai kerentanan, mencegat dan memodifikasi lalu lintas web, serta mengotomatiskan serangan.
Wireshark: Penganalisis protokol jaringan yang menangkap dan memeriksa lalu lintas jaringan, membantu mengidentifikasi masalah keamanan dalam komunikasi jaringan.
Nmap: Alat pemindaian jaringan yang digunakan untuk penemuan jaringan, pemindaian port, dan identifikasi layanan.
Aircrack-ng: Rangkaian alat untuk menguji keamanan jaringan Wi-Fi, dengan kemampuan mengendus paket, menangkap jabat tangan, dan memecahkan enkripsi kata sandi.
John the Ripper: Alat peretas kata sandi yang melakukan serangan brute force terhadap hash kata sandi.
sqlmap: Alat yang mengotomatiskan proses eksploitasi kerentanan injeksi SQL pada aplikasi web.
Layanan keamanan ofensif X-Force Red dapat membantu mengidentifikasi, memprioritaskan, dan memulihkan kelemahan keamanan yang mencakup seluruh ekosistem digital dan fisik Anda.
Menerapkan program manajemen kerentanan yang mengidentifikasi, memprioritaskan, dan mengelola remediasi kelemahan yang dapat mengekspos aset paling penting Anda.
Latihan simulasi musuh, yang meliputi red teaming dan purple teaming, dapat menemukan dan mengisi kesenjangan dalam tim tanggap insiden, kontrol, dan proses untuk membantu Anda meminimalkan kerugian jika terjadi pelanggaran.
Pengujian penetrasi adalah serangan keamanan bertahap yang digunakan penguji pena untuk membantu tim keamanan mengungkap kerentanan keamanan kritis dan meningkatkan postur keamanan secara keseluruhan.
Manajemen kerentanan adalah penemuan, penentuan prioritas, dan penanganan kerentanan keamanan secara terus-menerus dalam infrastruktur dan perangkat lunak TI suatu organisasi.
Peretasan (juga disebut peretasan siber) adalah penggunaan cara-cara yang tidak konvensional atau terlarang untuk mendapatkan akses yang tidak sah ke perangkat digital, sistem komputer, atau jaringan komputer.