Apa yang dimaksud dengan keamanan ofensif?

Operasi keamanan ofensif sering kali dilakukan oleh peretas etis, profesional keamanan siber yang menggunakan keterampilan peretasan mereka untuk menemukan dan memperbaiki kelemahan sistem TI. Peretas etis melakukan simulasi pelanggaran dengan izin, tidak seperti penjahat siber nyata yang membobol sistem untuk mencuri data sensitif atau memasukkan malware. Mereka menghentikan penyebab kerusakan yang nyata, dan mereka menggunakan temuan dari serangan palsu mereka untuk membantu organisasi meningkatkan pertahanan mereka.

Secara historis, keamanan ofensif juga mengacu pada strategi untuk membuat frustrasi calon penyerang, seperti dengan memancing aktor ancaman ke dalam direktori buntu. Metode-metode antagonis ini kurang umum dalam lanskap keamanan informasi saat ini.

Untuk memahami mengapa keamanan ofensif itu penting, akan sangat membantu jika kita membandingkannya dengan keamanan defensif.

Langkah-langkah keamanan defensif, seperti perangkat lunak anti-virus dan firewall, dirancang secara reaktif. Alat-alat ini dibuat untuk memblokir ancaman yang diketahui atau mendeteksi perilaku yang mencurigakan. Beberapa alat keamanan defensif yang canggih, seperti platform SOAR, juga dapat mengotomatiskan respons terhadap serangan yang sedang berlangsung.

Meskipun taktik keamanan defensif bisa membantu menggagalkan serangan siber yang sedang berlangsung, metode ini menciptakan beban kerja yang berat bagi tim keamanan. Analis harus memilah peringatan dan data untuk memisahkan ancaman nyata dari alarm palsu. Ditambah lagi, langkah-langkah keamanan defensif hanya dapat melindungi dari vektor serangan yang sudah diketahui, sehingga organisasi terpapar ancaman siber yang baru dan tidak diketahui.

Keamanan ofensif melengkapi keamanan defensif. Tim keamanan menggunakan taktik OffSec untuk menemukan dan merespons vektor serangan yang tidak diketahui yang mungkin terlewatkan oleh tindakan keamanan lainnya. Keamanan ofensif juga lebih proaktif daripada keamanan defensif. Alih-alih merespons serangan siber saat terjadi, langkah-langkah keamanan ofensif menemukan dan mengatasi kelemahan sebelum penyerang dapat mengeksploitasinya.

Singkatnya, keamanan ofensif menghasilkan informasi yang membuat keamanan defensif menjadi lebih efektif. Keamanan ini juga mengurangi beban tim keamanan. Karena manfaat ini, keamanan ofensif adalah standar industri di beberapa sektor yang sangat diatur.

Taktik, teknik, dan prosedur (TTP) yang digunakan oleh profesional keamanan ofensif adalah sama dengan yang digunakan oleh pelaku ancaman. Dengan menggunakan TTP ini, para profesional OffSec dapat membasmi potensi kerentanan yang mungkin digunakan oleh para peretas sungguhan saat menguji program keamanan yang ada.

Taktik keamanan ofensif utama meliputi:

Pemindaian kerentanan adalah proses otomatis untuk mendeteksi kerentanan dalam aset TI organisasi. Pemindaian ini melibatkan penggunaan alat khusus untuk memindai sistem komputer dari kerentanan.

Pemindai kerentanan dapat mencari aset untuk mengetahui kerentanan yang terkait dengan versi perangkat lunak tertentu. Pemindai ini juga dapat melakukan pengujian yang lebih aktif, seperti melihat cara aplikasi merespons string injeksi SQL yang umum atau input berbahaya lainnya.

Peretas sering kali menggunakan pemindaian kerentanan untuk mengidentifikasi kerentanan yang dapat mereka eksploitasi saat melakukan serangan. Pada gilirannya, para ahli OffSec menggunakan pemindai kerentanan yang sama untuk menemukan dan menutup kerentanan ini sebelum para peretas dapat memanfaatkannya. Pendekatan proaktif ini memungkinkan organisasi untuk tetap berada di depan dalam menghadapi ancaman dan memperkuat pertahanannya.

Pengujian penetrasi, atau "pengujian pena", adalah penggunaan serangan siber tiruan untuk menemukan kerentanan dalam sistem komputer. Pada dasarnya, penguji pena bertindak sebagai pemindai kerentanan manusia, mencari kelemahan jaringan dengan meniru peretas sungguhan. Penguji pena mengadopsi perspektif penyerang, yang pada gilirannya memungkinkan mereka untuk secara efektif menentukan kerentanan yang paling mungkin ditargetkan oleh aktor jahat.

Karena pakar keamanan manusia melakukan pengujian pena, mereka dapat mendeteksi kerentanan yang mungkin terlewatkan oleh alat yang sepenuhnya otomatis dan kecil kemungkinannya untuk menghasilkan positif palsu. Jika mereka bisa mengeksploitasi kecacatan, begitu juga penjahat siber. Dan karena pengujian pena sering disediakan oleh layanan keamanan pihak ketiga, mereka sering dapat menemukan kekurangan yang mungkin terlewatkan oleh tim keamanan internal.

Red teaming, juga dikenal sebagai "simulasi permusuhan," adalah latihan di mana sekelompok ahli menggunakan TTP dari penjahat siber dunia nyata untuk meluncurkan serangan simulasi terhadap sistem komputer.

Tidak seperti uji penetrasi, red teaming adalah penilaian keamanan dari serangan. Red team secara aktif mengeksploitasi vektor serangan, tanpa menyebabkan kerusakan nyata, untuk melihat seberapa jauh serangan tersebut bekerja. Red team juga berhadapan dengan blue team yang terdiri dari para insinyur keamanan yang bertujuan untuk menghentikan mereka. Hal ini memberikan kesempatan bagi organisasi untuk menguji prosedur respons insiden secara langsung.

Organisasi akan mempekerjakan red team internal atau mengontrak pihak ketiga untuk melakukan latihan red team. Untuk menguji pertahanan teknis dan kesadaran karyawan, operasi red team dapat menggunakan berbagai taktik. Metode red team yang umum digunakan termasuk tiruan serangan ransomware, phishing, dan simulasi rekayasa sosial lainnya, dan bahkan teknik pembobolan di tempat seperti membuntuti.

Tim merah dapat melakukan berbagai jenis tes tergantung pada jumlah informasi yang mereka miliki. Dalam pengujian white-box, red team memiliki transparansi penuh ke dalam struktur internal dan kode sumber sistem target. Dalam pengujian kotak hitam, red team tidak memiliki informasi tentang sistem dan harus membobolnya dari luar, seperti halnya peretas di dunia nyata. Dalam pengujian kotak abu-abu, red team mungkin memiliki beberapa pengetahuan dasar tentang sistem target, seperti rentang IP untuk perangkat jaringan, tetapi tidak memiliki banyak informasi yang lain.

Pengalaman peretasan praktis, pengetahuan tentang bahasa pemrograman, dan keakraban dengan keamanan aplikasi web sangat penting untuk upaya keamanan ofensif. Untuk memvalidasi keahlian mereka dalam domain ini, para profesional keamanan ofensif sering kali mendapatkan sertifikasi seperti Offensive Security Certified Professional (OSCP) atau Certified Ethical Hacker (CEH).

Tim OffSec juga mengikuti metodologi peretasan etis yang sudah ada, termasuk proyek-proyek sumber terbuka seperti Open Source Security Testing Methodology Manual (OSSTMM) dan Penetration Testing Execution Standard (PTES).

Para profesional keamanan ofensif juga terampil dengan alat keamanan ofensif yang umum, termasuk:

Metasploit: Kerangka kerja untuk mengembangkan dan mengotomatisasi eksploitasi terhadap sistem TI. Ini terutama digunakan untuk pengujian pena dan penilaian kerentanan.

Kali Linux: Sistem operasi Linux yang dirancang untuk pengujian penetrasi dan ilmu forensik digital.

Burp Suite: Alat pengujian keamanan aplikasi web yang dapat memindai kerentanan, mencegat dan memodifikasi lalu lintas web, serta mengotomatiskan serangan.

Wireshark: Penganalisis protokol jaringan yang menangkap dan memeriksa lalu lintas jaringan, membantu mengidentifikasi masalah keamanan dalam komunikasi jaringan.

Nmap: Alat pemindaian jaringan yang digunakan untuk penemuan jaringan, pemindaian port, dan identifikasi layanan.

Aircrack-ng: Rangkaian alat untuk menguji keamanan jaringan Wi-Fi, dengan kemampuan mengendus paket, menangkap jabat tangan, dan memecahkan enkripsi kata sandi.

John the Ripper: Alat peretas kata sandi yang melakukan serangan brute force terhadap hash kata sandi.

sqlmap: Alat yang mengotomatiskan proses eksploitasi kerentanan injeksi SQL pada aplikasi web.