Ada tiga alasan utama mengapa perusahaan melakukan uji pen.

Uji pen lebih komprehensif dibandingkan penilaian kerentanan saja. Uji penetrasi dan penilaian kerentanan membantu tim keamanan mengidentifikasi kelemahan dalam aplikasi, perangkat, dan jaringan. Namun, metode-metode ini memiliki tujuan yang sedikit berbeda, sehingga banyak organisasi yang menggunakan keduanya alih-alih mengandalkan salah satunya. 

Penilaian kerentanan biasanya berupa pemindaian otomatis berulang yang mencari kerentanan yang diketahui dalam sistem dan menandainya untuk ditinjau. Tim keamanan menggunakan penilaian kerentanan untuk memeriksa kelemahan umum dengan cepat.

Uji penetrasi satu langkah lebih maju. Saat penguji pen menemukan kerentanan, mereka mengeksploitasinya dalam serangan simulasi yang meniru perilaku peretas jahat. Hal ini memberikan pemahaman mendalam kepada tim keamanan tentang bagaimana peretas yang sebenarnya dapat mengeksploitasi kerentanan untuk mengakses data sensitif atau mengganggu operasi. Daripada mencoba menebak-nebak apa yang mungkin dilakukan oleh peretas, tim keamanan dapat menggunakan pengetahuan ini untuk merancang kontrol keamanan jaringan untuk menghadapi ancaman siber di dunia nyata.

Karena penguji pen menggunakan proses otomatis dan manual, mereka mengungkap kerentanan yang diketahui dan tidak diketahui. Karena penguji pen secara aktif mengeksploitasi kelemahan yang mereka temukan, mereka lebih kecil kemungkinannya untuk menghasilkan sinyal positif palsu; Jika mereka dapat mengeksploitasi kelemahan, begitu juga dengan penjahat siber. Dan karena layanan pengujian penetrasi disediakan oleh pakar keamanan pihak ketiga, yang mendekati sistem dari sudut pandang peretas, pengujian pen sering kali menemukan kekurangan yang mungkin terlewatkan oleh tim keamanan internal. 

Pakar keamanan siber merekomendasikan pengujian pen. Banyak pakar dan otoritas keamanan siber merekomendasikan pengujian pen sebagai tindakan keamanan proaktif. Misalnya, pada tahun 2021, pemerintah federal AS (tautan berada di luar ibm.com) mendesak perusahaan untuk menggunakan pengujian pen guna mempertahankan diri dari meningkatnya serangan ransomware. 

Pengujian pen mendukung kepatuhan terhadap peraturan. Peraturan keamanan data seperti Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) dan Peraturan Perlindungan Data Umum (GDPR) mewajibkan kontrol keamanan tertentu. Uji penetrasi dapat membantu perusahaan membuktikan kepatuhan terhadap peraturan ini dengan memastikan kontrol mereka berfungsi sebagaimana mestinya.

Peraturan lain secara eksplisit mengharuskan uji pen. Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS), yang berlaku untuk organisasi yang memproses kartu kredit, secara khusus menyerukan "pengujian penetrasi eksternal dan internal reguler" (tautan berada di luar ibm.com).

Uji pen juga dapat mendukung kepatuhan terhadap standar keamanan informasi sukarela, seperti ISO/IEC 27001 (tautan berada di luar ibm.com).

Semua uji penetrasi melibatkan serangan simulasi terhadap sistem komputer perusahaan. Namun, jenis uji pen yang berbeda menargetkan jenis aset perusahaan yang berbeda pula.

1. Uji pen aplikasi
2. Uji pen jaringan
3. Uji pen perangkat keras
4. Uji pen personel

Uji pen aplikasi

Pengujian pen aplikasi mencari kerentanan dalam aplikasi dan sistem terkait, termasuk aplikasi web dan situs web, aplikasi seluler dan IoT, aplikasi cloud, dan antarmuka pemrograman aplikasi (API).

Penguji pen sering memulai dengan mencari kerentanan yang tercantum dalam Open Web Application Security Project (OWASP) Top 10 (tautan berada di luar ibm.com). OWASP Top 10 adalah daftar kerentanan paling kritis dalam aplikasi web. Daftar ini diperbarui secara berkala untuk mencerminkan lanskap keamanan siber yang terus berubah, tetapi kerentanan yang umum terjadi meliputi penyuntikan kode berbahaya, kesalahan konfigurasi, dan kegagalan autentikasi. Di luar OWASP Top 10, pengujian pen aplikasi juga mencari kelemahan dan kerentanan keamanan yang tidak terlalu umum yang mungkin unik untuk aplikasi yang sedang dikerjakan.

Uji pen jaringan

Uji pen jaringan menyerang seluruh jaringan komputer perusahaan. Ada dua jenis uji pen jaringan: uji eksternal dan uji internal.

Dalam pengujian eksternal, penguji pen meniru perilaku peretas eksternal untuk menemukan masalah keamanan pada aset yang berhubungan dengan internet seperti server, router, situs web, dan komputer karyawan. Ini disebut “uji eksternal” karena penguji pen mencoba masuk ke jaringan dari luar.

Dalam pengujian internal, penguji pen meniru perilaku orang dalam yang jahat atau peretas dengan kredensial curian. Tujuannya adalah untuk mengungkap kerentanan yang mungkin dieksploitasi seseorang dari dalam jaringan—misalnya, menyalahgunakan hak akses untuk mencuri data sensitif. 

Uji pen perangkat keras

Uji keamanan ini mencari kerentanan pada perangkat yang terhubung ke jaringan, seperti laptop, perangkat seluler dan IoT, serta teknologi operasional (OT).

Penguji pen mungkin mencari kelemahan perangkat lunak, seperti eksploitasi sistem operasi yang memungkinkan peretas mendapatkan akses jarak jauh ke titik akhir. Mereka mungkin mencari kerentanan fisik, seperti pusat data yang tidak diamankan dengan benar yang mungkin dimasuki oleh aktor jahat. Tim penguji juga dapat menilai bagaimana peretas dapat berpindah dari perangkat yang disusupi ke bagian lain dari jaringan.

Uji pen personel

Pengujian pen personel mencari kelemahan dalam kebersihan keamanan siber karyawan. Dengan kata lain, tes keamanan ini menilai seberapa rentan perusahaan terhadap serangan rekayasa sosial.

Penguji pen personel menggunakan phishing, vishing (phishing suara), dan smishing (phishing SMS) untuk mengelabui karyawan agar membocorkan informasi sensitif. Uji pen personel juga dapat mengevaluasi keamanan kantor fisik. Misalnya, penguji pen mungkin mencoba menyelinap ke gedung dengan menyamar sebagai kurir pengiriman. Metode ini, yang disebut " tailgating, " umumnya digunakan oleh penjahat dunia nyata.

Sebelum uji pen dimulai, tim penguji dan perusahaan menetapkan ruang lingkup untuk pengujian. Ruang lingkup menguraikan sistem mana yang akan diuji, kapan pengujian akan terjadi, dan metode yang dapat digunakan penguji pen. Ruang lingkup juga menentukan berapa banyak informasi yang akan dimiliki penguji pen sebelumnya:

• Dalam pengujian kotak hitam, penguji pen tidak memiliki informasi tentang sistem target. Mereka harus mengandalkan penelitian mereka sendiri untuk mengembangkan rencana serangan, seperti yang dilakukan peretas di dunia nyata.
   

• Dalam pengujian kotak putih, penguji pen memiliki transparansi total ke dalam sistem target. Perusahaan membagikan detail seperti diagram jaringan, kode sumber, kredensial, dan banyak lagi.
   

• Dalam pengujian kotak abu-abu, penguji pen mendapatkan sebagian informasi, tetapi tidak banyak. Misalnya, perusahaan mungkin berbagi rentang IP untuk perangkat jaringan, tetapi penguji pen harus menyelidiki rentang IP tersebut untuk mengetahui kerentanannya sendiri.

Setelah ruang lingkup ditentukan, pengujian dimulai. Penguji pen dapat mengikuti beberapa metodologi pengujian pen. Yang umum termasuk pedoman pengujian keamanan aplikasi OWASP (tautan berada di luar ibm.com), Penetration Testing Execution Standard (PTES) (tautan berada di luar ibm.com), dan National Institute of Standards and Technology (NIST) SP 800-115 ( tautan berada di luar ibm.com).

Terlepas dari metodologi mana yang digunakan tim pengujian, prosesnya biasanya mengikuti langkah-langkah keseluruhan yang sama.

1. Pengintaian

Tim pengujian mengumpulkan informasi tentang sistem target. Penguji pen menggunakan metode pengintaian yang berbeda tergantung pada target. Misalnya, jika targetnya adalah aplikasi, penguji pen mungkin mempelajari kode sumbernya. Jika targetnya adalah seluruh jaringan, penguji pen mungkin menggunakan penganalisis paket untuk memeriksa arus lalu lintas jaringan.

Penguji pen sering memanfaatkan intelijen sumber terbuka (OSINT) juga. Dengan membaca dokumentasi publik, artikel berita, dan bahkan akun media sosial dan GitHub karyawan, penguji pen dapat mengumpulkan informasi berharga tentang target mereka.

2. Penemuan dan pengembangan target

Penguji pen menggunakan pengetahuan yang mereka peroleh pada langkah pengintaian untuk mengidentifikasi kerentanan yang dapat dieksploitasi di dalam sistem. Misalnya, penguji pen mungkin menggunakan pemindai port seperti Nmap untuk mencari port terbuka tempat mereka dapat mengirim malware. Untuk uji pen rekayasa sosial, tim pengujian mungkin mengembangkan cerita palsu, atau "preteks", yang mereka gunakan dalam email phishing untuk mencuri kredensial karyawan.

Sebagai bagian dari langkah ini, penguji pen dapat memeriksa bagaimana fitur keamanan bereaksi terhadap intrusi. Misalnya, mereka mungkin mengirim lalu lintas yang mencurigakan ke firewall perusahaan untuk melihat apa yang terjadi. Penguji pen akan menggunakan apa yang mereka ketahui untuk menghindari deteksi selama pengujian.

3. Eksploitasi

Tim penguji memulai serangan yang sebenarnya. Penguji pen dapat mencoba berbagai serangan tergantung pada sistem target, kerentanan yang mereka temukan, dan ruang lingkup pengujian. Beberapa serangan yang paling umum diuji meliputi:

• Injeksi SQL: Penguji pen mencoba membuat halaman web atau aplikasi untuk mengungkap data sensitif dengan memasukkan kode berbahaya ke dalam bidang input.
   

• Skrip lintas situs: Penguji pen mencoba menanam kode berbahaya di situs web perusahaan.
   

• Serangan Denial-of-service: Penguji pen mencoba membuat server, aplikasi, dan sumber daya jaringan lainnya offline dengan membanjiri mereka dengan lalu lintas.
   

• Rekayasa sosial: Penguji pen menggunakan phishing, umpan, pretexting, atau taktik lain untuk mengelabui karyawan agar membahayakan keamanan jaringan.
   

• Serangan Brute force: Penguji pen mencoba membobol sebuah sistem dengan menjalankan skrip yang menghasilkan dan menguji kata sandi potensial hingga berhasil.
   

• Serangan man-in-the-middle: Penguji pen mencegat lalu lintas antara dua perangkat atau pengguna untuk mencuri informasi sensitif atau menanam malware.

4. Eskalasi

Setelah penguji pen mengeksploitasi kerentanan untuk mendapatkan pijakan di dalam sistem, mereka mencoba bergerak dan mengakses lebih banyak lagi. Fase ini terkadang disebut "vulnerability chaining" karena penguji pen bergerak dari satu kerentanan ke kerentanan lainnya untuk masuk lebih dalam ke dalam jaringan. Misalnya, mereka mungkin mulai dengan menanam keylogger di komputer karyawan. Dengan menggunakan keylogger itu, mereka bisa menangkap kredensial karyawan. Dengan menggunakan kredensial tersebut, mereka dapat mengakses database sensitif.

Pada tahap ini, tujuan penguji pen adalah mempertahankan akses dan meningkatkan hak istimewa mereka sambil menghindari langkah-langkah keamanan. Penguji pen melakukan semua ini untuk meniru ancaman persisten lanjutan (APT), yang dapat mengintai dalam sistem selama berminggu-minggu, berbulan-bulan, atau bertahun-tahun sebelum mereka tertangkap.

5. Pembersihan dan pelaporan

Di akhir serangan simulasi, penguji pen membersihkan jejak yang mereka tinggalkan, seperti trojan pintu belakang yang mereka tanam atau konfigurasi yang mereka ubah. Dengan begitu, peretas dunia nyata tidak dapat menggunakan eksploitasi penguji pen untuk menembus jaringan.

Kemudian, penguji pen menyiapkan laporan tentang serangan itu. Laporan tersebut biasanya menguraikan kerentanan yang mereka temukan, eksploitasi yang mereka gunakan, detail tentang bagaimana mereka menghindari fitur keamanan, dan deskripsi tentang apa yang mereka lakukan saat berada di dalam sistem. Laporan ini juga dapat mencakup rekomendasi khusus tentang remediasi kerentanan. Tim keamanan internal dapat menggunakan informasi ini untuk memperkuat pertahanan terhadap serangan dunia nyata.

Penguji pen menggunakan berbagai alat untuk melakukan pengintaian, mendeteksi kerentanan, dan mengotomatiskan bagian-bagian penting dari proses pengujian pen. Beberapa alat bantu yang paling umum termasuk:

1. Sistem operasi khusus
2. Alat peretas kredensial
3. Pemindai port
4. Pemindai kerentanan
5. Penganalisis paket
6. Metasploit

Sistem operasi khusus: Kebanyakan penguji pen menggunakan OS yang dirancang untuk pengujian penetrasi dan peretasan etis. Yang paling populer adalah Kali Linux, distribusi Linux sumber terbuka yang sudah diinstal sebelumnya dengan alat pengujian pen seperti Nmap, Wireshark, dan Metasploit.

Alat peretas kredensial: Program-program ini dapat mengungkap kata sandi dengan memecahkan enkripsi atau meluncurkan serangan brute-force, yang menggunakan bot atau skrip untuk secara otomatis menghasilkan dan menguji kata sandi potensial sampai ada yang berhasil. Contohnya termasuk Medusa, Hyrda, Hashcat, dan John the Ripper.

Pemindai port: Pemindai port memungkinkan penguji pen untuk menguji perangkat dari jarak jauh untuk mengetahui port yang terbuka dan tersedia, yang dapat digunakan untuk menerobos jaringan. Nmap adalah pemindai port yang paling banyak digunakan, tetapi masscan dan ZMap juga umum digunakan.

Pemindai kerentanan: Alat pemindai kerentanan mencari sistem untuk mengetahui kerentanan yang diketahui, sehingga penguji pen dapat dengan cepat menemukan pintu masuk potensial ke dalam target. Contohnya termasuk Nessus, Core Impact, dan Netsparker.

Pemindai kerentanan web adalah bagian dari pemindai kerentanan yang menilai aplikasi web dan situs web. Contohnya termasuk Burp Suite dan Zed Attack Proxy (ZAP) OWASP.

Penganalisis paket: Penganalisis paket, yang juga disebut sniffer paket, memungkinkan penguji pen menganalisis lalu lintas jaringan dengan menangkap dan memeriksa paket. Penguji pen dapat mengetahui dari mana lalu lintas berasal, ke mana tujuannya, dan, dalam beberapa kasus, data apa yang dikandungnya. Wireshark dan tcpdump adalah salah satu penganalisis paket yang paling umum digunakan.

Metasploit: Metasploit adalah kerangka kerja pengujian penetrasi dengan sejumlah fungsi. Yang terpenting, Metasploit memungkinkan penguji pen untuk mengotomatiskan serangan siber. Metasploit memiliki perpustakaan bawaan kode eksploitasi dan muatan yang telah ditulis sebelumnya. Penguji pen dapat memilih eksploitasi, memberinya muatan untuk dikirimkan ke sistem target, dan membiarkan Metasploit menangani sisanya.