Apakah Sudah 100% Aman Jika Telah Melakukan Penetration Testing?

Teknologi informasi selalu berubah seiring dengan ditemukannya teknologi baru, demikian juga keamanan system informasi dapat berubah seiring dengan berkembangnya tools dan metode-metode baru untuk dapat meretas keamanan system informasi. Sehingga walaupun sebuah system informasi terbilang aman pada saat ini, tidak demikian pada saat yang akan datang.

Hasil dari pentest pun dapat berbeda antara satu pentester dengan pentester yang lain, karena setiap pentester memiliki kemungkinan  sudut pandang, metode, arah serangan yang berbeda-beda. Sehingga walaupun telah diperkuat dengan menutup semua celah keamanan yang telah direkomendasikan oleh pentester pertama, masih memungkinkan dapat diretas kembali dengan celah keamanan yang berbeda oleh pentester yang lain. Oleh karena itu penetration testing yang rutin mendalam dan menyeluruh diperlukan untuk meningkatkan keamanan system informasi.

Metodologi
Secara umum, berikut adalah proses Penetration Test yang biasa digunakan pentester.

 information security, it security, Konsultan ISO 27001, penetration testing
Project Management, Quality Assurance, dan Knowledge Transfer

Project Management, Quality Assurance, dan Knowledge Transfer merupakan sebuah proses dimana semua elemen yang ada pada metodologi di atas dipastikan dapat berjalan secara menyeluruh dan saling berhubungan satu dengan yang lain, serta memastikan kualitas deliverable yang dihasilkan dari metodologi tetap dapat terjaga pada tingkat kualitas yang baik. Selain itu, memastikan pengetahuan terkait lingkup kerja dapat dipahami dan diaplikasikan oleh key person sesuai kebutuhan dan proses operasional.
Tahapan pentest yang dilakukan adalah:

Gain Understanding
Pada tahap ini kami melakukan pemahaman atas gambaran dari keseluruhan infrastruktur jaringan, sistem operasi yang digunakan, dan service yang berjalan di setiap sistem.

Reconnaissance
Pada tahap ini, seluruh potensi jalur yang dapat dimanfaatkan untuk melakukan infiltrasi target dipetakan dan kemudian dilakukan validasi.

Network Mapping & Scanning
Pada tahap ini, tiap-tiap informasi (service, sistem operasi, dsb) yang telah ditemukan akan diidentifikasikan dan dites dengan celah-celah yang sudah diketahui dan kemungkinan celah yang ada. Apabila memungkinkan maka teknik brute force akan digunakan untuk melakukan tes terhadap password yang lemah.

Vulnerability Assessment
Dalam tahap ini kami melakukan scanning terhadap target infrastruktur.

Vulnerability Exploitation
Pada banyak kasus, proses eksploitasi terhadap celah keamanan hanya akan memberikan akses terbatas terhadap sistem. Dengan melakukan eksplotasi lebih mendalam maka akan memungkinkan untuk mendapatkan akses tertinggi pada sistem (root, Administrator).

Analysis
Pada tahap ini, seluruh temuan kerentanan diberikan peringkat risiko berdasarkan tingkat keparahan/severity dengan mempertimbangkan kemungkinan/likelihood dalam mengeksploitasi kelemahan tersebut.
Berikut empat peringkat resiko yang akan diberikan kepada setiap kerentanan yang ditemukan.

  1. Tinggi: Masalah keamanan yang dimiliki harus segera di perbaiki karena berpotensi dapat diexploitasi.
  2. Sedang: Masalah keamanan yang dimiliki perlu diperhatikan walaupun kerentanan tersebut sulit untuk di eksploitasi.
  3. Rendah: Masalah keamanan dengan dampak terbatas.

Report
Pada tahap ini kami akan memberikan laporan akhir kepada pihak manajemen PT Perusahaan Indonesia berdasarkan hasil tahapan-tahapan sebelumnya. Laporan akhir akan mencakup lingkup penugasan yang telah ditentukan sebelumnya.
Kegiatan utama yang dilakukan pada tahap ini sebagai berikut:

Sumber artikel:
Alisherov A Farkhod., Sattarova Y Feruza(2009). Methodology for Penetration Testing. Multimedia Engineering Department, Hannam University, South Korea //www.sersc.org/journals/IJGDC/vol2_no2/5.pdf

Adinanta, Harry (2015). Laporan Penetation testing pada PT XXX.

Sumber foto: eccouncil.org

0 0 votes
Article Rating
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

Whoops, you're not connected to Mailchimp. You need to enter a valid Mailchimp API key.

Inquiry