Teknologi informasi selalu berubah seiring dengan ditemukannya teknologi baru, demikian juga keamanan system informasi dapat berubah seiring dengan berkembangnya tools dan metode-metode baru untuk dapat meretas keamanan system informasi. Sehingga walaupun sebuah system informasi terbilang aman pada saat ini, tidak demikian pada saat yang akan datang.

Hasil dari pentest pun dapat berbeda antara satu pentester dengan pentester yang lain, karena setiap pentester memiliki kemungkinan sudut pandang, metode, arah serangan yang berbeda-beda. Sehingga walaupun telah diperkuat dengan menutup semua celah keamanan yang telah direkomendasikan oleh pentester pertama, masih memungkinkan dapat diretas kembali dengan celah keamanan yang berbeda oleh pentester yang lain. Oleh karena itu penetration testing yang rutin mendalam dan menyeluruh diperlukan untuk meningkatkan keamanan system informasi.

MetodologiSecara umum, berikut adalah proses Penetration Test yang biasa digunakan pentester.

Project Management, Quality Assurance, dan Knowledge Transfer merupakan sebuah proses dimana semua elemen yang ada pada metodologi di atas dipastikan dapat berjalan secara menyeluruh dan saling berhubungan satu dengan yang lain, serta memastikan kualitas deliverable yang dihasilkan dari metodologi tetap dapat terjaga pada tingkat kualitas yang baik. Selain itu, memastikan pengetahuan terkait lingkup kerja dapat dipahami dan diaplikasikan oleh key person sesuai kebutuhan dan proses operasional.Tahapan pentest yang dilakukan adalah:

Gain UnderstandingPada tahap ini kami melakukan pemahaman atas gambaran dari keseluruhan infrastruktur jaringan, sistem operasi yang digunakan, dan service yang berjalan di setiap sistem.

ReconnaissancePada tahap ini, seluruh potensi jalur yang dapat dimanfaatkan untuk melakukan infiltrasi target dipetakan dan kemudian dilakukan validasi.

Network Mapping & ScanningPada tahap ini, tiap-tiap informasi (service, sistem operasi, dsb) yang telah ditemukan akan diidentifikasikan dan dites dengan celah-celah yang sudah diketahui dan kemungkinan celah yang ada. Apabila memungkinkan maka teknik brute force akan digunakan untuk melakukan tes terhadap password yang lemah.

Vulnerability AssessmentDalam tahap ini kami melakukan scanning terhadap target infrastruktur.

Vulnerability ExploitationPada banyak kasus, proses eksploitasi terhadap celah keamanan hanya akan memberikan akses terbatas terhadap sistem. Dengan melakukan eksplotasi lebih mendalam maka akan memungkinkan untuk mendapatkan akses tertinggi pada sistem (root, Administrator).

Analysis

Pada tahap ini, seluruh temuan kerentanan diberikan peringkat risiko berdasarkan tingkat keparahan/severity dengan mempertimbangkan kemungkinan/likelihood dalam mengeksploitasi kelemahan tersebut.

Berikut empat peringkat resiko yang akan diberikan kepada setiap kerentanan yang ditemukan.

1. Tinggi: Masalah keamanan yang dimiliki harus segera di perbaiki karena berpotensi dapat diexploitasi.

2. Sedang: Masalah keamanan yang dimiliki perlu diperhatikan walaupun kerentanan tersebut sulit untuk di eksploitasi.

3. Rendah: Masalah keamanan dengan dampak terbatas.

ReportPada tahap ini kami akan memberikan laporan akhir kepada pihak manajemen PT Perusahaan Indonesia berdasarkan hasil tahapan-tahapan sebelumnya. Laporan akhir akan mencakup lingkup penugasan yang telah ditentukan sebelumnya.Kegiatan utama yang dilakukan pada tahap ini sebagai berikut:

Penulis: FaHRizal Fatah (Proxsis IT Consultant) & Putih Ayu P.(Proxsis IT Consultant)Sumber artikel:Alisherov A Farkhod., Sattarova Y Feruza(2009). Methodology for Penetration Testing. Multimedia Engineering Department, Hannam University, South Korea http://www.sersc.org/journals/IJGDC/vol2_no2/5.pdf

Adinanta, Harry (2015). Laporan Penetation testing pada PT XXX.