Pemahaman Metodologi Vulnerability Assessment dan Pengujian Penetrasi

Pemahaman Metodologi Vulnerability Assessment dan  Pengujian Penetrasi

Perkembangan zaman yang semakin maju ini, banyak perusahan menghabiskan segala cara untuk dapat memberikan keamanan sistem perusahaannya. Semakin meningkatnya kejahatan di dunia digital ini salah satunya adalah kejahatan Cyber. Demi menjaga asset, perusahaan perlu menguji keamanan sistem informasi tersebut, salah satunya dengan menguji secara vulnerability assessment atau dengan melakukan pengujian pentetrasi. Sebelum kita membahas lebih lanjut, kita harus mengetahui metofologi dari  Vulnerability Assesment dan Pengujian Penetrasi .

Vulnerability Assesment

Penilaian kerentatan atau Vulnerability Assessment adalah proses identifikasi dan kuantifikasi kerentanan keamananan pada suatu lingkungan keamanan sistem infomasi. Dapat diartikan juga sebagai suatu evaluasi mendalam terhadap keamanan sistem infomasi yang aktif digunakan. Indikasi dari kerentenan dan juga prosedur tindakan penanganan yang perlu dilakukan untuk menghadapi, menghindari, membagi, dan mengurangi kerentanan tersebut sampai batas toleransi selera risiko yang dapat diterima.

Metodologi umum Penilaian Kerentanan

Beberapa metodologi umum  dalam sebuah Penilaian Kerentanan, diantaranya adalah:

1. Pengkatalogan aset dan sumber lainnya mencakup seluruh sistem yang digunakan pada proses bisnis organisasi
2. Menentukan nilai dan tingkat kepentingan terhadap aset. Hasil dalam bentuk daftar aset berdasarkan urutan yang dinilai paling tinggi.
3. Identifikasi kerentanan keamanan dan potensi ancaman (dengan dampak terburuk) yang dapat terjadi pada setiap aset. Hasil dalam bentuk daftar ancaman berdasarkan tingkat dampak yang dinilai paling tinggi
4. Mitigasi atau eliminasi, ancaman dilakukan (atau direncanakan) tindakannya terhadap ancaman yang memilik tingkat dampak dan aset yang dinilai paling tinggi.

Lalu bagaimana dengan Pengujian Penetrasi

Kegiatan Pengujian Penetrasi atau  lebih populer Penetration Test,  bertujuan untuk mensimulasikan serangan cyber eksternal atau internal dengan sasaran menembus keamanan jaringan sistem informasi suatu organisasi. Menggunakan berbagai alat dan pendekatan teknik yang berbeda, seorang penguji atau  peretas mencoba mengeksploitasi celah sistem dengan tujuan untuk mendapatkan data-data yang penting yang bersifat sensitif.

Metodologi umum Pengujian Penetrasi

1. Penentuan ruang lingkup
2. Mengumpulkan dan pra observasi terhadap sasaran
3. Upaya eksploitasi akses dan  eskalasi
4. Pengujian pengumpulan data sensitif
5. Simpulan dan pelaporan akhir

Ada beberapa cara  Pengujian Penetrasi ,   yaitu dengan cara White Box , Black Box atau Grey Box ? Manakah yang lebih cocok ?

Mempertimbangkan lingkup selain hanya penetrasi terhadap sistem jaringan, pengujian dapat bergeser untuk menyasar kepada rekayasa sosial atau akses terhadap fasilitas fisik. Kriteria utama yang umumnya digunakan adalah white box, dimana penguji menggunakan informasi terdefinisi hasil dari Penilaian Kerentanan bahkan sampai akses internal lainnya yang diberikan atas suatu system dan black box, dimana pengujian dilakukan dengan minimnya informasi terhadap sasaran, prosesnya tergantung pada kepiawaian dan  bagaimana observasi penguji dalam memahami sistem yang menjadi sasarannya.

Pilihan pendekatan lain adalah grey box,  mari analogikan suatu rumah  yang memiliki pagar, halaman, dan  ruangan-ruangan pada bangunan rumah. Grey box adalah kondisi seorang penguji sudah masuk kedalam halaman rumah, tidak seperti halnya Black box observasi hanya  melalui luar pagar atau  White box yang kunci oleh pemiliknya untuk bangunan rumah.

Celah keamanan yang sering kali ditemukan pertama saat menggunakan pendekatan, ialah Grey box.. Grey Box adalah, pagar sudah digembok, pintu garasi pun tertutup, namun ternyata belum dikunci, dan  dampak yang terjadi adalah walaupun kendaraan tidak dapat dicuri saat itu juga, penyusup dapat meninggalkan suatu akses terhadap kendaraan yang dapat eksploitasi lebih lanjut dikemudian hari.

Penilaian Kerentanan atau Pengujian Penetrasi?

Kelanjutan pertanyaan di atas sering kali adalah “Mana yang lebih baik? Mana yang lebih dulu perlu dilakukan?”

Proses umum Penilaian Kerentanan akan menjawab pertanyaan:

Apa saja celah keamanan kami, dan bagaimana kami memperbaikinya?

Sedangkan secara sederhana Pengujian Penetrasi (Penetration Testing) akan  menjawab pertanyaan:

Apakah orang luar dapat menyusup? dan  informasi apa  saja yang akan mereka dapatkan?

Penilaian Kerentatan keamanan adalah proses utama perbaikan menuju kepada kematangan dan  intergrasi sistem keamanan informasi. Sedangkan Pengujian Penetrasi hanya  potret efektifitas sistem keamanan informasi yang sudah diterapkan saat potret dilakukan. Karena dasar inilah, tanpa bermaksud mengesampingkan Pengujian Penetrasi, Penilaian Kerentanan dapat memberikan nilai tambah lebih kepada organisasi dibandingkan dengan Pengujian Penetrasi atas pentingnya Sistem Manajemen yang efisien.

Sumber Rujukan:
1 (https://www.secureworks.com/blog/vulnerability-assessments-versus- penetration-tests)
2 (//focus.forsythe.com/articles/211/8-Steps-to-an-Effective-Vulnerability- Assessment)