Pemahaman Metodologi Vulnerability Assessment dan Pengujian Penetrasi
Perkembangan zaman yang semakin maju ini, banyak perusahan menghabiskan segala cara untuk dapat memberikan keamanan sistem perusahaannya. Semakin meningkatnya kejahatan di dunia digital ini salah satunya adalah kejahatan Cyber. Demi menjaga asset, perusahaan perlu menguji keamanan sistem informasi tersebut, salah satunya dengan menguji secara vulnerability assessment atau dengan melakukan pengujian pentetrasi. Sebelum kita membahas lebih lanjut, kita harus mengetahui metofologi dari Vulnerability Assesment dan Pengujian Penetrasi .
Vulnerability Assesment
Penilaian kerentatan atau Vulnerability Assessment adalah proses identifikasi dan kuantifikasi kerentanan keamananan pada suatu lingkungan keamanan sistem infomasi. Dapat diartikan juga sebagai suatu evaluasi mendalam terhadap keamanan sistem infomasi yang aktif digunakan. Indikasi dari kerentenan dan juga prosedur tindakan penanganan yang perlu dilakukan untuk menghadapi, menghindari, membagi, dan mengurangi kerentanan tersebut sampai batas toleransi selera risiko yang dapat diterima.
Metodologi umum Penilaian Kerentanan
Beberapa metodologi umum dalam sebuah Penilaian Kerentanan, diantaranya adalah:
- Pengkatalogan aset dan sumber lainnya mencakup seluruh sistem yang digunakan pada proses bisnis organisasi
- Menentukan nilai dan tingkat kepentingan terhadap aset. Hasil dalam bentuk daftar aset berdasarkan urutan yang dinilai paling tinggi.
- Identifikasi kerentanan keamanan dan potensi ancaman (dengan dampak terburuk) yang dapat terjadi pada setiap aset. Hasil dalam bentuk daftar ancaman berdasarkan tingkat dampak yang dinilai paling tinggi
- Mitigasi atau eliminasi, ancaman dilakukan (atau direncanakan) tindakannya terhadap ancaman yang memilik tingkat dampak dan aset yang dinilai paling tinggi.
Lalu bagaimana dengan Pengujian Penetrasi
Kegiatan Pengujian Penetrasi atau lebih populer Penetration Test, bertujuan untuk mensimulasikan serangan cyber eksternal atau internal dengan sasaran menembus keamanan jaringan sistem informasi suatu organisasi. Menggunakan berbagai alat dan pendekatan teknik yang berbeda, seorang penguji atau peretas mencoba mengeksploitasi celah sistem dengan tujuan untuk mendapatkan data-data yang penting yang bersifat sensitif.
Metodologi umum Pengujian Penetrasi
- Penentuan ruang lingkup
- Mengumpulkan dan pra observasi terhadap sasaran
- Upaya eksploitasi akses dan eskalasi
- Pengujian pengumpulan data sensitif
- Simpulan dan pelaporan akhir
Ada beberapa cara Pengujian Penetrasi , yaitu dengan cara White Box , Black Box atau Grey Box ? Manakah yang lebih cocok ?
Mempertimbangkan lingkup selain hanya penetrasi terhadap sistem jaringan, pengujian dapat bergeser untuk menyasar kepada rekayasa sosial atau akses terhadap fasilitas fisik. Kriteria utama yang umumnya digunakan adalah white box, dimana penguji menggunakan informasi terdefinisi hasil dari Penilaian Kerentanan bahkan sampai akses internal lainnya yang diberikan atas suatu system dan black box, dimana pengujian dilakukan dengan minimnya informasi terhadap sasaran, prosesnya tergantung pada kepiawaian dan bagaimana observasi penguji dalam memahami sistem yang menjadi sasarannya.
Pilihan pendekatan lain adalah grey box, mari analogikan suatu rumah yang memiliki pagar, halaman, dan ruangan-ruangan pada bangunan rumah. Grey box adalah kondisi seorang penguji sudah masuk kedalam halaman rumah, tidak seperti halnya Black box observasi hanya melalui luar pagar atau White box yang kunci oleh pemiliknya untuk bangunan rumah.
Celah keamanan yang sering kali ditemukan pertama saat menggunakan pendekatan, ialah Grey box.. Grey Box adalah, pagar sudah digembok, pintu garasi pun tertutup, namun ternyata belum dikunci, dan dampak yang terjadi adalah walaupun kendaraan tidak dapat dicuri saat itu juga, penyusup dapat meninggalkan suatu akses terhadap kendaraan yang dapat eksploitasi lebih lanjut dikemudian hari.
Penilaian Kerentanan atau Pengujian Penetrasi?
Kelanjutan pertanyaan di atas sering kali adalah “Mana yang lebih baik? Mana yang lebih dulu perlu dilakukan?”
Proses umum Penilaian Kerentanan akan menjawab pertanyaan:
Apa saja celah keamanan kami, dan bagaimana kami memperbaikinya?
Sedangkan secara sederhana Pengujian Penetrasi (Penetration Testing) akan menjawab pertanyaan:
Apakah orang luar dapat menyusup? dan informasi apa saja yang akan mereka dapatkan?
Penilaian Kerentatan keamanan adalah proses utama perbaikan menuju kepada kematangan dan intergrasi sistem keamanan informasi. Sedangkan Pengujian Penetrasi hanya potret efektifitas sistem keamanan informasi yang sudah diterapkan saat potret dilakukan. Karena dasar inilah, tanpa bermaksud mengesampingkan Pengujian Penetrasi, Penilaian Kerentanan dapat memberikan nilai tambah lebih kepada organisasi dibandingkan dengan Pengujian Penetrasi atas pentingnya Sistem Manajemen yang efisien.
Sumber Rujukan:
1 (https://www.secureworks.com/blog/vulnerability-assessments-versus- penetration-tests)
2 (//focus.forsythe.com/articles/211/8-Steps-to-an-Effective-Vulnerability- Assessment)