Baiklah, Anda telah memiliki tenaga atau karyawan yang handal di bidang IT (ahli dalam pemograman, Jaringan, dan peralatan lainnya.) Perusahaan anda memiliki beberapa cabang di seluruh Indonesia dan semuanya terkoneksi dengan jaringan Piber Optik. Segala sesuatunya terkoneksi dengan server Pusat sehingga data yang di kelola selalu Up to Date. Yang menjadi pertanyaan adalah:
- Apakah ada jaminan bahwa karyawan anda tidak menyalahgunakan wewenang yang dimiliki (serangan dari dalam)?
- Apakah System Anda sepenuhnya aman dari serangan tangan-tangan jahil? (hacker, Cracker, Phreaker, Defacer)?
- Bagaimana Jika pesaing anda mencoba masuk ke system anda untuk mengetahui semua isi perut perusahaan anda? bahaya bukan?
Sebagai salah satu Illustrasi Anda sudah memiliki, misalnya: Toko Buku online, anda telah memiliki ribuan judul atau item buku, semuanya sudah anda setting dengan sangat baik, proses toko online sudah benar, pelanggan anda hanya perlu menggunakan verifikasi pembayaran, petugas toko anda hanya mendapatkan laporan bahwa produk A ini sudah terjual dan tinggal bungkus ke alamat pembeli. Pertanyaan: Bagaimana jika ada yang merubah harga produk anda dari harga sebenarnya?
Anda sudah meng hire Jasa SEO atau tenaga internet marketing untuk meningkatkan penjualan anda, sehingga toko anda telah mengalami perkembangan yang sangat pesat, apakah anda yakin bahwa pesaing anda merasa nyaman akan hal itu? bahkan percurian traffic bukan hal baru pada dunia internet.
Contoh diatas adalah sebagian kecil yang mungkin akan terjadi pada system atau aplikasi anda, sehingga anda membutuhkan orang ahli Penetration Testing di perusahaan.
Istilah-istilah dalam penetration testing :
- Black Box Testing adalah penetration testing dilakukan tanpa mengetahui informasi-informasi sebelumnya yang berkaitan dengan sistem / jaringan seperti, sistem operasi yang digunakan oleh target, topologi jaringannya seperti apa, open port dan service apa saja yang sedang running.
- White Box Testing adalah penetration testing di lakukan terhadap sistem / jaringan dengan tipe white box, biasanya informasi-informasi mengenai sistem / jaringan sudah di ketahui. Tetapi hal tersebut tidak serta-merta memberikan kemudahan dalam melakukan penetrasi, hal tersebut tergantung dari tester yang melakukan pengujian menilai sejauh mana kelemahan-kelemahan yang terdapat di dalam sistem / jaringan.
Untuk Penetration testing pada aplikasi “Web Application Penetration Testing“, metode yang biasa di pakai yaitu:
- Passive Penetration Testing: Dalam hal ini yang dilakukan adalah kita melakukan pemetaan dan pengujian terhadap kontrol yang ada didalam web application, login dan konfigurasinya, sehingga kita bisa memetakan target system.
- Active Penetration Testing: Yaitu kita melakukan kegiatan aktif dalam pengujian terhadap keamanan system dengan melakukan manipulasi input, pengambilan akses, dan melakukan pengujian terhadap vulnerability-vulnerability yang sudah ada.
- Aggressive Penetration Testing: Melakukan eksploitasi terhadap vulnerability, melakukan reverse enginering terhadap software dan system. menanamkan backdoor, mendownload code, mencoba mengambil alih finansial dan informasi yang ada di server.
Alasan lainnya mengapa system administrator WAJIB melakukan penetration testing terhadap systemnya sendiri antara lain untuk menemukan titik kelemahan dan vulnerabilities system sebelum titik kelemahan tersebut dieksploitasi oleh hacker. Hal tersebut menggambarkan bahwa manajemen terhadap system keamanan komputer merupakan sebuah hal yang harus dilakukan, menguji coba terhadap mekanisme firewall/alur keamanan sistem dan meng-evaluasi apakah sistem yang digunakan sudah memenuhi standar keamanan sistem komputer, melakukan tracing terhadap kesalahan internal (kesalahan penerapan algoritma keamanan komputer/rule hak akses) dan bagaimana mempermudah system administrator dalam mengelola management log jika terjadi insiden penyerangan pada sistem (dalam hal ini erat kaitannya dengan digital forensic).
Sumber: kompasiana.com
ITGID akan mengadakan Training Penetration Testing/. Informasi Lengkap Training Penetration Testing Terdekat dapat di lihat di link berikut itgid.org/training
Venue Training : IT Learning Center