Pemahaman Metodologi Vulnerability Assessment dan Pengujian Penetrasi

 

Pemahaman Metodologi Vulnerability Assessment dan Ā Pengujian Penetrasi

Perkembangan zaman yang semakin maju ini, banyak perusahan menghabiskan segala cara untuk dapat memberikan keamanan sistem perusahaannya. Semakin meningkatnya kejahatan di dunia digital ini salah satunya adalah kejahatan Cyber. Demi menjaga asset, perusahaan perlu menguji keamanan sistem informasi tersebut, salah satunya dengan menguji secara vulnerability assessment atau dengan melakukan pengujian pentetrasi. Sebelum kita membahas lebih lanjut, kita harus mengetahui metofologi dariĀ  Vulnerability Assesment dan Pengujian Penetrasi .

Vulnerability Assesment

Penilaian kerentatan atau Vulnerability Assessment adalah proses identiļ¬kasi dan kuantiļ¬kasi kerentanan keamananan pada suatu lingkungan keamanan sistem infomasi. Dapat diartikan juga sebagai suatu evaluasi mendalam terhadap keamanan sistem infomasi yang aktif digunakan. Indikasi dari kerentenan dan juga prosedur tindakan penanganan yang perlu dilakukan untuk menghadapi, menghindari, membagi, dan mengurangi kerentanan tersebut sampai batas toleransi selera risiko yang dapat diterima.

Metodologi umum Penilaian Kerentanan

Beberapa metodologi umumĀ  dalam sebuah Penilaian Kerentanan, diantaranya adalah:

  1. Pengkatalogan aset dan sumber lainnya mencakup seluruh sistem yang digunakan pada proses bisnis organisasi
  2. Menentukan nilai dan tingkat kepentingan terhadap aset. Hasil dalam bentuk daftar aset berdasarkan urutan yang dinilai paling tinggi.
  3. Identiļ¬kasi kerentanan keamanan dan potensi ancaman (dengan dampak terburuk) yang dapat terjadi pada setiap aset. Hasil dalam bentuk daftar ancaman berdasarkan tingkat dampak yang dinilai paling tinggi
  4. Mitigasi atau eliminasi, ancaman dilakukan (atau direncanakan) tindakannya terhadap ancaman yang memilik tingkat dampak dan aset yang dinilai paling tinggi.

Lalu bagaimana dengan Pengujian Penetrasi

Kegiatan Pengujian Penetrasi atauĀ  lebih populer Penetration Test,Ā  bertujuan untuk mensimulasikan serangan cyber eksternal atau internal dengan sasaran menembus keamanan jaringan sistem informasi suatu organisasi. Menggunakan berbagai alat dan pendekatan teknik yang berbeda, seorang penguji atauĀ  peretas mencoba mengeksploitasi celah sistem dengan tujuan untuk mendapatkan data-data yang penting yang bersifat sensitif.

Metodologi umum Pengujian Penetrasi

  1. Penentuan ruang lingkup
  2. Mengumpulkan dan pra observasi terhadap sasaran
  3. Upaya eksploitasi akses danĀ  eskalasi
  4. Pengujian pengumpulan data sensitif
  5. Simpulan dan pelaporan akhir

Ada beberapa caraĀ  Pengujian Penetrasi ,Ā Ā  yaitu dengan cara White Box , Black Box atau Grey Box ? Manakah yang lebih cocok ?

Mempertimbangkan lingkup selain hanya penetrasi terhadap sistem jaringan, pengujian dapat bergeser untuk menyasar kepada rekayasa sosial atau akses terhadap fasilitas ļ¬sik. Kriteria utama yang umumnya digunakan adalah white box, dimana penguji menggunakan informasi terdeļ¬nisi hasil dari Penilaian Kerentanan bahkan sampai akses internal lainnya yang diberikan atas suatu system dan black box, dimana pengujian dilakukan dengan minimnya informasi terhadap sasaran, prosesnya tergantung pada kepiawaian danĀ  bagaimana observasi penguji dalam memahami sistem yang menjadi sasarannya.

Pilihan pendekatan lain adalah grey box,Ā  mari analogikan suatu rumahĀ  yang memiliki pagar, halaman, danĀ  ruangan-ruangan pada bangunan rumah. Grey box adalah kondisi seorang penguji sudah masuk kedalam halaman rumah, tidak seperti halnya Black box observasi hanyaĀ  melalui luar pagar atauĀ  White box yang kunci oleh pemiliknya untuk bangunan rumah.

Celah keamanan yang sering kali ditemukan pertama saat menggunakan pendekatan, ialah Grey box.. Grey Box adalah, pagar sudah digembok, pintu garasi pun tertutup, namun ternyata belum dikunci, danĀ  dampak yang terjadi adalah walaupun kendaraan tidak dapat dicuri saat itu juga, penyusup dapat meninggalkan suatu akses terhadap kendaraan yang dapat eksploitasi lebih lanjut dikemudian hari.

Penilaian Kerentanan atau Pengujian Penetrasi?

Kelanjutan pertanyaan di atas sering kali adalah ā€œMana yang lebih baik? Mana yang lebih dulu perlu dilakukan?ā€

Proses umum Penilaian Kerentanan akan menjawab pertanyaan:

Apa saja celah keamanan kami, dan bagaimana kami memperbaikinya?

Sedangkan secara sederhana Pengujian Penetrasi (Penetration Testing) akanĀ  menjawab pertanyaan:

Apakah orang luar dapat menyusup? dan Ā informasi apaĀ  saja yang akan mereka dapatkan?

Penilaian Kerentatan keamanan adalah proses utama perbaikan menuju kepada kematangan danĀ  intergrasi sistem keamanan informasi. Sedangkan Pengujian Penetrasi hanyaĀ  potret efektiļ¬tas sistem keamanan informasi yang sudah diterapkan saat potret dilakukan. Karena dasar inilah, tanpa bermaksud mengesampingkan Pengujian Penetrasi, Penilaian Kerentanan dapat memberikan nilai tambah lebih kepada organisasi dibandingkan dengan Pengujian Penetrasi atas pentingnya Sistem Manajemen yang eļ¬sien.

Sumber Rujukan:
1 (https://www.secureworks.com/blog/vulnerability-assessments-versus- penetration-tests)
2 (//focus.forsythe.com/articles/211/8-Steps-to-an-Eļ¬€ective-Vulnerability- Assessment)

Bagikan:

Menu

[yikes-mailchimp form=”2″]

×

Powered by WhatsApp Chat

× Apa yang bisa kami bantu?