Pernahkah kamu mendengar istilah Penetration Testing?
Penetration Test (Pentest) adalah sebuah metode yang dilakukan untuk mengevaluasi keamanan dari sebuah sistem dan jaringan komputer. Evaluasi dilakukan dengan cara melakukan sebuah simulasi serangan. Hasil dari pentest ini berguna sebagai feedback bagi pengelola sistem untuk memperbaiki tingkat keamanan dari sistem komputer mereka. Saat ini, jasa pentest semakin dibutuhkan seiring dengan meningkatnya kebutuhan untuk melindungi data-data penting di dalam aplikasi atau web perusahaan.
Kenapa Penetration Testing Perlu dilakukan?
Perusahaan-perusahaan besar yang menyimpan data sensitif, seperti Bank tentu tidak ingin jaringannya dibobol oleh orang yang tidak bertanggung jawab dan bisa mengambil alih kontrol jaringan serta dapat menimbulkan kerugian yang sangat besar. Oleh karena itu, perusahaan menginvestasikan dana untuk memperkuat sistem jaringannya. Salah satu metode yang paling efektif adalah melakukan pentest. Dengan melakukan pentest, celah-celah keamanan yang ada dapat diketahui dan dengan demikian dapat diperbaiki secepatnya. Seorang pentester menyimulasikan serangan yang dapat dilakukan, menjelaskan risiko yang bisa terjadi, dan melakukan perbaikan sistem tanpa merusak infrastruktur jaringan perusahaan tersebut.
Dalam melakukan pentest, terdapat beberapa metode yang dapat digunakan, yaitu black box, grey box, dan white box.
Black Box Testing
Dalam metode black box, penguji atau tester tidak dibekali informasi apapun mengenai sistem yang akan diuji, baik itu infrastruktur atau pun source code yang digunakan. Mereka diposisikan seperti seorang hacker yang harus mengeksploitasi sistem untuk mencari celah keamanan yang dapat diretas. Dengan demikian, tester harus mencoba untuk menggali dari awal semua informasi yang diperlukan kemudian melakukan analisis serta menentukan jenis attack yang akan dilakukan.
Penguji yang menggunakan metode black box harus kenal dengan alat pemindaian otomatis dan metodologi pentest manual. Penguji juga harus memiliki kemampuan untuk membuat map dari sistem yang diuji berdasarkan observasi yang telah dilakukan.
Durasi pengujian tergantung dari kemampuan penguji untuk menemukan dan mengeksploitasi sistem. Jika penguji tidak memiliki kemampuan yang baik maka kerentanan sistem belum bisa ditemukan dan diperbaiki.
Grey Box Testing
Ini adalah tahap lanjutan dari Black Box. Jika pentest dengan metode black box memosisikan penguji sebagai hacker atau orang luar, maka metode grey box memosisikan penguji sebagai pengguna. Dalam metode ini, penguji memiliki akses dan informasi hanya sebatas sebagai pengguna.
Tujuan dari metode grey box ini adalah untuk memberikan penilaian keamanan yang lebih efisien daripada black box. Dengan memiliki sejumlah informasi, mereka dapat menguji sistem keamanan dan mensimulasikan serangan. Metode grey box juga memungkinkan penguji dapat melakukan pengujian secara lebih fokus untuk mengeksploitasi kerentanan dengan risiko yang lebih besar.
White Box Testing
Pada White box testing terjadi sebaliknya, tester telah mengetahui semua informasi yang diperlukan untuk melakukan pentest. Karena sudah diberi full access , maka tantangan utama dari White Box Testing adalah meneliti, memilah-milah semua data yang diterima tersebut dan mengalokasikan celah pada tiap titik yang dianggap berpotensi di hack. Ini membuat metode White Box Testing memakan waktu paling lama dibanding dua metode di atas.
White Box penetration Testing memberikan penilaian yang paling komprehensif terhadap kerentanan internal dan eksternal dari sebuah situs. Dan hal ini menjadikan white box testing sebagai metode terbaik untuk penetration testing.
Sumber : www.qtera.co.id
