Penetration testing merupakan serangkaian metode untuk menemukan celah keamanan dalam sebuah sistem.
Dalam penerapan penetration testing, seorang asesor melakukan serangkaian simulasi serangan yang biasa terjadi dengan cara yang sama dengan yang dilakukan oleh hacker.
Melalui cara ini, asesor akan melakukan serangan yang nyata, sistem yang nyata, dan data yang nyata, kemudian mengidentifikasi kerentanan yang ada pada sistem maupun aplikasi.
Penetration testing tidak bisa dilakukan oleh sembarang orang. Kegiatan penetration testing wajib dilakukan oleh orang yang bersertifikasi dan mengetahui standar resmi. Dengan begitu, penetration testing bisa dilakukan dengan aman.
Manfaat penetration testing
Secara umum, penetration testing bermanfaat untuk identifikasi celah sebuah sistem, kemudian memperbaikinya. Lebih dari itu, penetration testing punya manfaat lain yang tidak kalah penting, diantaranya:
1. Menemukan celah keamanan
Manfaat penetration testing adalah mengidentifikasi celah keamanan dalam website. Sistem jaringan komputer tidak selalu aman dan seringkali celah-celah dalam sistem tersebut tidak diketahui.
Dengan penetration testing, celah-celah dapat teridentifikasi dan kemudian dilakukan perbaikan agar tidak terjadi serangan siber dari luar.
Tentu saja penetration testing akan meningkatkan keamanan sebuah sistem atau website karena semua celah keamanan sudah diperbaiki.
- 10 Knowledge Areas dalam Project Management Body of Knowledge atau PMBOK
- 10 Sistem Keamanan Jaringan Komputer yang Banyak Digunakan
2. Memperkirakan kerugian bisnis
Selain mengidentifikasi celah-celah keamanan kemudian memperbaikinya, penetration testing juga bermanfaat untuk memperkirakan kerugian bisnis.
Ketika terjadi serangan siber, sebuah perusahaan tentu akan mengalami kerugian yang signifikan. Penetration testing bisa memperkirakan kerugian apa yang akan dialami ketika terjadi serangan siber dan bagaimana langkah untuk meminimalisirnya.
Langkah-langkah penetration testing
Dalam melakukan penetration testing, pentester akan menggunakan langkah-langkah berikut ini:
1. Perencanaan
Langkah pertama adalah perencanaan. Dalam tahapan ini pentester akan membicarakan ruang lingkup pentest, range waktu, dokumen legal, jumlah tim yang dibutuhkan, dan apakah staff dan karyawan akan diberitahu terlebih dahulu terkait adanya pentest ini.
2. Information gathering & analysis
Langkah selanjutnya dalam penetration testing adalah information gathering & analysis. Dalam tahap ini, semua informasi tentang sistem akan dikumpulkan. Kemudian dilakukan network survey untuk mengumpulkan informasi terkait domain, server, layanan yang ada, ip address, host, firewall, dan lain-lain.
3. Vulnerability detection
Setelah informasi tentang sistem didapatkan, langkah selanjutnya adalah mencari celah keamanan. Pencarian celah keamanan ini bisa dilakukan baik secara manual maupun otomatis. Prosedur ini juga dilakukan dengan bantuan tools.
4. Percobaan penyerangan
Setelah mendeteksi celah keamanan, langkah selanjutnya adalah melakukan simulasi penyerangan. Dalam proses ini dilakukan penentuan target dan pemilihan tools exploit yang tepat. Umumnya diperlukan juga password cracking.
5. Report & analysis
Tahap terakhir adalah melakukan pelaporan dan analisis. Dalam langkah ini biasanya dilaporkan langkah kerja yang dilakukan, celah keamanan yang ditemukan, dan usulan perbaikan. Biasanya setelah tahap report dan analysis dilakukan tindakan lanjutan yang dapat memperkuat keamanan sistem.
