Penetration Testing adalah: Fase, Contoh dan Manfaatnya

Last Updated on November 15, 2022 by

Bagi Anda yang sedang menjalankan layanan di internet, pastinya ingin agar pengguna layanan Anda melakukan seluruh kegiatan dengan aman dan nyaman. Apalagi jika Anda menjalankan layanan yang sering memproses data-data pribadi. Agar layanan yang Anda jalankan selalu aman dan kuat menghadapi serangan dari pihak luar, Penetration Testing adalah salah satu kegiatan yang wajib dilakukan. Penasaran mengetahui apa itu penetration testing? Yuk, simak lebih lanjut artikel kami kali ini!

Apa itu penetration testing?

Penetration Testing adalah sebuah proses yang membantu menemukan celah keamanan sistem. Dalam kegiatan penetration testing atau juga bisa disebut pen testing, biasanya dilakukan suatu simulasi serangan pada sistem atau infrastruktur untuk diketahui seberapa aman dan seberapa kuat sistem tersebut dapat menghadapi serangan. Hasil dari pen testing akan dilaporkan secara lengkap, yang berisi cara untuk mengatasi kekurangan dan bahkan tahapan-tahapan untuk menyerangnya.

Biasanya, proses penetration testing akan melibatkan beberapa teknik yang dilakukan secara manual atau otomatis untuk menirukan kegiatan serangan ke sistem informasi yang dimiliki suatu organisasi. Pen testing dilakukan pada lingkungan khusus yang dibuat serupa dengan kondisi sebenarnya agar data-data tidak hilang. Tujuan dari penetration testing adalah menilai seberapa aman dan seberapa efektif pertahanan pada sistem tersebut. Pen testing sangat perlu dilakukan pada perusahaan yang menyimpan data-data bersifat pribadi dan sensitif, seperti bank dan lembaga keuangan, penyedia layanan kesehatan, serta penyedia layanan lainnya agar sistem senantiasa aman dan terhindar dari risiko kebocoran data, pengambilalihan kendali, dan juga serangan-serangan sejenis.

Jenis-jenis penetration testing

Pen testing sendiri dapat dibagi menjadi 4 jenis. Jenis-jenis dari penetration testing adalah:

1. Network penetration testing

Pen testing jenis ini melakukan pengujian pada struktur fisik dalam jaringan suatu organisasi untuk kemudian dicari kekurangannya dari sisi desain, operasi atau implementasi jaringan tersebut. Perangkat yang diuji seperti komputer, modem, dan akses perangkat jarak jauh.

2. Physical penetration testing

Pen testing jenis ini mensimulasi ancaman sungguhan. Penguji akan berperan layaknya penyerang (cyber-attacker) dan mencoba merusak pertahanan keamanan yang dimiliki. Pengujian ini bertujuan untuk memeriksa celah keamanan pada perangkat-perangkat seperti kamera pengamanan, locker, sensor dan lain-lain.

3. Web application penetration testing

Pen testing jenis ini mengecek kelemahan dan celah keamanan dalam aplikasi berbasis web. Dalam web application pen test, pengujian akan mencari masalah keamanan yang dapat terjadi akibat rancangan atau kode dalam pengembangan di dalam aplikasi. Jenis pen testing yang satu ini harus dilakukan terutama pada aplikasi yang menangani transaksi dalam jaringan, seperti aplikasi perbankan dan belanja online.

4. Wireless network penetration testing

Pen testing jenis ini dilakukan untuk memeriksa perangkat-perangkat yang terhubung melalui koneksi internet tanpa kabel alias Wi-Fi dalam suatu organisasi. Ini dilakukan untuk menghindari kebocoran data yang dapat terjadi akibat pertukaran yang dilakukan dengan jaringan Wi-Fi yang kurang aman.

5. Social engineering penetration testing

Berbeda dengan jenis pen testing lain, pen testing jenis ini ditujukan kepada pegawai atau orang-orang dalam organisasi. Testing jenis ini dilakukan dengan mengirimkan pesan penipuan, termasuk spam dan phishing kepada orang-orang terkait untuk mengetahui apakah mereka akan terkecoh dengan pesan yang dapat membahayakan keamanan data orang-orang atau bahkan organisasi tersebut.

Siapa yang melakukan penetration testing?

Penetration testing dilakukan oleh orang-orang tertentu yang disebut pen tester yang akan merancang dan merencanakan simulasi pengujian. Pen tester juga akan melaporkan penemuan dari hasil pengujian kepada klien.

Manual penetration testing dan automated penetration testing

Seperti yang disinggung di awal, penetration testing dapat dilakukan secara manual atau secara otomatis. Lalu, di antara keduanya apakah ada yang lebih baik? Berikut adalah perbandingan antara manual dan automated penetration testing:

• Manual penetration testing diperlukan untuk pengujian yang bersifat logika yang perlu pengawasan manusia, sedangkan automated penetration testing dapat dilakukan jika pengujian tidak perlu menyertakan campur tangan manusia.
• Manual penetration testing memerlukan waktu yang lebih lama jika dibandingkan dengan automated penetration testing, terutama jika pengujian harus dilakukan pada banyak aspek
• Pengujian bersifat manual dapat membantu manusia dalam mempelajari masalah-masalah baru lebih cepat daripada alat pengujian secara otomatis yang perlu senantiasa diperbarui agar dapat mengenali masalah baru, itu pun pastinya dengan bantuan manusia
• Pengujian secara manual juga menghasilkan kesalahan deteksi (false positive) lebih sedikit daripada pengujian otomatis.

Fase-fase penetration testing

Penetration testing sendiri memiliki beberapa fase, tergantung dari tool yang digunakan. Dirangkum dari berbagai sumber, fase-fase dari penetration testing adalah:

1. Information/reconnaisance: proses mengumpulkan informasi pada sistem yang ditargetkan untuk diuji.
2. Scanning: proses untuk mendapatkan pengetahuan tentang sistem.
3. Access: setelah informasi yang didapatkan dirasa cukup, penguji akan mencoba memasuki sistem.
4. Maintaining Access: penguji akan berusaha mempertahankan aksesnya di dalam sistem untuk mengumpulkan informasi lebih banyak dengan waktu selama mungkin.
5. Covering Tracks: setelah sistem dimasuki, jejak-jejak yang ditinggalkan pada sistem akan dihapus.
6. Reporting: penguji akan membuat laporan tentang proses pengujian, meliputi alat-alat yang digunakan untuk menembus sistem, celah yang ditemukan, apa saja yang perlu dibenahi, serta tingkat keberhasilan percobaan. Laporan akan disampaikan kepada organisasi untuk ditindaklanjuti. Setelah dilakukan pembenahan, sistem dapat dites ulang jika masih terdapat masalah lain.

Strategi penetration testing

Pen testing dapat dilakukan dengan beberapa strategi. Dilihat dari sisi pengujian yang akan dilakukan, penetration testing dapat dibagi menjadi external testing atau pengujian yang dilakukan dari luar untuk mengetahui seberapa efektifkah sistem keamanan yang diterapkan sampai akhirnya jebol, serta internal testing atau pengujian yang dilakukan dari dalam untuk mengetahui seberapa besar kerusakan yang dapat disebabkan oleh orang-orang dari dalam organisasi.

Sedangkan jika dilihat dari penerapannya, pen testing dapat dibagi seperti berikut ini:

1. Black box penetration testing: adalah pengujian yang dilakukan ketika testertidak mengetahui infrastruktur yang diterapkan. Pada jenis ini, penguji akan mencoba menebak celah untuk masuk ke sistem layaknya serangan siber yang biasa terjadi. Pengujian jenis ini biasanya memerlukan waktu yang lebih lama.
2. White box penetration testing: adalah pengujian yang dilakukan ketika testerdiberi informasi langkap tentang infrastruktur yang terpasang, lingkungan di dalam sistem, serta source code. Pada jenis ini, penguji akan menginspeksi seluruh aspek, seperti rancangan aplikasi dan kualitas kode yang digunakan. Durasi white box penetration testing akan lebih singkat jika dibandingkan black box penetration testing.
3. Gray box penetration testing: adalah pengujian yang dilakukan ketika testerdiberi sebagian informasi tentang struktur sistem dan kode.

Aplikasi untuk Penetration Testing

Beberapa tools yang dapat membantu proses penetration testing atau pen testing di antaranya sebagai berikut:

1. SQLMap:aplikasi bersifat open source untuk mendeteksi masalah SQL Injection dan pengambilalihan kendali database.
2. Nmap(network mapper): aplikasi untuk menemukan masalah atau celah pada jaringan di suatu organisasi.
3. Metasploit: aplikasi yang memiliki kumpulan tool untuk penetration testing dengan banyak kegunaan, di antaranya menemukan celah keamanan dan mengelola evaluasi keamanan. Metasploit dapat digunakan untuk server, jaringan, dan aplikasi.
4. Wireshark: aplikasi yang membantu mengamati dan menganalisis aktivitas dalam jaringan.
5. Nessus: aplikasi pen testing yang telah dipercaya oleh perusahaan-perusahaan besar, yang membantu memindai (scan) IP address, website, serta penilaian terhadap kerentanan lainnya.
6. Netsparker: tooluntuk mengecek keamanan dari aplikasi web, seperti SQL injection, XSS, dan celah keamanan lain.
7. Acunetix: toollainnya untuk mengecek keamanan dari aplikasi web secara otomatis.
8. John the Ripper Password Checker: aplikasi open sourceuntuk mengecek keamanan kata sandi (password) pada database.

Demikian pembahasan kali ini soal penetration testing atau pen test, semoga bermanfaat untuk memperkuat keamanan pada layanan yang Anda jalankan. Jika Anda masih ingin tahu hal lainnya tentang pengembangan web dan aplikasi, yuk ikuti terus appkey.id agar tidak ketinggalan pembahasan terbaru dari kami!