9 Berbagai Jenis Pengujian Penetrasi [Digunakan Pada Tahun 2021]
Di dunia korporat saat ini, keamanan telah menjadi masalah yang paling umum. Setiap hari, kami mendengar tentang bagaimana penyerang meretas sistem komputer dan mencuri semua informasi penting.
Pada 2019, ada 1.473 pelanggaran data yang dilaporkan di Amerika Serikat, dengan lebih dari 164 juta catatan sensitif terekspos. Pada paruh pertama tahun 2020, jumlah pelanggaran data berjumlah 540. — Laporan Statista
Untuk mendeteksi kelemahan dan kerentanan keamanan, banyak perusahaan besar melakukan simulasi serangan siber resmi pada sistem mereka sendiri. Inilah yang kami sebut pengujian penetrasi (disingkat Pen Test). Pada dasarnya, tujuannya adalah untuk mengidentifikasi kerentanan dan kelemahan keamanan sebelum peretas cyber dan memperbaikinya sesegera mungkin.
Lebih khusus lagi, pengujian penetrasi melibatkan simulasi skenario serangan dunia nyata untuk menemukan dan mengeksploitasi celah keamanan (dengan cara yang aman) yang pada akhirnya dapat menyebabkan informasi yang dicuri, kredensial yang disusupi, atau hasil bisnis berbahaya lainnya.
Ini dapat dilakukan secara internal melalui alat pengujian pena atau dialihdayakan ke penyedia pengujian penetrasi. Prosesnya biasanya dimulai dengan seorang profesional keamanan yang menghitung jaringan target untuk mendeteksi perangkat atau akun yang rentan. Ini berarti memindai setiap perangkat di jaringan untuk mencari port terbuka yang memiliki layanan yang berjalan di dalamnya.
Tingkat intrusi tergantung pada jenis operasi apa yang ingin dijelajahi oleh penguji keamanan pada sistem target. Oleh karena itu, penguji harus memiliki pengetahuan yang baik tentang jenis tes pena yang paling relevan.
Tes penetrasi dapat diklasifikasikan berdasarkan bagaimana mereka dilakukan serta aset dan komponen yang ditargetkan. Dalam artikel ringkasan ini, kami telah menjelaskan berbagai jenis pengujian penetrasi yang dirancang untuk menjadi intens dan invasif.
Pengujian Penetrasi Berdasarkan Metode yang Digunakan
1. Pengujian Kotak Hitam
- Kasus uji dapat dirancang segera
- Dapat mendeteksi jenis cacat tertentu
Dalam pengujian penetrasi kotak hitam, penguji tidak memiliki akses ke aplikasi klien, konfigurasi jaringan, atau informasi internal apa pun. Dia melakukan semua pengintaian untuk mengekstrak informasi yang diperlukan.
Jenis pengujian ini menentukan kelemahan sistem yang dapat dieksploitasi dari luar jaringan. Menemukan kelemahan tersebut bergantung pada pemeriksaan dinamis terhadap program dan sistem yang sedang berjalan dalam jaringan target.
Penguji harus terbiasa dengan perangkat lunak pemindaian otomatis dan berbagai teknik pengujian penetrasi manual. Karena tidak ada pengetahuan sebelumnya tentang konfigurasi sistem atau kode sumber aplikasi, penguji penetrasi kotak hitam harus mampu membangun peta jaringan targetnya sendiri berdasarkan pengamatan pribadi.
Pengetahuan yang terbatas mencegah penguji menemukan semua kerentanan dalam sistem. Ini adalah kelemahan utama dari jenis pengujian ini. Jika penguji tidak dapat menembus semua batas, kerentanan internal tetap tidak terungkap.
Namun, ini dapat mengungkap jenis kelemahan tertentu, seperti kesalahan konfigurasi server dan kesalahan validasi input/output. Agar berhasil (mendeteksi dan memulihkan lebih banyak kerentanan secara efisien), metodologi pengujian kotak hitam harus dikombinasikan dengan alat pengujian lainnya.
Ada banyak alat yang tersedia di pasar untuk melakukan pengujian penetrasi kotak hitam. Wapiti, misalnya, menganalisis aplikasi web untuk potensi kewajiban dengan memasukkan data sementara.
2. Pengujian Kotak Putih
- Lebih Lengkap
- Memungkinkan pengoptimalan kode dan deteksi masalah keamanan tersembunyi
Seperti namanya, pengujian penetrasi kotak putih adalah kebalikan dari pengujian kotak hitam. Penguji memiliki akses lengkap ke dokumentasi arsitektur, kode sumber, dan informasi sistem lainnya.
Penguji menyaring sejumlah besar data yang tersedia untuk mendeteksi titik kelemahan potensial. Mereka dapat menggunakan penganalisis kode dan debugger statis dan dinamis untuk jenis pengujian ini.
Karena penguji memiliki pengetahuan lengkap tentang sistem, dibutuhkan lebih banyak waktu untuk memutuskan modul mana yang harus diuji terlebih dahulu dan perangkat lunak spesifik apa yang harus digunakan untuk melakukan pengujian.
JUnit, PyUnit, Selenium adalah beberapa alat pengujian kotak putih sumber terbuka yang paling populer. Selenium, misalnya, digunakan untuk memvalidasi aplikasi web di berbagai browser dan platform.
3. Pengujian Kotak Abu-abu
- Mengidentifikasi kerentanan yang lebih signifikan dengan biaya dan upaya yang lebih sedikit
- Pengujian dilakukan dari sudut pandang pengguna, bukan dari sudut pandang desainer
Ini adalah kombinasi dari pengujian penetrasi kotak hitam dan kotak putih. Penguji pena kotak abu-abu memiliki beberapa pengetahuan tentang internal sistem, seperti database dan dokumen desain. Dengan pengetahuan yang terbatas ini, dia dapat membuat data pengujian dan kasus pengujian yang lebih baik sambil menyiapkan rencana pengujian.
Jenis pengujian ini memberikan penilaian keamanan sistem yang lebih efisien dan terfokus dibandingkan dengan penilaian kotak hitam. Itu dapat mengidentifikasi cacat karena penggunaan aplikasi yang tidak tepat atau struktur kode yang tidak tepat. Lebih khusus lagi, ini mengungkap kesalahan khusus konteks dengan berkonsentrasi pada semua lapisan sistem yang kompleks.
Pengujian kotak abu-abu lebih cocok untuk pengujian fungsional, aplikasi web, layanan web, penilaian keamanan, dan GUI. Burp Suite adalah salah satu alat pengujian kotak abu-abu populer yang mengeksploitasi kerentanan aplikasi dengan menyerang titik-titik tidak aman sementara.
Berbeda Antara Ketiga Teknik Pengujian Ini
| Pengujian Penetrasi Kotak Hitam | Pengujian Penetrasi Kotak Abu-abu | Pengujian Penetrasi Kotak Putih |
| Tidak diperlukan pengetahuan tentang kerja internal sistem | Diperlukan pengetahuan sebagian tentang kerja internal sistem | Diperlukan pengetahuan lengkap tentang kerja internal sistem |
| Sangat sulit untuk menemukan kesalahan tersembunyi | Sulit untuk menemukan kesalahan tersembunyi | Sederhana untuk menemukan kesalahan tersembunyi |
| Juga dikenal sebagai pengujian kotak tertutup atau pengujian berdasarkan data | Juga dikenal sebagai pengujian tembus cahaya | Juga dikenal sebagai pengujian kotak-jelas, pengujian struktural, atau pengujian berbasis kode |
| Paling tidak memakan waktu | Sebagian memakan waktu | Paling komprehensif dan memakan waktu |
| Terbaik untuk menemukan kesalahan validasi input/output | Paling cocok untuk menguji domain data dan desain sistem | Paling cocok untuk menguji algoritme, struktur kode, dan batas internal |
| Pengujian dilakukan oleh pengguna akhir, pengembang, dan penguji | Pengujian dilakukan oleh penguji dan pengembang independen | Pengujian dilakukan oleh penguji dan pengembang |
Pengujian Penetrasi Berdasarkan Komponen yang Ditargetkan
1. Pengujian Layanan Jaringan
- Mencegah pelanggaran jaringan dan data
- Memastikan keamanan jaringan dan sistem
Proses pengujian penetrasi jaringan melibatkan penemuan kerentanan keamanan dalam aplikasi dan sistem dengan menggunakan metode berbahaya yang berbeda untuk memeriksa keamanan jaringan.
Biasanya, penguji mengidentifikasi jaringan, host, sistem, dan perangkat yang dapat dieksploitasi (seperti sakelar dan router) untuk mengungkap kelemahan. Karena jaringan memiliki titik akses eksternal dan internal, maka wajib untuk melakukan pengujian dari jarak jauh dari dunia luar dan secara lokal di situs klien.
Ini membantu penguji memahami tingkat risiko yang dihadapi organisasi dan cara mengatasi serta memperbaiki kelemahan keamanan. Bergantung pada risikonya, mereka dapat menargetkan area jaringan yang berbeda dalam pengujian mereka. Misalnya, mereka dapat melakukan:
- Pengujian analisis stateful
- Pengujian konfigurasi firewall
- Pengujian melewati firewall
- Serangan DNS
Protokol yang paling umum diselidiki dalam tes ini meliputi:
- Protokol Transfer Surat Sederhana (SMTP)
- Protokol Transfer File (FTP)
- Secure Shell (SSH)
- MySQL dan SQL Server
Bergantung pada ukuran dan kompleksitas sistem, mungkin diperlukan waktu antara satu dan empat minggu untuk menyelesaikan uji penetrasi jaringan. Penguji dapat menawarkan perkiraan terperinci hanya setelah melingkupi proyek.
2. Pengujian Pena Aplikasi Web
Langkah-langkah untuk melakukan uji pena aplikasi web
- Mengidentifikasi kerentanan dalam desain dan konfigurasi
Menemukan penyusup dan memblokirnya
Karena banyak aplikasi web menyimpan informasi sensitif, maka perlu untuk menjaganya agar tetap aman setiap saat. Salah satu cara untuk melakukannya adalah dengan menyertakan pengujian penetrasi aplikasi web sebagai bagian dari Siklus Hidup Pengembangan Perangkat Lunak (SDLC).
Tes pena memudahkan untuk menentukan kerentanan seluruh aplikasi web dan di seluruh komponennya, termasuk database, jaringan backend, dan kode sumbernya. Ini membantu pengembang menentukan dan memprioritaskan kelemahan dan kesalahan serta menemukan cara untuk menguranginya.
Jenis pengujian ini melibatkan pengumpulan data tentang aplikasi web target, memetakan jaringan host, dan memeriksa semua kemungkinan titik serangan injeksi atau gangguan. Alasan terbanyak untuk melakukan pengujian pena aplikasi web adalah:
- Mendeteksi kerentanan yang tidak diketahui
- Periksa komponen yang terbuka untuk umum, seperti router dan firewall
- Temukan rute yang paling rentan untuk kemungkinan serangan
- Cari celah yang dapat mengakibatkan pencurian informasi
- Periksa efektivitas kebijakan keamanan yang ada
Banyak alat tersedia di pasar untuk melakukan pengujian penetrasi aplikasi web (baik manual maupun otomatis). Vega, Veracode, dan Zap adalah beberapa yang paling umum untuk melakukan tes cepat.
3. Pengujian Pena Nirkabel
- Menentukan postur keamanan jaringan nirkabel yang realistis
- Mengatasi kerentanan dan kebijakan/prosedur keamanan
Pengujian penetrasi nirkabel melibatkan pendeteksian dan analisis koneksi antara semua perangkat yang terhubung ke WiFi bisnis. Ini termasuk laptop, ponsel cerdas, tablet, printer, dan perangkat Internet of Things (IoT) lainnya.
Berbagai protokol nirkabel dan titik akses nirkabel diuji untuk menemukan celah keamanan. Biasanya, pengujian ini dilakukan di situs klien karena penguji harus berada dalam jangkauan sinyal nirkabel untuk mengakses perangkat.
Dalam kebanyakan kasus, kerentanan ditemukan di titik akses wifi karena kurangnya penyaringan MAC dan Kontrol Akses Jaringan yang tidak memadai. Untuk mengatasi masalah ini sebelum benar-benar terjadi, penting untuk menguji efektivitas postur keamanan untuk mengungkap kelemahan yang tidak diinginkan.
Penting juga untuk diingat bahwa WiFi bukan satu-satunya yang dapat dieksploitasi oleh penyerang teknologi nirkabel. Ada beberapa perangkat Bluetooth, perangkat Bluetooth Hemat Energi, dan teknologi lain yang kurang populer, seperti Z-wave dan DECT (telepon nirkabel), yang ditemukan di tempat umum.
4. Pengujian Penetrasi Sisi Klien
- Mendeteksi kesalahan konfigurasi keamanan di perangkat lunak sisi klien
- Memungkinkan kontrol yang tepat atas lalu lintas jaringan masuk dan keluar
Ini adalah Pen Test internal di mana penguji mengeksploitasi kerentanan dalam program aplikasi sisi klien seperti browser web, Adobe Acrobat, klien email, Macromedia Flash, dll.
Meskipun tidak ada aturan untuk melakukan pengujian semacam itu pada interval tertentu, bisnis harus melakukan pengujian pena saat infrastruktur TI baru atau aplikasi sisi klien ditambahkan atau saat infrastruktur yang ada diubah.
Sebagian besar kerentanan sisi klien terjadi karena perangkat lunak yang belum ditambal yang diinstal pada laptop atau desktop. Beberapa penyerang bahkan mencegat proses pembaruan, mengirimkan kode berbahaya bersama dengan pembaruan asli.
Perangkat USB juga terinfeksi file berbahaya atau kode yang dapat dieksekusi. File-file ini secara otomatis dieksekusi segera setelah korban memasang USB ke mesinnya. Pembuatan skrip lintas situs, pembajakan formulir, pembajakan klik, injeksi HTML, dan pengalihan terbuka adalah beberapa serangan keamanan sisi klien yang paling umum.
Inilah sebabnya mengapa penting untuk menguji kerentanan karyawan dan kemampuan jaringan untuk mengenali dan merespons serangan sisi klien.
5. Pengujian Pena Eksternal
- Penilaian keamanan sistem perimeter perusahaan
- Mencakup penilaian lapisan aplikasi dan lapisan jaringan
Pengujian penetrasi eksternal umumnya menguji dari perspektif penyerang tanpa akses sebelumnya ke sistem atau jaringan target. Ini berbeda dengan pengujian pena internal, di mana penyerang sudah memiliki pijakan di mesin yang disusupi.
Dalam pengujian pena eksternal, penguji mencoba mendapatkan akses ke jaringan internal dengan memanfaatkan kerentanan yang ditemukan pada aset eksternal. Dia melakukan pengintaian pada aset dalam cakupan, mengumpulkan data pada semua aset dalam cakupan.
Data ini mungkin termasuk port terbuka, kerentanan, atau informasi karyawan untuk serangan kata sandi. Setelah perimeter dilanggar, tujuan pengujian penetrasi eksternal tercapai, dan penguji melanjutkan ke pengujian pena internal.
Baca: 30 Alat Pelacakan Bug yang Berguna Untuk Pengembang
6. Rekayasa Sosial
- Menipu karyawan yang tidak menaruh curiga agar membahayakan keamanan perusahaan
- Manfaatkan psikologi manusia untuk mendapatkan data rahasia
Istilah rekayasa sosial digunakan untuk berbagai aktivitas jahat yang dilakukan melalui interaksi manusia. Karena bergantung pada kesalahan manusia (bukan kelemahan dalam aplikasi atau jaringan), ini kurang dapat diprediksi dan lebih sulit dideteksi daripada intrusi berbasis malware.
Tes semacam ini melibatkan upaya untuk mendapatkan data rahasia dengan menipu karyawan perusahaan agar mengungkapkan informasi sensitif. Ini dapat dicapai melalui pengujian jarak jauh atau pengujian fisik.
Baca: 15 Alat Pembuatan Data Pengujian Terbaik
Pengujian jarak jauh melibatkan pengiriman email phishing ke karyawan atau membombardir perangkat mereka dengan alarm palsu atau ancaman fiktif. Sebaliknya, pengujian fisik meliputi tailgating, peniruan identitas, penyelaman tempat sampah, ancaman fisik, dll.
