Artikel ini membahas tentang Fase Uji Penetrasi (Peneration Testing Phase) secara umum yang dilakukan dengan menggabungkan informasi dari berbagai sumber. Pengujian keamanan di mana penguji/evaluator meniru serangan di dunia nyata. Ini dilakukan dalam upaya mengidentifikasi cara untuk menghindari fitur keamanan aplikasi, sistem, atau jaringan. Pengujian penetrasi sering kali melibatkan serangan nyata pada sistem, menggunakan alat dan teknik yang sama yang digunakan oleh penyerang sebenarnya. Sebagian besar pengujian penetrasi melibatkan pencarian kombinasi kerentanan pada satu sistem atau beberapa sistem untuk mendapatkan lebih banyak akses. [Sumber: Kamus CSRC NIST]
Standar Uji Keamanan Siber di Indonesia
Di Indonesia, pengujian ini diatur di dalam Keputusan Menteri Ketenagakerjaan Republik Indonesia Nomor 23 Tahun 2022. Salah satu metode yang dapat diterapkan dalam menjamin keberlangsungan pengelolaan dan keamanan pada sistem informasi adalah dengan melaksanakan Uji Keamanan Siber (UKS). UKS bertujuan untuk menemukan ada atau tidaknya celah kerentanan yang dapat dieksploitasi dalam suatu serangan siber. Beberapa metodologi dan standar yang umum digunakan UKS, antara lain: Open Source Security Testing Methodology Manual (OSSTMM), Penetration Testing Execution Standard (PTES), 4.2.1 Payment Card Industry Data Security Standard (PCI DSS) Penetration Testing Guide, Information System Security Assessment Framework (ISSAF) dan Open Web Application Security Project (OWASP) Testing Guide. [Sumber: SKKNI 23/2022]
Tahapan Umum Uji Penetrasi (Peneration Testing Phase)
Gambar 1 menggambarkan 6 (enam) fase pengujian penetrasi yang umum digunakan. Ini BUKAN merupakan fase baku yang digunakan. Kamsib Indonesia melakukan uji literatur dari berbagai sumber dan mengolahnya menjadi fase tersebut. Pada fase Perencanaan dan Penentuan Ruang Lingkup, aturan diidentifikasi, persetujuan antar penguji dengan pemilik sistem diselesaikan dan didokumentasikan, dan tujuan pengujian ditetapkan.
Tahap Pengumpulan Informasi, penguji melakukan pencarian dan pengumpulan informasi secara terbuka dan dengan melalui pemindaian pasif. Pemindaian pasif dilakukan untuk mengumpulkan data tanpa berinteraksi secara aktif dengan titik akhir.
Tahap berikutnya masuk ke dalam rangkaian Fase Serangan, yakni Tahap Pemindaian. Pemindaian yang dilakukan pada tahap ini mencakup pemindaian aktif. Identifikasi port dan layanan jaringan dilakukan untuk mengidentifikasi target potensial. Selain identifikasi port dan layanan, teknik lain dapat digunakan untuk mengumpulkan informasi tentang sistem.
Catatan: Di dalam dokumen NIST SP 800-115, tahap information gathering dan scanning digabungkan pada tahap Discovery. Konsekuensi hukum dari pemindaian sangat kompleks dan kontroversial. Contohnya adalah perdebatan apakah pemindaian jaringan menggunakan Nmap itu termasuk kegiatan ilegal atau tidak. Tapi perlu kita merujuk dengan aturan di Indonesia, salah satunya adalah UU ITE. Pada Pasal 30(1) Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) berbunyi “Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik milik Orang lain dengan cara apapun”.
Setelah serangan dilakukan dan berbagai temuan kerentanan didapatkan, maka penguji harus melakukan kompilasi temuan hasil pengujian dan menganalisisnya, serta memuatnya di dalam Laporan.
Konten Kamsib Indonesia tentang Penetration Testing
Kamsib Indonesia secara aktif berbagi informasi mengena uji penterasi. Beberapa di antaranya adalah penulisan artikel di website, pembuatan konten di Instagram @kamsib_id, sharing session di komunitas @pentest_id di Telegram, dan pelaksanaan webinar.
Jika Anda ingin menyelenggarakan pelatihan atau kursus mengenai uji penetrasi di perusahaan atau organisasi Anda, bisa menghubungi kami di hubungi@kamsib.id.
mantap! lanjutkan min
oke min