Oleh: Shella Kharimah selaku Principal Product Manager GLAIR.AI
Transformasi bisnis digital suatu organisasi akan mendorong ancaman yang lebih besar lagi terhadap jaringan dan arsitektur TI di dalam organisasi. Kita harus dapat mencegah, mendeteksi, merespons, dan memulihkan dari serangan siber untuk mengurangi risiko insiden keamanan dan menghindari biaya serangan siber. Banyak serangan dapat dihindari dengan memastikan bahwa semua kerentanan perangkat lunak yang diketahui telah diperbaiki dan sering melakukan audit keamanan untuk mengidentifikasi kelemahan yang tidak diketahui. Namun, tidak ada sistem yang dapat terjamin aman tanpa batas. Kita memerlukan prosedur formal untuk mendeteksi, merespons, dan memulihkan dari risiko. Salah satu metode untuk menangani risiko ini adalah dengan melakukan penetration testing.
Penetration Testing harus memerinci kerentanan aset yang diuji dan potensi ancaman dan serangan terhadap arsitektur IT. Data yang diakses selama proses pengujian juga harus disertakan. Ada berbagai bentuk data yang dapat membuat perusahaan atau organisasi rentan jika diretas. Informasi tentang perusahaan dapat berguna bagi kompetitor atau data tentang pelanggan yang dapat melanggar peraturan privasi jika dirilis adalah contoh aset. Laporan terperinci diperlukan karena aset yang berbeda memiliki tingkat relevansi yang berbeda bagi suatu organisasi.
Salah satu manfaat yang paling umum dari Penetration Testing bagi banyak organisasi adalah menyediakan workflow untuk pemulihan risiko dan serangan IT secara terkontrol dan optimal. Penetration Testing akan mengungkapkan daftar kerentanan di lingkungan target serta bahaya yang menyertainya.
Apa itu Penetration Testing dan Mengapa Bisnis Membutuhkannya?
Penetration Testing menjawab pertanyaan sederhana: “Apa yang akan dilakukan hacker untuk merusak sistem komputer, aplikasi, dan jaringan organisasi saya?”. Ini adalah praktik pengujian sistem komputer, jaringan, atau aplikasi web untuk menemukan kerentanan yang dapat dieksploitasi penyerang, mensimulasikan serangan terhadap aset TI organisasi.
Kerentanan dapat muncul karena berbagai penyebab, yang paling umum adalah: design flaws pada perangkat keras dan perangkat lunak, penggunaan jaringan yang tidak terlindungi, sistem komputer, jaringan, dan aplikasi yang tidak diatur dengan benar, sistem komputer dengan arsitektur yang kompleks, dan kesalahan manusia yang mungkin terjadi. Penetration Testing yang efisien membantu dalam menemukan beberapa vektor serangan dan kesalahan konfigurasi. Membantu organisasi memulihkan pelanggaran digital dan menutup celah keamanan digital untuk melindungi aset bisnis penting dan program keamanan untuk mengurangi risiko secara keseluruhan.
Bisnis digital perlu melakukan Penetration Testing karena bukan hanya keharusan tetapi kewajiban. Penetration Testing penting bagi sebuah bisnis karena berguna bagi pemilik/pengelola sistem dalam mengetahui tingkat keamanan sistem dan responsnya dalam mencegah dan mengatasi segala risiko yang dapat menyerang infrastruktur IT kita setiap saat. Selain memberikan manfaat teknis, Penetration Testing juga memberikan manfaat dari segi bisnis, dapat membangun kepercayaan dengan pelanggan dengan menjamin sistem IT yang aman, misalnya pada perusahaan yang bergerak di bidang keuangan, sekaligus meningkatkan loyalitas pelanggan dalam penggunaan layanan bisnis digital.
Bagaimana Penetration Testing Bekerja?
Penetration Testing memiliki beberapa fitur utama, termasuk network vulnerability assessment, application security testing, credential patch auditing dan social security awareness. Apa perbedaannya:
–Network Vulnerability Assessment: Meninjau dan menganalisis jaringan komputer untuk kemungkinan kerentanan dan ancaman keamanan.
–Application Security Testing: Analisis aktif pada aplikasi (seluler & situs web) untuk setiap kelemahan, kelemahan teknis, logika bisnis, atau kerentanan.
–Credentials Patch Audit: Otentikasi ke host dan menghitung pembaruan yang hilang.
–Social Security Awareness: Penilaian untuk menargetkan dan memanfaatkan kelemahan manusia untuk mendapatkan akses ke jaringan atau infrastruktur.
Sebagai tambahan, bahwa proses dalam penetrasi ini bisa berbeda antarorganisasi atau bisnis tetapi secara umum terdiri dari empat proses utama, yang pertama adalah intelligence gathering untuk mengidentifikasi sistem secara keseluruhan, pengujian keamanan aplikasi dalam Penetration Testing sistem terhadap serangan digital, analisis kerentanan dan validasi untuk menganalisis respons sistem terhadap serangan secara detail dan menentukan rencana rekomendasi dalam menanggulanginya, dan yang terakhir adalah pelaporan dan rekomendasi dalam memberikan laporan dan solusi yang komprehensif untuk semua temuan yang diperoleh sistem agar dapat ditangani.
Metode dalam melaksanakan Penetration Testing terdiri dari dua metodologi di antaranya.
–Black box Testing: Ketika penyerang tidak memiliki pengetahuan tentang target, disebut sebagai black box penetration test. Tipe pengujian ini membutuhkan banyak waktu untuk menemukan kerentanan dan titik lemah sistem. Metode pengujian ini dilakukan tanpa mengetahui struktur sistem. Metode ini membutuhkan banyak waktu jika dibandingkan dengan metode Penetration Testing secara white box.
–White box Testing: Ketika penyerang diberi pengetahuan lengkap tentang target, disebut sebagai white box penetration test. Penyerang memiliki pengetahuan lengkap tentang alamat IP, kontrol yang ada, contoh kode, detail sistem operasi, dan dokumentasi aplikasi. Ini membutuhkan lebih sedikit waktu jika dibandingkan dengan metode Penetration Testing secara black box.
Dengan mengacu pada best practise, biasanya menggunakan standar referensi seperti Common Vulnerability Scoring System (CVSS), yang merupakan kerangka kerja terbuka yang digunakan untuk mengkomunikasikan karakteristik dan dampak kerentanan aplikasi. CVSS terdiri dari tiga kelompok pengukuran: Base, Temporal, dan Environmental. Dan OWASP Top 10 yang berisi panduan bagi developer dan tim keamanan tentang kerentanan pada aplikasi web yang rentan terhadap serangan dan harus segera diatasi. Daftar periksa ini berfungsi untuk menentukan apakah situs web atau aplikasi Anda aman atau tidak dengan mematuhi empat kriteria prevalence, detection, exploitation, dan business impact.
Tantangan Penetration Testing dan Bagaimana Mengatasinya?
Ada beberapa tantangan dari implementasi Penetration Testing, di antaranya masih banyak perusahaan yang tidak menyadari pentingnya keamanan dan perlunya melakukan Penetration Testing sehingga mereka acuh dalam menyikapi keamanan sistem IT mereka, sedangkan dari segi teknis biasanya terdapat kendala dalam mengelola sistem IT yang down saat simulasi serangan dilakukan, dan yang terakhir adalah masalah akses kredensial yang mana beberapa perusahaan sangat ketat dan tidak mau atau kolot dalam memberikan akses ke data atau sistem mereka.
Dua masalah teknis tersebut dapat ditanggapi dengan kesepakatan dan pendekatan komunikasi antara tim IT internal perusahaan dengan penyedia layanan third party yang melakukan Penetration Testing atau dengan menyelesaikannya secara teknis, sedangkan masalah mengenai kesadaran dan edukasi akan pentingnya Penetration Testing bagi perusahaan perlu dijelaskan melalui literasi dan sharing knowledge tentang masalah pentingnya keamanan sistem IT dan potensi risiko di dalamnya.
Penetration Testing merupakan bagian penting dari Security Testing. Organisasi dapat menggunakan ini untuk menilai arsitektur IT yang dimilikinya untuk menguji kerentanan dan mengambil tindakan pemulihan yang sesuai. Apabila perusahaan tidak memiliki sumber daya yang cukup dalam pelaksanaan Penetration Testing, maka dapat menggunakan jasa pihak ketiga seperti GLAIR salah satu perusahaan rintisan di Indonesia yang sudah sangat mengerti akan Penetration Testing.
Untuk membuat keputusan keamanan yang tepat bagi organisasi, sangat penting untuk memahami hasil dan saran dalam laporan Penetration Testing. Ini juga penting untuk menutup risiko dan mencegah kerentanan yang ada dalam aplikasi atau sistem. Dalam hal menjalankan penetration testing yang sukses dan memenuhi tujuan bisnis keamanan digital, memiliki mitra penetration testing yang andal sangatlah penting.