Metodologi dan standar pengujian penetrasi – Blog IBM

Ruang online terus berkembang pesat, membuka lebih banyak peluang terjadinya serangan siber dalam sistem komputer, jaringan, atau aplikasi web. Untuk memitigasi dan bersiap menghadapi risiko tersebut, pengujian penetrasi merupakan langkah penting dalam menemukan kerentanan keamanan yang mungkin digunakan penyerang.

Apa itu pengujian penetrasi?

A uji penetrasi, atau “pen test”, adalah pengujian keamanan yang dijalankan untuk meniru aksi serangan siber. A cyberattack mungkin termasuk upaya phishing atau pelanggaran sistem keamanan jaringan. Ada berbagai jenis pengujian penetrasi yang tersedia untuk suatu organisasi tergantung pada kontrol keamanan yang diperlukan. Pengujian dapat dijalankan secara manual atau dengan alat otomatis melalui lensa tindakan tertentu, atau metodologi pengujian pena.

Mengapa pengujian penetrasi dan siapa yang terlibat?

Ketentuan "peretasan etika” dan “uji penetrasi” terkadang digunakan secara bergantian, namun ada perbedaan. Peretasan etis lebih luas keamanan cyber bidang yang mencakup segala penggunaan keterampilan peretasan untuk meningkatkan keamanan jaringan. Tes penetrasi hanyalah salah satu metode yang digunakan peretas etis. Peretas etis juga dapat memberikan analisis malware, penilaian risiko, dan alat serta teknik peretasan lainnya untuk mengungkap dan memperbaiki kelemahan keamanan daripada menyebabkan kerugian.

IBM Biaya Laporan Pelanggaran Data Pada tahun 2023, ditemukan bahwa kerugian rata-rata global akibat pelanggaran data pada tahun 2023 adalah sebesar USD 4.45 juta, meningkat sebesar 15% dalam kurun waktu 3 tahun. Salah satu cara untuk memitigasi pelanggaran ini adalah dengan melakukan pengujian penetrasi yang akurat dan tepat sasaran.

Perusahaan menyewa penguji pena untuk meluncurkan simulasi serangan terhadap aplikasi, jaringan, dan aset lainnya. Dengan melakukan serangan palsu, penguji penetrasi membantu tim keamanan mengungkap kerentanan keamanan kritis dan meningkatkan postur keamanan secara keseluruhan. Serangan ini sering dilakukan oleh tim merah, atau tim keamanan ofensif. Itu tim Merah mensimulasikan taktik, teknik, dan prosedur (TTP) penyerang nyata terhadap sistem organisasi itu sendiri sebagai cara untuk menilai risiko keamanan.

Ada beberapa metodologi pengujian penetrasi yang perlu dipertimbangkan saat Anda memasuki proses pengujian pena. Pilihan organisasi akan bergantung pada kategori organisasi sasaran, tujuan pengujian pena, dan cakupan pengujian keamanan. Tidak ada pendekatan yang bisa diterapkan untuk semua orang. Hal ini mengharuskan organisasi untuk memahami masalah keamanan dan kebijakan keamanannya agar ada analisis kerentanan yang adil sebelum proses pengujian pena.

Tonton demo pengujian pena dari X-Force

5 metodologi pengujian penetrasi teratas

Salah satu langkah pertama dalam proses pengujian pena adalah memutuskan metodologi mana yang akan diikuti.

Di bawah ini, kami akan mendalami lima kerangka kerja pengujian penetrasi dan metodologi pengujian pena yang paling populer untuk membantu memandu pemangku kepentingan dan organisasi dalam menemukan metode terbaik untuk kebutuhan spesifik mereka dan memastikan metode tersebut mencakup semua area yang diperlukan.

1. Manual Metodologi Pengujian Keamanan Sumber Terbuka

Manual Metodologi Pengujian Keamanan Sumber Terbuka (OSSTMM) adalah salah satu standar pengujian penetrasi yang paling populer. Metodologi ini ditinjau sejawat untuk pengujian keamanan dan dibuat oleh Institute for Security and Open Methodologies (ISECOM).

Metode ini didasarkan pada pendekatan ilmiah terhadap pengujian pena dengan panduan yang dapat diakses dan disesuaikan untuk penguji. OSSTMM mencakup fitur-fitur utama, seperti fokus operasional, pengujian saluran, metrik, dan analisis kepercayaan dalam metodologinya.

OSSTMM menyediakan kerangka kerja untuk pengujian penetrasi jaringan dan penilaian kerentanan bagi para profesional pengujian pena. Hal ini dimaksudkan sebagai kerangka kerja bagi penyedia untuk menemukan dan mengatasi kerentanan, seperti data sensitif dan masalah seputar otentikasi.

2. Buka Proyek Keamanan Aplikasi Web

OWASP, kependekan dari Open Web Application Security Project, adalah organisasi sumber terbuka yang didedikasikan untuk keamanan aplikasi web.

Tujuan organisasi nirlaba ini adalah membuat semua materinya gratis dan mudah diakses oleh siapa saja yang ingin meningkatkan keamanan aplikasi web mereka. OWASP punya sendiri Top 10 (tautan berada di luar ibm.com), yang merupakan laporan terpelihara dengan baik yang menguraikan kekhawatiran dan risiko keamanan terbesar terhadap aplikasi web, seperti pembuatan skrip lintas situs, autentikasi yang rusak, dan berada di balik firewall. OWASP menggunakan daftar 10 teratas sebagai dasar Panduan Pengujian OWASP. 

Panduan ini dibagi menjadi tiga bagian: kerangka pengujian OWASP untuk pengembangan aplikasi web, metodologi pengujian aplikasi web, dan pelaporan. Metodologi aplikasi web dapat digunakan secara terpisah atau sebagai bagian dari kerangka pengujian web untuk pengujian penetrasi aplikasi web, pengujian penetrasi aplikasi seluler, pengujian penetrasi API, dan pengujian penetrasi IoT.

3. Standar Eksekusi Pengujian Penetrasi

PTES, atau Standar Eksekusi Pengujian Penetrasi, adalah metode pengujian penetrasi yang komprehensif.

PTES dirancang oleh tim profesional keamanan informasi dan terdiri dari tujuh bagian utama yang mencakup semua aspek pengujian pena. Tujuan PTES adalah untuk memiliki pedoman teknis yang menguraikan apa yang diharapkan organisasi dari uji penetrasi dan memandu mereka sepanjang proses, dimulai dari tahap pra-keterlibatan.

PTES bertujuan untuk menjadi dasar pengujian penetrasi dan menyediakan metodologi standar bagi para profesional dan organisasi keamanan. Panduan ini menyediakan berbagai sumber daya, seperti praktik terbaik di setiap tahap proses pengujian penetrasi, dari awal hingga akhir. Beberapa fitur utama PTES adalah eksploitasi dan pasca eksploitasi. Eksploitasi mengacu pada proses mendapatkan akses ke suatu sistem melalui teknik penetrasi seperti rekayasa sosial dan peretasan kata sandi. Pasca eksploitasi adalah ketika data diekstraksi dari sistem yang disusupi dan akses dipertahankan.

4. Kerangka Penilaian Keamanan Sistem Informasi

Kerangka Penilaian Keamanan Sistem Informasi (ISSAF) adalah kerangka pengujian pena yang didukung oleh Grup Keamanan Sistem Informasi (OISSG).

Metodologi ini tidak lagi dipertahankan dan kemungkinan besar bukan merupakan sumber terbaik untuk mendapatkan informasi terkini. Namun, salah satu kekuatan utamanya adalah menghubungkan langkah-langkah pengujian pena individual dengan alat pengujian pena tertentu. Jenis format ini dapat menjadi landasan yang baik untuk menciptakan metodologi individual.

5. Institut Standar dan Teknologi Nasional  

NIST, singkatan dari National Institute of Standards and Technology, adalah kerangka kerja keamanan siber yang menyediakan serangkaian standar pengujian pena untuk diikuti oleh pemerintah federal dan organisasi luar. NIST adalah lembaga di Departemen Perdagangan AS dan harus dianggap sebagai standar minimum yang harus diikuti.

Pengujian penetrasi NIST sejalan dengan panduan yang dikirimkan oleh NIST. Untuk mematuhi panduan tersebut, organisasi harus melakukan uji penetrasi dengan mengikuti serangkaian pedoman yang telah ditentukan sebelumnya.

Tahapan pengujian pena

Tetapkan cakupan

Sebelum pengujian pena dimulai, tim penguji dan perusahaan menetapkan cakupan pengujian. Ruang lingkup menguraikan sistem mana yang akan diuji, kapan pengujian akan dilakukan, dan metode yang dapat digunakan oleh penguji pena. Cakupan juga menentukan seberapa banyak informasi yang dimiliki penguji pena sebelumnya.

Mulailah tes

Langkah selanjutnya adalah menguji rencana pelingkupan dan menilai kerentanan dan fungsionalitas. Pada langkah ini, pemindaian jaringan dan kerentanan dapat dilakukan untuk mendapatkan pemahaman yang lebih baik tentang infrastruktur organisasi. Pengujian internal dan pengujian eksternal dapat dilakukan tergantung kebutuhan organisasi. Ada beragam pengujian yang dapat dilakukan oleh penguji pena, termasuk pengujian kotak hitam, pengujian kotak putih, dan pengujian kotak abu-abu. Masing-masing memberikan tingkat informasi yang berbeda-beda tentang sistem target.

Setelah gambaran umum jaringan ditetapkan, penguji dapat mulai menganalisis sistem dan aplikasi dalam lingkup yang diberikan. Pada langkah ini, penguji pena mengumpulkan informasi sebanyak mungkin untuk memahami kesalahan konfigurasi apa pun.

Laporkan temuan

Langkah terakhir adalah melaporkan dan berdiskusi. Pada langkah ini, penting untuk mengembangkan laporan pengujian penetrasi dengan semua temuan dari pengujian pena yang menguraikan kerentanan yang teridentifikasi. Laporan tersebut harus mencakup rencana mitigasi dan potensi risiko jika remediasi tidak dilakukan.

Pengujian pena dan IBM

Jika Anda mencoba menguji semuanya, Anda akan membuang waktu, anggaran, dan sumber daya. Dengan menggunakan platform komunikasi dan kolaborasi dengan data historis, Anda dapat memusatkan, mengelola, dan memprioritaskan jaringan, aplikasi, perangkat, dan aset berisiko tinggi lainnya untuk mengoptimalkan program pengujian keamanan Anda. Portal Merah X-Force® memungkinkan semua orang yang terlibat dalam remediasi untuk melihat temuan pengujian segera setelah kerentanan ditemukan dan menjadwalkan pengujian keamanan sesuai keinginan mereka.

Jelajahi layanan pengujian penetrasi jaringan dari X-Force