Penetration Test Proposal

Vuln-Pen.jpgUji penetrasi ( penetration test) adalah cara yang dapat digunakan untuk mengidentifikasi kerentanan yang ada dalam sistem atau jaringan yang  sudah memiliki langkah-langkah keamanan sebagai langkah preventif. . Sebuah tes penetrasi biasanya melibatkan penggunaan metode yang dilakukan oleh individu yang terpercaya yang sengaja menyerang dengan logika yang sama seperti yang digunakan oleh penyusup dari luar atau hacker .

Tergantung pada jenis tes yang .dilakukan , ini mungkin saja hanya melibatkan pemindaian sederhana dari sebuah alamat IP untuk mengidentifikasi mesin yang sedang beroperasi ( live) atau dengan desain yang lebih tajam misalnya mengambil akses root / admin.Hasil penetration test ini atau serangan ini  kemudian didokumentasikan dan disajikan sebagai laporan kepada pemilik sistem dan .kerentanan diidentifikasi kemudian dapat diselesaikan .

Ingatlah bahwa tes penetrasi tidak berlangsung selamanya . Tergantung pada organisasi melakukan tes , kerangka waktu untuk melakukan setiap tes bervariasi . Suatu uji penetrasi pada dasarnya merupakan upaya untuk pelanggaran keamanan jaringan atau sistem dan bukan merupakan audit keamanan penuh . Ini berarti bahwa itu adalah tidak lebih dari suatu snap shot kelemahan keamanan di satu saat saja . Ini juga berarti bahwa penetration test umumnya bisa dilakukan beberapa kali , secara berkala karena begitu dinamisnya perkembangan teknologi sehingga vulnerability pun terus berkembang juga..

Pengujian penetrasi sering dilakukan karena dua alasan . Tentu saja hal ini baik karena untuk meningkatnya  kesadaran pengelolaan masalah keamanan atau intrusion detection dan seberapa cepat kemampuan respon terhadap adanya threat. .Hal ini juga membantu manajemen yang lebih tinggi dalam pengambilan keputusan . Manajemen suatu organisasi mungkin tidak ingin atau tidak mampu untuk mengatasi semua semua .kerentanan yang ditemukan dalam penilaian kerentanan,  tetapi mungkin ingin untuk mengatasi .kelemahan sistemnya yang ditemukan yang paling berbahaya, dan inilah fungsi dari melalui penetration test .

Seperti halnya juga dengan analogi yang sama untuk pacth patch system operasi windows dimana dengan sebegitu banyaknya patch yang muncul di setiap minggu nya maka biasanya yang kemudian di install adalah patch patch yang memang mampu menghilanglkan vulnerability yang dianggap berbahaya. Disamping itu adanya pen test juga hasilnya bisa digunakan untuk capacity building dari sisi infrastruktur dan system operasi sebab paling tidak suatu organisasi akan berusaha untuk mengalokasi kan anggaran demi untuk menutup sekian banyak vulnerability yang ada di dalam jaringan mereka.

Metodologi

Perencanaan dan Persiapan

Dalam rangka untuk membuat uji penetrasi bisad dilakukan dengan sukses, banyak persiapan perlu dilakukan. Idealnya pertemuan kickoff harus disebut antara organisasi dan penguji penetrasi. Pertemuan kickoff harus membahas masalah mengenai ruang lingkup dan tujuan uji penetrasi serta pihak terlibat. Harus ada tujuan yang jelas untuk tes penetrasi yang akan dilakukan. sebuah organisasi yang melakukan tes tanpa alasan yang jelas tidak boleh kaget  jika hasil nya pun tidak mengandung hasil yang jelas.

Dalam kebanyakan kasus tujuan dari uji penetrasi adalah untuk menunjukkan bahwa kerentanan dieksploitasi ada dalam jaringan organisasi infrastruktur. Pematokan uji penetrasi dilakukan dengan mengidentifikasi mesin, sistem dan jaringan, persyaratan operasional dan staf yang terlibat.

Agenda penting lainnya untuk dibahas adalah waktu dan durasi dari uji penetrasi dilakukan. Hal ini penting, karena akan memastikan bahwa dilakukan penetrasi sementara kegiatan bisnis dan operasional normal sehari-hari tetap berjalan dan tidak terganggu.

Salah satu hal yang perlu di bahas lainnya adalah apakah staf itu dari organisasi harus diberitahu sebelum uji penetrasi dilakukan atau tidak. Pemberitahuan mungkin tepat , tetapi dapat mengubah perilaku mereka dengan cara yang akan bisa mempengaruhi hasil uji penetrasi. Di sisi lain, memilih untuk tidak memperingatkan staf mungkin mengakibatkan mereka mengambil tindakan yang tidak perlu mempengaruhi kondisi yang sudah ada.

Pengumpulan Informasi dan Analisa

Setelah melakukan perencanaan dan persiapan yang diperlukan dengan organisasi (atau target) langkah berikutnya adalah untuk mengumpulkan informasi sebanyak mungkin tentang sistem target atau jaringan.. Tools dan sumberdaya nya cukup banyak dari mulai acunetix, vulnerability scanning, netcraft, nmaps dll..

Vulnerability Detection

Setelah mengumpulkan informasi yang relevan tentang sistem yang ditargetkan, berikutnya adalah langkah adalah untuk menentukan kerentanan yang ada di setiap sistem. penguji penetrasi harus memiliki koleksi eksploitasi dan kerentanan yang mereka miliki untuk ini . Tools yang digunakan umumnya setipe dengan  nessus dari segi kemampuannya.

Percobaan Penetrasi

Setelah menentukan kerentanan yang ada dalam sistem, tahap selanjutnya adalah mengidentifikasi target cocok untuk usaha penetrasi

Bayangkan sebuah skenario di mana dua penguji penetrasi yang diperlukan untuk melakukan uji penetrasi pada jaringan yang terdiri dari lebih dari 400 mesin. setelah pertemuan informasi yang memadai dan kerentanan tentang jaringan, mereka menemukan bahwa ada hanya 10 server pada jaringan dan sisanya PC hanya biasa digunakan oleh karyawan , maka bisa dikatakan 10 server ini lah yang akan jadi target utamanya. Adapun tools nya bisa meliputi password cracking, meta exploit, sql injection , ftp cracking dll.

Analisa dan Pelaporan

Setelah melakukan step step diatas maka selanjutnya adalah menghasilkan laporan. Hal ini harus diikuti dengan analisis dan komentar yang kritis terhadap kerentanan yang ada dalam jaringan atau system mulai dari prioritas yang paling rentan sd ke level yang kerentanannya memiliki impact yang kecil.

  • Ringkasan dari setiap skenario penetrasi yang sukses
  • Rinci daftar semua informasi yang dikumpulkan selama pengujian penetrasi
  • Daftar rinci dari semua kerentanan yang ditemukan
  • Deskripsi semua kerentanan yang ditemukan
  • Saran dan teknik untuk mengatasi kerentanan ditemukan

Pembersihan

Langkah terakhir adalah membersihkan semua jejak, log, output file hasil dari penetrasi yang sudah dilakukan. Daftar rinci dari semua kegiatan penetrasi, tools dan lainnya harus tetap dijaga kerahasiannya.

Hal yang perlu difahami adalah ada beda antara pengujian penetrasi dan assessment keamanan jaringan , suatu assessment penting pada level tertentu tetapi tidak dapat mencerminkan sejauh mana hacker akan mengeskploitasi vulnerability. Penetrasi adalah simulasi dengan serangan “real world “, serangan berbasis hacker sesungguhnya, seorang hacker tidak perlu menunggu sampai menemukan 10 kerentananan, mereka cukup menemukan 1 kerentanan yang kan di eksploitasi habis habisan untuk mendapatkan akses kedalam jaringan suatu organisasi.

Edy Susanto|IT Konsultan
Visit Website
  • Edy Susanto Has Completed Training | CISA | CISM| RHCSA | RHCE | CWNA | CWNE | CISSP | ISSEP | VCP DV | CEH | ECSA | CSSA | HEROWARE | SURELINE | QLIKVIEW | ITILv3 | COBIT5 | CSSGB | CTFL | OSCP | Lean Management |CWTS