Scope of Penetration Testing

Pada saat melakukan pen test perlu di bahas scope dari pen test tersebut, ada 2 ( dua) macam test yang akan dilakukan yaitu :

Non Destructive Test yaitu :

  • Scan dan mengindentifikasi remote system terhadap potential vulnerabilities
  • Menginvestigasi dan memverifikasi semua temuan
  • Memetakan vulnerability dengan exploit yang sesuai
  • Melakukan exploitasi remote system dengan hati hati untuk menghindari kerusakan
  • Menyediakan pembuktian konsep ( Proof of concept)
  • Tidak melakukan Dos ( Denial of Service)

Destructive Test yaitu :

  • Scan dan mengindentifikasi remote system terhadap potential vulnerabilities
  • Menginvestigasi dan memverifikasi semua temuan
  • Memetakan vulnerability dengan exploit yang sesuai
  • Melakukan Dos dan Buffer Overflow Attacks

Kemudian perlu di set juga apakah dalam tim pen test itu apakah akan menggunakan Blue Teaming atau Red Teaming.? Adapun definisinya adalah sebagai berikut,

Blue Teaming ;

Mengikut sertakan pen test dengan sepengetahuan dari organisasi IT Staff.

Biasanya costnya tidak terlalu mahal dan metode ini paling sering digunakan.

Tujuan utamanya adalah untuk brainstorming bagaimana serangan mendadak bisa saja terjadi dan efeknya.

Read Teaming

Melakukan pen test tanpa melibatkan IT Staff hanya dengan ijin dari Top Management

Dapat dilakukan dengan atau tanpa peringatan sama sekali

Tujuan utamanya adalah untuk mendeteksi network dan system vulnerabilities dan security cek oleh penyerang dalam perspektif untuk menyerang network, system dan informasi.

Type Penetration Testing

Adapun type pen test dibagai menjadi 3 yaitu :

Black Box  Penetration Testing ( External)

Tanpa pengetahuan mengenai informasi infrastructure dari perusahaan target, anda hanya diberikan nama perusahaan saja, di posisi ini si pen test harus melakukan information gathering dan research sendiri, metode ini setingkat dengan proses yang dari seorang hacker betulan. Tentunya ini juga akan ada tenggat waktunya untuk mengetahui nature dari infrastructure, bagaimana koneksinya  dll.

White Box Penetration Testong ( Internal)

Dalam type ini pen test akan diberikan baik nama dan informasi infrastructure yang dijadikan target untuk di uji.Type test ini men simulasikan bagaimana para karyawan dalam perusahaan sasaran bertindak. Jadi yang di berikan saat pen test ini bisa saja meliputi perangkat infrastructure,network type nya, apa saja layer securitynya, segment IP, IP address, Firewall, Kebijakan Perusahaan, ( Do and Don’ts)

White Box Announced Testing adalah percobaan untuk pentest dengan kerjasama penuh dengan IT Staff, hanya bertujuan untuk melakukan cek kemungkinan vulnerabilities dari perangkat yang sudah ada.

White Box Unnaounced Testing suatu pen test tanpa melibatkan kerjasama dengan IT personel, hanya melibatkan ijin dari TOP management saja, tujuan test ini untuk melihat seberapa responsive infrastructure dan personel IT Staff dalam menghadapi serangan.

Grey Box Testing

Nah ini yang terakhir, type “abu abu” ini biasanya pen test diberikan informasi tapi terbatas, tujuannya adalah melakukan assestmen dan testing secara internal. Caraya adalah memulai pentest dengan Black Box ke suatu system yang dijaga dengan baik dan menemukan bahwa perlu adanya informasi tambahan untuk melakukan pen test

www.edysusanto.com

Edy Susanto|IT Konsultan
Visit Website
  • Edy Susanto Has Completed Training |CISA|CISM|RHCA|RHCE|CWNA|CWNE|CISSP|ISSEP|VCP DV|CEH|ECSA|CSSA|HEROWARE|SURELINE|QLIKVIEW|ITILv3|COBIT5|CSSGB|CTFL|OSCP|Lean Management |
  • Attenzione ! Attention !

    Segala yang artikel yang saya tulis ditujukan dalam rangka pembelajaran, mohon digunakan sebijaksana mungkin. Saya tidak bertanggung jawab apabila ada artikel yang disalah gunakan untuk kepentingan diluar mencerdaskan kehidupan bangsa.