Metodology Penetration Tester
Tugas utama penetration tester adalah melakukan serangkaian test kepada suatu system dengan harapan bisa menemukan celah celah keamanan yang mana berpotensi untuk dilakukan exploit pada system tersebut. Dalam sudut pandang security dengan ditemukan nya celah celah yang bisa di exploit maka ada kesempatan untuk meningkatkan kehandalan system yang dimilikinya sehingga confidentiality, integrity dan accessibility nya benar benar teruji.
Dalam melakukan pen test ada beberapa methodology yang dipakai karena methodology yang jelas akan memberikan suatu framework yang terstruktur. Frame ini terdiri dari serangkaian test dan prosedur. Ini pun untuk menyediakan comprehensive testing kepada system yang diuji.
Beberapa formal methodology pen test adalah :
- OSSTMM
OSSTMM adalah kepanjangan dari Open Source Security Testing Methodhology, standar ini adalah berbicara mengenai operational security, ini adalah bagaimana mengetahui dan mengukur sejauh apa keamanan layer IT kita berjalan. Metodology ini adalah memberikan arahan apakah yang kita punya adalah seiring dengan yang kita inginkan, bukan sekedar apa yang diceritakan saja. Apa yang kita dapatkan saat kita memakai OSSTMM adalah pengetahuan yang mendalam tentang hubungan hubungan yang ada dalam layer keamanan IT kita, mulai dari proses, manusianya, system dan aplikasi. Interkoneksi ini pasti membutuhkan interaksi, beberapa interaksi bisa pasif dan bisa pula aktif.
Bahwa apa yang di sudah berjalan seringkali tidak berjalan seperti yang sudah di configure, ada “compromizes” disana, ini yang kita ingin ketahui sebelum nanti kita akan meningkatkan sisi layer keamanan IT tersebut.
- NIST SP 800-42
NIST adalah National Institute of Standards and Technology, badan ini adalah badan yang berada di U.S Departement of Commerce. NIST membangun dan mengeluarkan standar, guide dan publikasi lain yang akan mengarahkan perusahaan menggunakan FISMA ( Federal Information Security Management Act of 2002 dan juga membantu memanage agar menggunakan dana secara efektif untuk melindungi informasi mereka. Angka SP ( Special Publikcation) 800 adalah mengindikasi bahwa standar ini terkait dengan Informasi Technology dimana angka berikutnya adalah sub dari system IT ,misalnya NIST SP 800 -42 adalah testing untuk network, SP800-115 adalah technical guide Information Security Testing and Assestment.
Karena ini mengacu ke FISMA maka biasanya hanya perusahaan perusahaan yang berasal dari Amerika yang menggunakan standar ini.
- TRAWG
Threat and Risk Assessment Working Guide adalah panduan untuk personal ataupun suatu departemen untuk melakukan Threat and Risk terhadap system IT mereka.
- OCTAVE
(Operationally Critical Threat, Asset, and Vulnerability Evaluation) adalah sekumpulan tools, teknik dan metoda untuk melakukan assessment dan perencanaan pada layer IT. Octave secara lengkap bisa dilihat di www.cert.org.
Demikian tulisan saya pada kesempatan kali ini.