Pada saat melakukan pen test perlu di bahas scope dari pen test tersebut, ada 2 ( dua) macam test yang akan dilakukan yaitu :
Non Destructive Test yaitu :
- Scan dan mengindentifikasi remote system terhadap potential vulnerabilities
- Menginvestigasi dan memverifikasi semua temuan
- Memetakan vulnerability dengan exploit yang sesuai
- Melakukan exploitasi remote system dengan hati hati untuk menghindari kerusakan
- Menyediakan pembuktian konsep ( Proof of concept)
- Tidak melakukan Dos ( Denial of Service)
Destructive Test yaitu :
- Scan dan mengindentifikasi remote system terhadap potential vulnerabilities
- Menginvestigasi dan memverifikasi semua temuan
- Memetakan vulnerability dengan exploit yang sesuai
- Melakukan Dos dan Buffer Overflow Attacks
Kemudian perlu di set juga apakah dalam tim pen test itu apakah akan menggunakan Blue Teaming atau Red Teaming.? Adapun definisinya adalah sebagai berikut,
Blue Teaming ;
Mengikut sertakan pen test dengan sepengetahuan dari organisasi IT Staff.
Biasanya costnya tidak terlalu mahal dan metode ini paling sering digunakan.
Tujuan utamanya adalah untuk brainstorming bagaimana serangan mendadak bisa saja terjadi dan efeknya.
Read Teaming
Melakukan pen test tanpa melibatkan IT Staff hanya dengan ijin dari Top Management
Dapat dilakukan dengan atau tanpa peringatan sama sekali
Tujuan utamanya adalah untuk mendeteksi network dan system vulnerabilities dan security cek oleh penyerang dalam perspektif untuk menyerang network, system dan informasi.
Type Penetration Testing
Adapun type pen test dibagai menjadi 3 yaitu :
Black Box Penetration Testing ( External)
Tanpa pengetahuan mengenai informasi infrastructure dari perusahaan target, anda hanya diberikan nama perusahaan saja, di posisi ini si pen test harus melakukan information gathering dan research sendiri, metode ini setingkat dengan proses yang dari seorang hacker betulan. Tentunya ini juga akan ada tenggat waktunya untuk mengetahui nature dari infrastructure, bagaimana koneksinya dll.
White Box Penetration Testong ( Internal)
Dalam type ini pen test akan diberikan baik nama dan informasi infrastructure yang dijadikan target untuk di uji.Type test ini men simulasikan bagaimana para karyawan dalam perusahaan sasaran bertindak. Jadi yang di berikan saat pen test ini bisa saja meliputi perangkat infrastructure,network type nya, apa saja layer securitynya, segment IP, IP address, Firewall, Kebijakan Perusahaan, ( Do and Don’ts)
White Box Announced Testing adalah percobaan untuk pentest dengan kerjasama penuh dengan IT Staff, hanya bertujuan untuk melakukan cek kemungkinan vulnerabilities dari perangkat yang sudah ada.
White Box Unnaounced Testing suatu pen test tanpa melibatkan kerjasama dengan IT personel, hanya melibatkan ijin dari TOP management saja, tujuan test ini untuk melihat seberapa responsive infrastructure dan personel IT Staff dalam menghadapi serangan.
Grey Box Testing
Nah ini yang terakhir, type “abu abu” ini biasanya pen test diberikan informasi tapi terbatas, tujuannya adalah melakukan assestmen dan testing secara internal. Caraya adalah memulai pentest dengan Black Box ke suatu system yang dijaga dengan baik dan menemukan bahwa perlu adanya informasi tambahan untuk melakukan pen test
www.edysusanto.com
