Apakah sistem teknologi informasi perusahaan Anda sudah aman dari kemungkinan serangan atau pembobolan data? Apakah ada jaminan bahwa karyawan Anda tidak menyalahgunakan wewenang yang dimiliki (serangan dari dalam)? Apakah sistem perusahaan sepenuhnya aman dari serangan hacker, cracker, phreaker, dan defacer? Bagaimana Jika pesaing mencoba masuk ke sistem untuk mengetahui semua isi perut perusahaan Anda?
Jika Anda menganggap data sebagai aset penting perusahaan, maka sudah semestinya perusahaan memperkuat sistem jaringannya. Untuk itu, Anda perlu mengevaluasi dan menganalisa sistem jaringan guna melihat kemungkinan masih ada celah-celah kemanan yang perlu diperbaiki secepatnya. Salah satu caranya adalah dengan melakukan Penetration Test (Pentest). Pentest dapat dikatakan merupakan salah satu komponen penting dari Security Audit.
Apa itu Pentest? Secara sederhana, Pentest dapat diartikan sebagai sebuah metode untuk melakukan evaluasi dan analisa terhadap keamanan dari sebuah sistem dan jaringan komputer. Evaluasi dilakukan dengan cara melakukan sebuah simulasi serangan (attack) oleh seseorang terhadap sistem jaringan perusahaan untuk menemukan kelemahan yang ada pada sistem jaringan tersebut. Orang yang melakukan kegiatan ini disebut penetration tester (Pentester). Biasanya, Pentest juga disebut dengan istilah ethical hacking.
Hasil dari Pentest ini sangat penting sebagai feedback bagi pengelola sistem untuk memperbaiki tingkat keamanan dari sistem komputernya. Laporan hasil Pentest akan memberikan masukan terhadap kondisi vulnerabilitas sistem, sehingga memudahkan dalam melakukan evaluasi dari sistem keamanan komputer yang sedang berjalan. Jadi, Pentest ini merupakan langkah preventif untuk menjaga aset-aset digital.
Ada beberapa teknik dan metode untuk melakukan Pentest ini. Pertama, Black Box Testing atau Blind Disclosure, yaitu metode Pentest dimana diasumsikan Pentester tidak mengetahui sama sekali infrastruktur dari target pentest. Dengan begitu, pada black box test, si Pentester harus mencoba untuk menggali dari awal semua informasi yang diperlukan kemudian melakukan analisis serta menentukan jenis attack yang akan dilakukan.
Kedua, White Box Testing atau Full Disclosure. Metode pentest white box ini merupakan kebalikan dari black box testing, karena tester telah mengetahui semua informasi yang diperlukan untuk melakukan pentest. Ketiga, Grey Box Testing atau Partial Disclosure, yaitu kombinasi dari kondisi black box dan white box testing.
Berdasarkan objeknya, Pintest ini dapat dibagi menjadi 6 jenis, dimana setiap objek membutuhkan perlakukan yang berbeda. Pertama, Network Service Pentest, dimana objek yang diuji adalah infrastruktur jaringan. Tujuannya untuk mengidentifikasi kelemahan pada objek-objek network service seperti server, firewall, switch, router, printer, workstation, dan lain-lain. Kedua, Web Application Pentest, yang digunakan untuk menemukan kerentanan dan kelemahan keamanan pada aplikasi berbasis web. Pentest ini menggunakan beberapa teknik dan serangan, yang tujuannya untuk menembus keamanan suatu web application. Beberapa elemen yang dipindai dalam upaya pentest jenis ini,seperti web based application, browser dan komponen-komponen lainnya seperti ActiveX, Plugins, Silverlight, Scriptlets, dan Applets.
Ketiga, Client Side Pentest, yang digunakan untuk menemukan kelemahan keamanan pada client side application. Beberapa program atau aplikasi yang termasuk client side application, seperti Putty, email clients, web browsers, Macromedia Flash, dan lain-lain. Program-program lain seperti Adobe Photoshop dan Microsoft Office Suite juga menjadi subyek testing dari client side application. Keempat, Wireless Pentest, yang melibatkan identifikasi dan inspeksi koneksi yang menghubungkan device-device dalam satu Wifi perusahaan. Beberapa device yang menjadi objek pentest jenis ini seperti, desktop, laptop, tablet, smartphones, dan Internet of Things (IoT).
Kelima, Social Engineering Pentest, merupakan sebuah upaya untuk membujuk atau menebar trik kepada user untuk memberikan informasi sensitif. Beberapa data yang kerap menjadi sasaran upaya ini seperti username dan password. Serangan cyber social engineering yang biasa dilakukan oleh Pentester seperti: Physing, Tailgating, Imposter, Name Dropping, Pre-texting, Dumpster Diving, Eaves Dropping, dan Gifts. Keenam, Physical Pentest, merupakan upaya dari Pentester untuk menembus hambatan fisik dari infrastruktur, bangunan, sistem, bahkan karyawan dari sebuah perusahaan.
Pentest memiliki standar (Penetration Testing Execution Standard/PTES) yang digunakan sebagai acuan dalam pelaksanaanya, yang dibagi ke dalam beberapa tahap. Pertama, Pre-engagement Interactions atau Planning. Pada tahapan ini harus dibicarakan ruang lingkup Pentest, rentang waktu, dokumen legal (kontrak), jumlah tim yang dibutuhkan. Termasuk apakah karyawan diberitahukan terlebih dahulu atau tidak tentang adanya pentest.
Kedua, Information Gathering. Pada tahapan ini dikumpulkan semua informasi tentang sistem target. Kemudian dilakukan network survey untuk mengumpulkan informasi domain, server, layanan yang ada, IP adress, host, adanya firewall, dan sebagainya. Tools yang dapat digunakan misalnya Nmap.
Ketiga, Vulnerability Assessment. Setelah mengetahui informasi tentang sistem, pencarian celah keamanan bisa dilakukan secara manual atau otomatis, misalnya dengan Nessus. Keempat Exploitation atau Penetration Attempt. Pada proses ini dilakukan penentuan target, pemilihan tools dan exploit yang tepat. Umumnya diperlukan juga kemampuan password cracking. Cara lain yang dapat dilakukan adalah dengan melakukan social engineering dan pengujian physical security dari sistem. Kelima, Reporting. Pada tahapan pembuatan laporan ini biasanya dilaporkan tentang langkah kerja yang dilakukan, celah keamanan yang ditemukan serta usulan perbaikan.
Salah satu aspek penting dalam melakukan Pentest adalah menentukan ruang lingkup dimana Pentester harus melakukan pengujian keamanannya. Biasanya, ruang lingkup ini mendefinisikan sistem, lokasi, teknik, dan tools apa yang dapat digunakan dalam melakukan Pentest. Membatasi ruang lingkup Pentest dapat membantu memokuskan anggota tim dalam melakukakan tugas Pentest.
Idealnya, suatu perusahaan mesti melakukan Pentest secara teratur setahun sekali untuk memastikan keamanan jaringan dan manajemen Teknologi Informasi yang lebih konsisten dan terarah. (*dari berbagai sumber)