Transformasi digital suatu organisasi akan mendorong ancaman yang lebih besar lagi terhadap jaringan dan arsitektur TI di dalam organisasi. Kita harus dapat mencegah, mendeteksi, merespons, dan memulihkan dari serangan siber untuk mengurangi risiko insiden keamanan dan menghindari biaya serangan siber. Banyak serangan dapat dihindari dengan memastikan bahwa semua kerentanan perangkat lunak yang diketahui telah diperbaiki dan sering melakukan audit keamanan untuk mengidentifikasi kelemahan yang tidak diketahui. Namun, tidak ada sistem yang dapat terjamin aman tanpa batas. Kita memerlukan prosedur formal untuk mendeteksi, merespons, dan memulihkan dari risiko. Salah satu metode untuk menangani risiko ini adalah dengan melakukan penetration testing.
Penetration Testing harus merinci kerentanan aset yang diuji dan potensi ancaman dan serangan terhadap arsitektur IT. Data yang diakses selama proses pengujian juga harus disertakan. Ada berbagai bentuk data yang dapat membuat perusahaan atau organisasi rentan jika diretas. Informasi tentang perusahaan dapat berguna bagi kompetitor atau data tentang pelanggan yang dapat melanggar peraturan privasi jika dirilis adalah contoh aset. Laporan terperinci diperlukan karena aset yang berbeda memiliki tingkat relevansi yang berbeda bagi suatu organisasi.
Salah satu manfaat yang paling umum dari Penetration Testing bagi banyak organisasi adalah menyediakan workflow untuk pemulihan risiko dan serangan IT secara terkontrol dan optimal. Penetration Testing akan mengungkapkan daftar kerentanan di lingkungan target serta bahaya yang menyertainya. Secara detail, topik ini akan kita bahas bersama Shella Kharimah selaku Principal Product Manager GLAIR.AI.
Penetration Testing menjawab pertanyaan sederhana: "Apa yang akan dilakukan hacker untuk merusak sistem komputer, aplikasi, dan jaringan organisasi saya?". Ini adalah praktik pengujian sistem komputer, jaringan, atau aplikasi web untuk menemukan kerentanan yang dapat dieksploitasi penyerang, mensimulasikan serangan terhadap aset TI organisasi.
Kerentanan dapat muncul karena berbagai penyebab, yang paling umum adalah: design flaws pada perangkat keras dan perangkat lunak, penggunaan jaringan yang tidak terlindungi, sistem komputer, jaringan, dan aplikasi yang tidak diatur dengan benar, sistem komputer dengan arsitektur yang kompleks, dan kesalahan manusia yang mungkin terjadi. Penetration Testing yang efisien membantu dalam menemukan beberapa vektor serangan dan kesalahan konfigurasi. Membantu organisasi memulihkan pelanggaran digital dan menutup celah keamanan digital untuk melindungi aset bisnis penting dan program keamanan untuk mengurangi risiko secara keseluruhan.
Menurut Shella, bisnis digital perlu melakukan Penetration Testing karena bukan hanya keharusan tetapi kewajiban. Penetration Testing penting bagi sebuah bisnis karena berguna bagi pemilik/pengelola sistem dalam mengetahui tingkat keamanan sistem dan responnya dalam mencegah dan mengatasi segala risiko yang dapat menyerang infrastruktur IT kita setiap saat. Selain memberikan manfaat teknis, Penetration Testing juga memberikan manfaat dari segi bisnis, dapat membangun kepercayaan dengan pelanggan dengan menjamin sistem IT yang aman, misalnya pada perusahaan yang bergerak di bidang keuangan, sekaligus meningkatkan loyalitas pelanggan dalam penggunaan layanan bisnis digital.
Shella menyebutkan bahwa Penetration Testing memiliki beberapa fitur utama, termasuk network vulnerability assessment, application security testing, credential patch auditing, and social security awareness. Apa perbedaannya dan bagaimana prosesnya?
● Network Vulnerability Assessment: Meninjau dan menganalisis jaringan komputer untuk kemungkinan kerentanan dan ancaman keamanan.
● Application Security Testing: Analisis aktif pada aplikasi (seluler & situs web) untuk setiap kelemahan, kelemahan teknis, logika bisnis, atau kerentanan.
● Credentials Patch Audit: Otentikasi ke host dan menghitung pembaruan yang hilang.
● Social Security Awareness: Penilaian untuk menargetkan dan memanfaatkan kelemahan manusia untuk mendapatkan akses ke jaringan atau infrastruktur.
Shella menambahkan bahwa proses dalam penetrasi ini bisa berbeda antar organisasi atau bisnis tetapi secara umum terdiri dari empat proses utama, yang pertama adalah intelligence gathering untuk mengidentifikasi sistem secara keseluruhan, pengujian keamanan aplikasi dalam Penetration Testing sistem terhadap serangan digital, analisis kerentanan dan validasi untuk menganalisis respon sistem terhadap serangan secara detail dan menentukan rencana rekomendasi dalam menanggulanginya, dan yang terakhir adalah pelaporan dan rekomendasi dalam memberikan laporan dan solusi yang komprehensif untuk semua temuan yang diperoleh sistem agar dapat ditangani.
Metode dalam melaksanakan Penetration Testing terdiri dari dua metodologi diantaranya.
● Black box Testing: Ketika penyerang tidak memiliki pengetahuan tentang target, disebut sebagai black box penetration test. Tipe pengujian ini membutuhkan banyak waktu untuk menemukan kerentanan dan titik lemah sistem. Metode pengujian ini dilakukan tanpa mengetahui struktur sistem. Metode ini membutuhkan banyak waktu jika dibandingkan dengan metode Penetration Testing secara white box.
● White box Testing: Ketika penyerang diberi pengetahuan lengkap tentang target, disebut sebagai white box penetration test. Penyerang memiliki pengetahuan lengkap tentang alamat IP, kontrol yang ada, contoh kode, detail sistem operasi, dan dokumentasi aplikasi. Ini membutuhkan lebih sedikit waktu jika dibandingkan dengan metode Penetration Testing secara black box.
Dengan mengacu pada best practise, biasanya menggunakan standar referensi seperti Common Vulnerability Scoring System (CVSS), yang merupakan kerangka kerja terbuka yang digunakan untuk mengkomunikasikan karakteristik dan dampak kerentanan aplikasi. CVSS terdiri dari tiga kelompok pengukuran: Base, Temporal, dan Environmental. Dan OWASP Top 10 yang berisi panduan bagi developer dan tim keamanan tentang kerentanan pada aplikasi web yang rentan terhadap serangan dan harus segera diatasi. Daftar periksa ini berfungsi untuk menentukan apakah situs web atau aplikasi Anda aman atau tidak dengan mematuhi empat kriteria prevalence, detection, exploitation, and business impact.
Menurut Shella, waktu yang tepat untuk menjalankan bisnis tergantung pada kebutuhan dan industrinya. Dia mengatakan secara default Penetration Testing dilakukan sebelum sistem diluncurkan. Sedangkan untuk maintain suatu sistem, setidaknya dilakukan secara berkala, tidak ada patokan berapa lama. Ketika ada enhancement pada sistem, perlu dilakukan Penetration Testing.
Shella mengatakan, sumber daya yang terlibat dalam Penetration Testing didasarkan pada kebutuhan bisnis. Seharusnya tidak membutuhkan banyak sumber daya. Setidaknya ada project manager yang bertugas untuk menentukan system requirements, project progress and timeline, dan kebutuhan bisnis tertentu. Dan tentunya dibutuhkan anggota tim berupa security professional yang menjalankan penetration testing. Mereka ditugaskan untuk menguji, mengimplementasikan, dan memantau sistem komputer dan protokol keamanan jaringan untuk mendeteksi risiko serangan dan kerentanan sistem sebagai tanggapannya, selain memberikan solusi untuk memenuhi persyaratan sistem terkait keamanan.
Tools yang digunakan dalam melakukan Penetration Testing memerlukan beberapa persyaratan seperti lingkungan sistem/aplikasi (environment), akses jaringan, sistem operasi, dokumentasi pengembang, aplikasi manual, dan informasi kredensial. Shella juga menjelaskan bahwa setidaknya tools ini telah mendapatkan sertifikasi dari beberapa rekomendasi platform keamanan, misalnya: CEH (Certified Ethical Hacker Program) adalah program pelatihan inti untuk seorang profesional keamanan informasi, juga disebut sebagai white-hat hacker, yang secara sistematis mencoba untuk memeriksa infrastruktur jaringan dengan persetujuan pemiliknya untuk menemukan kerentanan keamanan yang berpotensi dieksploitasi oleh peretas jahat.
Apabila perusahaan tidak memiliki sumber daya yang cukup dalam pelaksanaan Penetration Testing, maka dapat menggunakan jasa pihak ketiga dalam pelaksanaan Penentration Testing yang efisien dan sesuai kebutuhan, salah satunya adalah GLAIR yang menyediakan jasa Penetration Test kepada perusahaan yang membutuhkannya.
“GLAIR.AI menyediakan layanan terkelola / end to end untuk membantu perusahaan yang membutuhkan layanan pemeriksaan kerentanan terhadap keamanan suatu sistem tidak hanya dalam hal konsultasi teknis dan implementasi rekomendasi yang diberikan tetapi juga layanan training untuk sumber daya perusahaan / tim keamanan untuk dikembangkan keterampilan dan wawasan tentang keamanan.” Shella menambahkan.
Ada beberapa tantangan dari implementasi Penetration Testing, menurut Shella, di antaranya masih banyak perusahaan yang tidak menyadari pentingnya keamanan dan perlunya melakukan Penetration Testing sehingga mereka acuh dalam menyikapi keamanan sistem IT mereka, sedangkan dari segi teknis biasanya terdapat kendala dalam mengelola sistem IT yang down saat simulasi serangan dilakukan, dan yang terakhir adalah masalah akses kredensial dimana beberapa perusahaan sangat ketat dan tidak mau atau kolot dalam memberikan akses ke data atau sistem mereka.
Dua masalah teknis tersebut dapat ditanggapi dengan kesepakatan dan pendekatan komunikasi antara tim IT internal perusahaan dengan penyedia layanan third party yang melakukan Penetration Testing atau dengan menyelesaikannya secara teknis, sedangkan masalah mengenai kesadaran dan edukasi akan pentingnya Penetration Testing bagi perusahaan perlu dijelaskan melalui literasi dan sharing knowledge tentang masalah pentingnya keamanan sistem IT dan potensi risiko di dalamnya.
GLAIR.AI selain memberikan layanan seputar konsultasi dan implementasi Penetration Testing dalam mengidentifikasi kerentanan sistem terhadap serangan perusahaan, juga menyediakan layanan untuk aktivitas seperti training, webinar, sharing knowledge, teknik ancaman, dan diskusi tentang potensi risiko dengan pakar keamanan IT untuk menjawab kekhawatiran klien tentang keamanan dan bisnis digital mereka.
Validasi di semua lapisan aplikasi ditangani oleh framework pengujian keamanan yang komprehensif. Ini dimulai dengan pemeriksaan dan evaluasi keamanan infrastruktur IT sebelum pindah ke jaringan, database, dan tingkat eksposur IT. Sementara pengujian aplikasi dan seluler digunakan untuk menilai keamanan pada tingkat ini, penetration testing cloud mengungkapkan kelemahan keamanan dalam aplikasi saat dihosting di Cloud. Metode pengujian ini mencari kelemahan keamanan sistem melalui Penetration Testing yang meniru serangan melalui saluran akses yang tidak terduga.
Menurut Shella Penetration Testing merupakan bagian penting dari Security Testing. Organisasi dapat menggunakan ini untuk menilai arsitektur IT yang dimilikinya untuk menguji kerentanan dan mengambil tindakan pemulihan yang sesuai. Banyak bisnis digital baru-baru ini mulai menggunakan pendekatan siklus hidup pengembangan perangkat lunak yang aman untuk memastikan deteksi dini dan koreksi area kerentanan dalam pengembangan aplikasi.
Untuk membuat keputusan keamanan yang tepat bagi organisasi kita, sangat penting untuk memahami hasil dan saran dalam laporan Penetration Testing. Ini juga penting untuk menutup risiko dan mencegah kerentanan yang ada dalam aplikasi atau sistem. Dalam hal menjalankan penetration testing yang sukses dan memenuhi tujuan bisnis keamanan digital, memiliki mitra penetration testing yang andal sangat penting, GLAIR.AI adalah salah satu mitra yang siap untuk berkolaborasi.
