Seberapa sering kita harus melakukan tes pena?

Irama umum: setiap tahun untuk postur umum, setelah perubahan besar (aplikasi baru, perombakan arsitektur), dan sesuai persyaratan kepatuhan (PCI-DSS memerlukan pengujian pena tahunan untuk lingkungan pemegang kartu).

Tes pena vs tim merah — apa bedanya?

Pengujian pena dilakukan untuk menemukan sebanyak mungkin kerentanan pada target yang ditentukan. Keterlibatan tim merah mensimulasikan serangan spesifik di dunia nyata secara end-to-end (akses awal, pergerakan lateral, eksfiltrasi) untuk menguji kemampuan deteksi dan respons. Tim merah lebih luas, lebih panjang, dan sering kali lebih tersembunyi. Lihat artikel tim red kami .

Apakah perusahaan kecil layak untuk diuji?

Tergantung pada apa yang dipertaruhkan. UKM yang menangani data pelanggan, menerima pembayaran, atau beroperasi di industri yang diatur akan mendapatkan keuntungan. Situs brosur murni tanpa data pengguna mendapatkan nilai lebih rendah. Biaya berkisar dari beberapa ribu untuk cakupan sempit hingga puluhan ribu untuk cakupan komprehensif.

Bisakah tes pena menemukan setiap kerentanan?

Tidak. Mereka menemukan apa yang dapat ditemukan dalam waktu yang dialokasikan oleh manusia dengan alat yang mereka gunakan. Tes dengan waktu terbatas melewatkan banyak hal; pengujian yang cukup menyeluruh terlalu mahal untuk dijalankan secara sering. Kombinasikan dengan pemindaian berkelanjutan dan bug bounty untuk cakupan berlapis.

Apakah penguji pena perlu memecahkan sesuatu?

Kadang-kadang. Mendemonstrasikan dampak sering kali memerlukan eksploitasi nyata. Penguji yang memiliki reputasi baik berkomunikasi sebelum melakukan tindakan yang merusak, menggunakan pementasan jika memungkinkan, dan mendokumentasikan semuanya. Dokumen ruang lingkup harus menentukan batasan tindakan destruktif di awal.

Penjelasan Pengujian Penetrasi: Apa yang Sebenarnya Dilakukan Penguji Pena

Pengujian penetrasi — singkatnya pengujian pena — adalah simulasi resmi serangan terhadap sistem organisasi untuk menemukan kerentanan sebelum musuh melakukannya. Disiplin ini telah berkembang dari individu-individu cerdas yang membobol jaringan menjadi industri terstruktur dengan kerangka metodologi, sertifikasi, dan pengakuan peraturan. Memahami seperti apa pengujian pena yang sebenarnya memperjelas nilai dan batasannya.

Badan artikel selengkapnya disediakan dalam bahasa Inggris di bawah ini.

Pengujian penetrasi adalah praktik resmi untuk mencoba menyusupi sistem organisasi untuk mengidentifikasi kelemahan keamanan. Penguji pena beroperasi berdasarkan perjanjian tertulis yang mencakup apa yang diperbolehkan, apa yang dilarang, dan jenis pelaporan apa yang menyusul. Pengujian yang tidak sah — bahkan dengan niat baik — merupakan aktivitas kriminal bergaya penipuan komputer di sebagian besar yurisdiksi.

Fase pengujian pena

Scoping. Tentukan cakupannya (jaringan tertentu, aplikasi, rentang waktu), apa yang tidak (sistem kritis produksi, data pihak ketiga), teknik apa yang diperbolehkan (rekayasa sosial ya/tidak, DoS ya/tidak). Didokumentasikan secara tertulis.
Reconnaissance. Pengumpulan informasi. OSINT, pemetaan jaringan, pemindaian port, identifikasi layanan.
Identifikasi kerentanan. Memindai kerentanan yang diketahui, memeriksa logika aplikasi khusus, mengidentifikasi kesalahan konfigurasi.
Eksploitasi. Mencoba menunjukkan bahwa kerentanan dapat dieksploitasi. Bukan hanya "ini bisa berakibat buruk" namun "inilah yang akan dilakukan penyerang."
Pasca-eksploitasi. Setelah akses awal diperoleh, jelajahi apa yang dapat dilakukan penyerang — pergerakan lateral, akses data, peningkatan hak istimewa. Dihentikan ketika tujuan pengujian terpenuhi.
Pelaporan. Temuan terperinci dengan langkah-langkah reproduksi, peringkat tingkat keparahan, rekomendasi remediasi.
Uji ulang. Verifikasi yang memperbaiki pekerjaan, setelah organisasi mempunyai waktu untuk menangani temuan.

Umum kategori uji

Tes penetrasi eksternal. Menyerang organisasi dari Internet publik. Apa yang dapat dilihat, dipindai, dieksploitasi oleh orang luar?
Tes penetrasi internal. Asumsikan pijakan awal (laptop karyawan yang disusupi, orang dalam yang jahat). Apa yang dapat dijangkau penyerang dari sana?
Uji aplikasi web. Fokus pada aplikasi tertentu — injeksi SQL, XSS, kelemahan logika bisnis, kelemahan autentikasi.
Uji aplikasi seluler. APK/IPA rekayasa balik, manipulasi runtime, API eksploitasi.
API uji penetrasi. Fokus pada lapisan API — kelemahan otorisasi, paparan data, bypass batas kecepatan.
Penilaian konfigurasi Cloud. Kesalahan konfigurasi khusus AWS/Azure/GCP — bucket S3 terbuka, IAM yang terlalu permisif, publik Lambda.
Penilaian nirkabel. Pengujian keamanan Wi-Fi.
Tes penetrasi fisik. Mencoba mendapatkan akses fisik — tailgating, lockpicking, rekayasa sosial di resepsi.
Penilaian rekayasa sosial. Kampanye phishing, vishing, upaya memanipulasi karyawan.

Kotak hitam vs kotak abu-abu vs kotak putih

Kotak hitam. Penguji hanya mengetahui apa yang akan dilakukan oleh penyerang luar. Realistis tetapi lambat.
Kotak abu-abu. Informasi terbatas yang disediakan (kredensial akun, diagram jaringan). Paling umum dalam praktik.
Kotak putih. Akses penuh termasuk kode sumber, dokumentasi arsitektur, kredensial admin. Paling teliti; menemukan masalah yang mungkin terlewatkan oleh alat otomatis dan pengujian eksternal.

Kerangka kerja metodologi

OWASP Panduan Pengujian Keamanan Web. Kerangka kerja komprehensif untuk pengujian aplikasi web.
NIST SP 800-115. Panduan teknis pemerintah AS untuk pengujian keamanan.
OSSTMM. Manual Metodologi Pengujian Keamanan Sumber Terbuka.
PTES. Eksekusi Pengujian Penetrasi Standard.
MITRE ATT&CK. Bukan metodologi itu sendiri tetapi kerangka taktik-teknik-prosedur yang banyak digunakan dalam operasi tim merah.

Alat dari trade

Pengintaian: nmap, Masscan, Shodan, theHarvester, Recon-ng
Pengujian web: Burp Suite (standar industri), OWASP ZAP, sqlmap
Kerangka eksploitasi: Metasploit, Cobalt Strike (standar tim merah), Empire, Sliver
Nirkabel: Aircrack-ng, Wifite, hcxdumptool
Serangan kata sandi: Hashcat, John the Ripper
Sistem operasi: Kali Linux adalah distribusi standar yang menggabungkan banyak alat

Pen pengujian vs kerentanan pemindaian

Sering bingung; yang penting berbeda:

Vulnerability scan — alat otomatis yang mencantumkan masalah umum. Murah, cepat, dapat dijalankan mingguan. Melewatkan kelemahan logika bisnis, kerentanan berantai, vektor rekayasa sosial.
Tes Penetrasi — penguji manusia dengan metode kreatif. Mahal, memakan waktu, menemukan masalah yang terlewatkan oleh pemindai. Biasanya tahunan atau semi-tahunan.

Program keamanan yang matang menggunakan keduanya — pemindaian otomatis untuk cakupan berkelanjutan, pengujian pena berkala untuk kedalaman.

Sertifikasi

OSCP (Profesional Bersertifikat Keamanan Ofensif) — standar praktis. Ujian praktis 24 jam terhadap lab yang rentan.
OSCE3 — aplikasi web tingkat lanjut, pengembangan eksploitasi, sertifikasi nirkabel dari Keamanan Serangan.
GPEN, GWAPT, GXPN — SANS GIAC sertifikasi.
CEH (Peretas Etis Bersertifikat) — kredensial tingkat pemula, lebih teoretis daripada OSCP.
PNPT (Penguji Penetrasi Jaringan Praktis) — praktik langsung TCM Security ujian.

OSCP adalah kredensial yang paling umum dibutuhkan oleh perusahaan pengujian pena terkemuka.

Lapisan hukum dan etika

Pengujian XPen tanpa izin tertulis merupakan kejahatan di sebagian besar yurisdiksi — CFAA AS, Undang-Undang Penyalahgunaan Komputer Inggris, undang-undang serupa di tempat lain. Bahkan dengan otorisasi, scope creep dapat menyebabkan masalah hukum. Otorisasi tertulis (terkadang disebut "Surat Bebas Keluar Penjara") adalah perlindungan hukum penguji.

Perusahaan pengujian pena yang memiliki reputasi baik menjaga asuransi atas insiden, mengikuti kebijakan penanganan data yang ketat untuk setiap data sensitif yang ditemukan, dan memiliki jalur eskalasi yang jelas jika mereka menghadapi gangguan aktual yang sedang berlangsung atau data pribadi sensitif.

Apa yang diharapkan oleh organisasi

Laporan pengujian pena biasanya mencakup:

Ringkasan eksekutif untuk kepemimpinan non-teknis
Temuan dengan peringkat tingkat keparahan dengan skor CVSS
Langkah-langkah reproduksi terperinci untuk setiap temuan
Cuplikan layar dan bukti bukti konsep
Remediasi spesifik rekomendasi
Pengamatan agregat tentang postur keamanan

Temuan harus dapat ditindaklanjuti. "Kerentanan X ada di komponen Y, begini cara mengeksploitasinya, berikut cara memperbaikinya" — bukan "keamanan Anda buruk."

Pertanyaan yang sering diajukan

Seberapa sering kita harus melakukan tes pena?: Irama umum: setiap tahun untuk postur umum, setelah perubahan besar (aplikasi baru, perombakan arsitektur), dan sesuai persyaratan kepatuhan (PCI-DSS memerlukan pengujian pena tahunan untuk lingkungan pemegang kartu).
Tes pena vs tim merah — apa bedanya?: Pengujian pena dilakukan untuk menemukan sebanyak mungkin kerentanan pada target yang ditentukan. Keterlibatan tim merah mensimulasikan serangan spesifik di dunia nyata secara end-to-end (akses awal, pergerakan lateral, eksfiltrasi) untuk menguji kemampuan deteksi dan respons. Tim merah lebih luas, lebih panjang, dan sering kali lebih tersembunyi. Lihat artikel tim <a href="/learning/red-team-blue-team">red kami</a>.
Apakah perusahaan kecil layak untuk diuji?: Tergantung pada apa yang dipertaruhkan. UKM yang menangani data pelanggan, menerima pembayaran, atau beroperasi di industri yang diatur akan mendapatkan keuntungan. Situs brosur murni tanpa data pengguna mendapatkan nilai lebih rendah. Biaya berkisar dari beberapa ribu untuk cakupan sempit hingga puluhan ribu untuk cakupan komprehensif.
Bisakah tes pena menemukan setiap kerentanan?: Tidak. Mereka menemukan apa yang dapat ditemukan dalam waktu yang dialokasikan oleh manusia dengan alat yang mereka gunakan. Tes dengan waktu terbatas melewatkan banyak hal; pengujian yang cukup menyeluruh terlalu mahal untuk dijalankan secara sering. Kombinasikan dengan pemindaian berkelanjutan dan bug bounty untuk cakupan berlapis.
Apakah penguji pena perlu memecahkan sesuatu?: Kadang-kadang. Mendemonstrasikan dampak sering kali memerlukan eksploitasi nyata. Penguji yang memiliki reputasi baik berkomunikasi sebelum melakukan tindakan yang merusak, menggunakan pementasan jika memungkinkan, dan mendokumentasikan semuanya. Dokumen ruang lingkup harus menentukan batasan tindakan destruktif di awal.