Network penetration testing sering disebut sebagai uji pena yang merupakan metode untuk melakukan pengujian keamanan pada sistem jaringan yang digunakan oleh bisnis lain. Tes pena melibatkan berbagai metodologi yang dirancang untuk menjelajahi jaringan. Di mana, ini untuk mengidentifikasi potensi kerentanan dan pengujian untuk memastikan kerentanan itu nyata.

Ketika network penetration testing dilakukan dengan benar, hasilnya memungkinkan ahli jaringan membuat rekomendasi untuk memperbaiki masalah dalam jaringan yang ditemukan selama pengujian pena. Tujuan utama dari uji pena adalah untuk meningkatkan keamanan jaringan dan memberikan perlindungan kepada seluruh jaringan, serta perangkat yang terhubung dari serangan di masa mendatang.

Selain itu, uji pena juga memiliki beberapa tipe sebagai berikut:

network-penetration-testing
Photo by pngfind.com
  • Black Box Penetration Testing: Penguji tidak tahu tentang sistem yang akan diuji. Dia tertarik untuk mengumpulkan informasi tentang jaringan atau sistem target. Misalnya, dalam pengujian ini, seorang penguji hanya tahu apa yang seharusnya menjadi hasil yang diharapkan dan dia tidak tahu bagaimana hasil itu tiba.
  • White Box Penetration Testing: Ini adalah pengujian yang komprehensif, karena penguji telah diberikan berbagai macam informasi tentang sistem dan jaringan. Selain itu, biasanya dianggap sebagai simulasi serangan oleh sumber internal.
  • Grey Box Penetration Testing: Penguji biasanya memberikan informasi sebagian atau terbatas tentang detail internal program suatu sistem. Ini dapat dianggap sebagai serangan oleh peretas eksternal yang telah memperoleh akses tidak sah ke dokumen infrastruktur jaringan terkait.

Apa saja langkah dalam proses network penetration testing?

Ada beberapa langkah yang terlibat dengan penetration testing dengan fase perencanaan menjadi yang paling kritis. Selama fase perencanaan, profesional jaringan meninjau dokumentasi user, spesifikasi jaringan, berbagai kasus penggunaan jaringan, dan jenis dokumentasi lain yang relevan. Informasi tersebut kemudian digunakan untuk merancang serangkaian kasus untuk penetration testing.

Berikut langkah yang harus dilakukan untuk melakukan penetration testing:

network-penetration-testing

1. Tahap Perencanaan dan Pengintaian

Pada langkah pertama melibatkan:

  • Mendefinisikan ruang lingkup dan tujuan pengujian, termasuk sistem yang akan ditangani dan metode pengujian yang akan digunakan.
  • Mengumpulkan intelligence (misalnya, jaringan dan nama domain, server email, dll.) untuk lebih memahami cara kerja target dan potensi kerentanannya.

2. Tahap Scanning

Langkah selanjutnya adalah memahami bagaimana aplikasi target akan merespon berbagai upaya penyusupan. Ini biasanya dilakukan dengan menggunakan:

  • Static analysis: Memeriksa kode aplikasi untuk memperkirakan perilaku saat akan dijalankan. Alat-alat ini dapat memindai keseluruhan kode dalam sekali jalan.
  • Dynamic analysis: Memeriksa kode aplikasi dalam keadaan berjalan. Ini adalah cara pemindaian yang lebih praktis, karena memberikan tampilan real-time ke dalam kinerja aplikasi.
  • Tahap Mendapatkan Akses

Langkah ini menggunakan serangan aplikasi web untuk mengungkap kerentanan target, seperti cross-site scripting, SQL injection, dan backdoors. Penguji kemudian mencoba dan mengeksploitasi kerentanan ini, biasanya dengan meningkatkan hak istimewa, mencuri data, mencegat traffic, dll. Dengan tujuan untuk memahami kerusakan yang dapat ditimbulkannya.

3. Tahap Menjaga Akses

Tujuan dari langkah ini adalah untuk melihat apakah kerentanan dapat digunakan untuk mencapai kehadiran yang terus-menerus dalam sistem yang dieksploitasi. Biasanya cukup lama bagi aktor jahat untuk mendapatkan akses mendalam. Idenya adalah untuk meniru ancaman persisten tingkat lanjut, yang sering kali tetap berada dalam sistem selama berbulan-bulan untuk mencuri data bisnis yang paling sensitif.

4. Tahap Analisis

Pada langkah ini, hasil penetration testing kemudian dikompilasi menjadi laporan yang merinci:

  • Kerentanan khusus yang dieksploitasi
  • Seluruh data sensitif yang diakses
  • Jumlah waktu tester yang tetap berada di sistem tanpa terdeteksi

Setelah itu, informasi ini dianalisis oleh ahli security untuk membantu mengonfigurasi pengaturan WAF dan solusi keamanan aplikasi lainnya. Dengan tujuan untuk menambal kerentanan dan melindungi dari serangan di masa mendatang.

Nah, itu tadi informasi terkait network penetration testing! Selain itu, tahukah kamu, kalau Coding Studio sebentar lagi akan membuka course terkait cyber security? Kalau kamu tertarik, nantikan terus informasi lengkapnya di Instagram dan website Coding Studio.