Tahapan Pentest

Terdapat beberapa tahapan untuk melakukan Pentest:     

Pra-Engagement:

• Pemahaman Tujuan dan Sasaran: Memahami tujuan bisnis dari pentest dan menetapkan sasaran khusus.
• Perizinan dan Legalitas: Mendapatkan persetujuan dan menetapkan batasan hukum dan etika.

Reconnaissance:

• Pengumpulan Informasi: Mengumpulkan sebanyak mungkin informasi tentang target, seperti IP addresses, domain names, informasi jaringan, dll.
• Footprinting: Mengidentifikasi layout jaringan, sistem, dan aplikasi.

Scanning dan Enumeration:

• Scanning Jaringan: Menggunakan tools seperti Nmap untuk mengidentifikasi port terbuka, layanan yang berjalan, dan sistem operasi.
• Vulnerability Scanning: Menggunakan software seperti Nessus untuk menemukan kelemahan yang diketahui.

Gaining Access:

•  Eksploitasi: Menggunakan kelemahan yang ditemukan untuk mendapatkan akses.
•  Social Engineering: Jika termasuk dalam ruang lingkup, melakukan serangan seperti phishing.

Maintaining Access dan Pivoting:

•  Mempertahankan Akses: Menyisipkan backdoors atau malware untuk mempertahankan akses.
•  Pivoting: Menggunakan akses yang diperoleh untuk mengeksplorasi sistem yang lebih dalam atau jaringan lain.

Analisis dan Reporting:

• Dokumentasi: Mendokumentasikan apa yang ditemukan, bagaimana akses diperoleh, dan dampak potensialnya.
• Membuat Laporan: Menyediakan detail teknis dan non-teknis, rekomendasi perbaikan, dan prioritas perbaikan.

Post-Engagement:

• Debriefing: Memberikan umpan balik dan diskusi dengan tim keamanan klien.
• Re-testing: Kadang-kadang perlu untuk memverifikasi bahwa perbaikan telah diterapkan dengan benar.

Tools dan Teknologi:

•     Nmap, Nessus: Untuk scanning dan enumeration.
•     Metasploit, Burp Suite: Untuk eksploitasi dan testing aplikasi web.
•     Wireshark: Untuk analisis paket jaringan.

Jenis Pentest

“Pentest” adalah singkatan dari “penetration testing,” sebuah metode yang digunakan untuk mengevaluasi keamanan sistem komputer atau jaringan dengan mensimulasikan serangan dari sumber berbahaya. Tujuan utama dari pentest adalah untuk:

•  Mengidentifikasi Kelemahan: Pentest membantu dalam mengidentifikasi kelemahan keamanan dalam sistem, aplikasi, atau infrastruktur jaringan. Ini termasuk kelemahan dalam prosedur keamanan, desain sistem, dan kontrol internal.
• Evaluasi Kemampuan Pertahanan: Melalui pentest, organisasi dapat mengevaluasi seberapa efektif strategi dan mekanisme pertahanan keamanan mereka dalam menghadapi serangan.
• Menguji Kebijakan Keamanan: Pentest dapat digunakan untuk menguji seberapa baik kebijakan dan prosedur keamanan diterapkan dan diikuti di lingkungan kerja.
• Pelatihan dan Kesadaran: Ini juga berfungsi sebagai alat pelatihan dan kesadaran bagi tim keamanan, membantu mereka memahami dan merespons dengan lebih baik terhadap serangan yang kompleks.
• Kepatuhan terhadap Standar dan Regulasi: Pentest dapat membantu organisasi memenuhi persyaratan kepatuhan dengan berbagai standar dan regulasi keamanan informasi.

Pentest biasanya dilakukan dengan izin dari organisasi yang sistemnya diuji, untuk memastikan bahwa aktivitas tersebut legal dan etis. Ada beberapa jenis pentest, termasuk tes kotak hitam (di mana tester tidak memiliki informasi awal tentang sistem), tes kotak putih (di mana tester memiliki informasi lengkap), dan tes kotak abu-abu (kombinasi dari kedua pendekatan tersebut).