Penetration testing adalah proses simulasi penyerangan ke sistem informasi organisasi atau perusahaan untuk mengeksploitasi celah kerentanan yang dimiliki (Sumber: Imperva). Umumnya pada aplikasi berbasis website, penetration testing digunakan untuk meningkatkan Web Application Firewall (WAF). Tentunya penetration testing atau penyerangan terhadap sistem informasi dilakukan oleh tim ahli yang biasa disebut penetration tester atau ethical hacker untuk memperkuat sistem keamanan agar tidak adalah celah untuk hacker jahat masuk dan merugikan perusahaan dari sistem informasinya.
Ada banyak alasan untuk perusahaan butuh melakukan penetration testing. Salah satu alasan utamanya adalah untuk menemukan kerentanan dan memperbaikinya sebelum terjadi penyerangan terhadap sistem, karena terkadang perusahaan seringkali bisa mendeteksi kerentanan yang terjadi, tapi mereka tetap harus melaporkan hal tersebut kepada seorang ahli untuk secara resmi memperbaikinya. Jika kamu tertarik menjadi seorang ahli di bidang penetration testing, maka kamu harus tau terlebih dulu jenis, langkah-langkah, tools, hingga prospek karier penetration tester. Simak ulasan lengkapnya di artikel ini!
Jenis Penetration Testing Adalah
Penetration testing dibagi menjadi tiga macam berdasarkan cara eksploitasi dan kedalaman eksploitasi yang dilakukan, diantaranya:
Black Box
Jenis penetration testing pertama adalah black box, yaitu tim penetration tester tidak memiliki pengetahuan mengenai sistem informasi yang akan dieksploitasi, mereka mengumpulkan informasi dari targetnya yaitu network ataupun sistem. Contohnya, tim penetration tester mengetahui outcomes dari aktivitas penetration testing yang dilakukan tapi tidak mengetahui cara outcomes itu dihasilkan.
White Box
Selanjutnya white box yaitu tes yang dilakukan secara lengkap dan menyeluruh. Tim penetration tester biasanya sudah memiliki informasi mengenai network atau sistem yang dieksploitasi mulai dari source code, OS details, IP address, dll. Normalnya, simulasi ini dilakukan oleh penetration tester internal dari perusahaan.
Grey Box
Grey box penetration testing adalah upaya mengantisipasi serangan dari pihak luar yang mampu menembus keamanan sistem secara ilegal. Biasanya tim grey box penetration tester sudah memiliki informasi yang sifatnya parsial mengenai rincian dari program atau sistem informasi yang akan diuji.
Langkah-langkah Penetration Testing Adalah
Proses penetration dibagi menjadi 5 langkah, diantaranya:
Langkah Penetration Testing Adalah: Perencanaan dan Pengintaian
Hal yang dilakukan pada tahapan pertama ini adalah mendefinisikan ruang lingkup dan tujuan pengujian mulai dari sistem yang akan ditangani hingga metode yang akan digunakan, dan mengumpulkan intelijen seperti jaringan, nama domain, hingga server email untuk lebih memahami cara kerja target dan potensi kerentanannya.
Scanning
Langkah selanjutnya adalah memahami cara aplikasi target merespons berbagai upaya penyusupan, ada dua langkah yang dilakukan di tahap ini pertama analisis statis yaitu memeriksa kode aplikasi untuk memperkirakan perilakunya saat dijalankan, kedua analisis dinamis yaitu memeriksa kode aplikasi dalam keadaan berjalan.
Mendapatkan Akses
Tahapan ini seorang penetration tester harus meminta izin untuk mendapatkan akses, lalu menggunakan serangan aplikasi web seperti skip lintas situs hingga injeksi SQL untuk mengungkap kerentanan target.
Menjaga Akses
Tujuan dari fase ini adalah menggunakan kerentanan untuk melihat kerentanan yang ditimbulkan bersifat permanen atau sementara dalam sistem yang sebelum diekspolitasi. Jika permanen, maka akan menjadi masalah bagi hacker jahat untuk mendapatkan akses lebih dalam.
Analisis
Tahapan terakhir adalah analisis, selama fase ini seorang penetration tester akan menghasilkan dokumentasi tentang kerentanan situs, risiko yang ditimbulkan oleh kerentanan sistem, dan saran untuk meningkatkan sistem keamanan. Nantinya informasi ini dianalisis oleh penetration tester untuk memperbaiki kerentanan dan melindungi dari serangan di masa depan.
Tools Penetration Testing Adalah
Ada beberapa tools penetration testing yang biasa digunakan oleh penetration tester atau ethical hacker, diantaranya:
- Nmap = Membantu mengidentifikasi perangkat yang sedang berjalan di sistem yang sedang diuji, menemukan host yang tersedia, menemukan port yang terbuka, hingga membantu mendeteksi risiko keamanan yang ada
- Nessus = Tools scanner keamanan jaringan yang biasa digunakan oleh ethical hacker dan administrator sistem
- Robtex = Tools yang bisa digunakan untuk berbagai macam penelitian nomor IP, nama domain, dan lain sebagainya
- TheHarvester = Tools yang dikembangkan dengan Python yang bisa digunakan untuk mencari informasi mengenai akun email, nama pengguna, nama host, hingga subdomain dari berbagai sumber publik
- Metasploit = Tools untuk menulis, menguji, hingga mengeksekusi kode exploit
Baca juga: Penetration Test Tools Andalan Ethical Hacker
Prospek Karier Penetration Testing
Prospek karier di bidang penetration sangatlah luas, kamu bisa bekerja di perusahaan swasta, instansi pemerintahan, atau jadi freelance di berbagai industri. Bahkan, saat ini ada banyak lowongan penetration tester di berbagai platform pencarian kerja seperti Linkedin atau Indeed dari perusahaan ternama seperti Sinarmas, Astra Financial, dan masih banyak lagi. Rata-rata gajinya pun variatif dan biasanya lebih tinggi dibandingkan gaji profesi IT lainnya.
Jika kamu ingin sukses berkarier di bidang ini, kamu bisa mengambil jalan pintas dengan mengikuti pelatihan bersertifikat seperti Mini Bootcamp Cyber Security: Penetration Testing for Beginner. Di kelas ini kamu akan belajar ethical hacking dari 0 sampai siap kerja di bidang cyber security. Tak hanya berpeluang jadi penetration tester, setelah mengikuti kelas ini kamu juga bisa meraih karier menjadi:
- Bug hunter
- Ethical hacker
- Cyber security
Nantinya, kamu juga akan mendapatkan kurikulum berbasis industri mulai dari basic stage, strategic and technical stage, hingga career preparation dari praktisi HR agar kamu bisa lebih siap saat menghadapi interview dan karier kedepannya.
Penasaran? Klik tombol di bawah ini untuk informasi lengkapnya: