Peretasan etis adalah penggunaan teknik peretasan oleh pihak-pihak yang bersahabat dalam upaya mengungkap, memahami, dan memperbaiki kerentanan keamanan dalam jaringan atau sistem komputer. Peretas etis memiliki keahlian yang sama dan menggunakan alat dan taktik yang sama dengan peretas jahat, tetapi tujuan mereka selalu untuk meningkatkan keamanan jaringan tanpa membahayakan jaringan atau penggunanya.
Dalam banyak hal, peretasan etis seperti latihan untuk serangan siber di dunia nyata. Organisasi mempekerjakan peretas etis untuk meluncurkan serangan simulasi pada jaringan komputer mereka. Selama serangan ini, para peretas etis mendemonstrasikan bagaimana penjahat siber yang sebenarnya dapat membobol sebuah jaringan, dan apa yang dapat atau mungkin akan mereka lakukan setelah berada di dalamnya. Analis keamanan organisasi dapat menggunakan informasi ini untuk menghilangkan kerentanan, memperkuat sistem keamanan, dan melindungi data sensitif.
Istilah "peretasan etis" dan "pengujian penetrasi" terkadang digunakan secara bergantian. Namun, uji penetrasi (dibahas di bawah) hanyalah salah satu metode yang digunakan peretas etis. Peretas etis juga dapat melakukan penilaian kerentanan, analisis malware, dan layanan keamanan informasi lainnya.
Peretas etis mengikuti kode etik yang ketat untuk memastikan tindakan mereka membantu dan bukannya merugikan perusahaan. Banyak organisasi yang melatih atau memberikan sertifikasi kepada peretas etis—seperti Dewan Konsultan E-Commerce Internasional (EC Council), mempublikasikan kode etik tertulis resmi mereka sendiri. Meskipun etika yang dinyatakan dapat bervariasi dari satu peretas ke peretas lainnya dan dari satu organisasi ke organisasi lainnya, berikut ini adalah panduan umumnya:
- Peretas etis mendapatkan izin dari perusahaan yang mereka retas: Peretas etis dipekerjakan oleh atau bermitra dengan organisasi yang mereka retas. Mereka bekerja sama dengan perusahaan untuk menentukan ruang lingkup kegiatan mereka, termasuk kapan peretasan dapat dilakukan, sistem dan aset apa saja yang dapat diuji oleh peretas, dan metode apa yang dapat mereka gunakan.
Peretas etis tidak menyebabkan kerusakan apa pun: Peretas etis tidak melakukan kerusakan apa pun pada sistem yang mereka retas, dan mereka juga tidak mencuri data sensitif apa pun yang mereka temukan. Ketika topi putih meretas sebuah jaringan, mereka hanya melakukannya untuk mendemonstrasikan apa yang mungkin dilakukan oleh penjahat siber sungguhan.
Peretas etis merahasiakan temuan mereka: Peretas etis membagikan informasi yang mereka kumpulkan tentang kerentanan dan sistem keamanan kepada perusahaan — dan hanya kepada perusahaan. Mereka juga membantu perusahaan dalam menggunakan temuan-temuan ini untuk meningkatkan pertahanan jaringan.
Peretas etis bekerja dalam batas-batas hukum: Peretas etis hanya menggunakan metode hukum untuk menilai keamanan informasi. Mereka tidak berhubungan dengan topi hitam atau berpartisipasi dalam peretasan jahat.
Sehubungan dengan kode etik ini, ada dua jenis peretas lainnya.
Peretas jahat yang terang-terangan
Kadang-kadang disebut 'peretas topi hitam', peretas jahat melakukan kejahatan siber untuk keuntungan pribadi, terorisme siber, atau tujuan lain. Mereka meretas sistem komputer untuk mencuri informasi sensitif, mencuri dana, atau mengganggu operasi.
Peretas etis yang tidak etis
Terkadang disebut 'peretas topi abu-abu (gray)' (atau salah eja sebagai 'peretas topi abu-abu (grey)'), para peretas ini menggunakan metode yang tidak etis atau bahkan bekerja di luar hukum untuk mencapai tujuan yang etis. Contohnya termasuk menyerang jaringan atau sistem informasi tanpa izin untuk menguji eksploitasi, atau mengeksploitasi kerentanan peranti lunak secara publik yang akan diperbaiki oleh vendor. Meskipun para peretas ini memiliki niat baik, tindakan mereka juga dapat memberi petunjuk kepada penyerang jahat tentang vektor serangan baru.
Peretasan etis adalah jalur karier yang sah. Sebagian besar peretas etis memiliki gelar sarjana di bidang ilmu komputer, keamanan informasi, atau bidang terkait. Mereka cenderung mengetahui bahasa pemrograman dan skrip yang umum seperti python dan SQL. Mereka terampil—dan terus membangun keterampilan mereka—dalam alat dan metodologi peretasan yang sama oleh peretas jahat, termasuk alat pemindaian jaringan seperti Nmap, platform pengujian penetrasi seperti Metasploit, dan sistem operasi khusus yang dirancang untuk peretasan, seperti Kali Linux.
Seperti profesional keamanan siber lainnya, peretas etis biasanya mendapatkan kredensial untuk menunjukkan keahlian dan komitmen mereka terhadap etika. Banyak yang mengambil kursus peretasan etis atau mendaftar di program sertifikasi khusus untuk bidang ini. Beberapa sertifikasi peretasan etis yang paling umum meliputi:
Peretas Etis Bersertifikat (Certified Ethical Hacker/CEH): Ditawarkan oleh EC-Council, sebuah badan sertifikasi keamanan siber internasional, CEH merupakan salah satu sertifikasi peretasan etis yang paling dikenal luas.
CompTIA PenTest +: Sertifikasi ini berfokus pada pengujian penetrasi dan penilaian kerentanan.
Penguji Penetrasi SANS GIAC (GPEN): Seperti PenTest+, sertifikasi GPEN dari SANS Institute memvalidasi keterampilan pengujian pena peretas etis.
Peretas etis menawarkan berbagai layanan
Pengujian penetrasi
Uji penetrasi, atau "uji pen " adalah simulasi pelanggaran keamanan. Penguji pen meniru peretas jahat yang mendapatkan akses tidak sah ke sistem perusahaan. Tentu saja, penguji pen tidak menyebabkan kerusakan yang sebenarnya. Mereka menggunakan hasil uji mereka untuk membantu mempertahankan perusahaan terhadap penjahat dunia maya yang sebenarnya.
Uji pena terjadi dalam tiga tahap:
1. Pengintaian
Selama tahap pengintaian, penguji pen mengumpulkan informasi tentang komputer, perangkat seluler, aplikasi web, server web, dan aset lainnya di jaringan perusahaan. Tahap ini kadang-kadang disebut "pembuatan jejak" karena penguji pen memetakan seluruh jejak jaringan.
Penguji pen menggunakan metode manual dan otomatis untuk melakukan pengintaian. Mereka dapat menjelajahi profil media sosial karyawan dan halaman GitHub untuk petunjuk. Mereka mungkin menggunakan alat seperti Nmap untuk memindai port terbuka dan alat seperti Wireshark untuk memeriksa lalu lintas jaringan. Jika diizinkan oleh perusahaan, mereka dapat menggunakan taktik rekayasa sosial untuk mengelabui karyawan agar berbagi informasi sensitif.
2. Melancarkan serangan
Setelah penguji pen memahami kontur jaringan—dan kerentanan yang bisa mereka eksploitasi—mereka meretas sistem. Penguji pen dapat mencoba berbagai serangan tergantung pada cakupan uji penetrasi. Beberapa serangan yang paling sering diuji meliputi:
– Injeksi SQL: Penguji pen mencoba membuat halaman web atau aplikasi mengungkapkan data sensitif dengan memasukkan kode berbahaya ke dalam bidang input.
– Skrip lintas situs: Penguji pen mencoba menanam kode berbahaya di situs web perusahaan.
– Serangan Denial-of-service : Penguji pen mencoba membuat server, aplikasi, dan sumber daya jaringan lainnya offline dengan membanjiri mereka dengan lalu lintas.
- Rekayasa sosial: Penguji pen menggunakan phishing, umpan, pretexting, atau taktik lain untuk mengelabui karyawan agar membahayakan keamanan jaringan.
Selama serangan, penguji pena mengeksplorasi bagaimana peretas jahat dapat mengeksploitasi kerentanan yang ada dan bagaimana mereka dapat bergerak melalui jaringan begitu masuk. Mereka mencari tahu jenis data dan aset apa saja yang bisa diakses oleh peretas. Mereka juga menguji apakah langkah-langkah keamanan yang ada dapat mendeteksi atau mencegah aktivitas mereka.
Pada akhir serangan, penguji pen menutupi jejak mereka. Hal ini memiliki dua tujuan. Pertama, ini menunjukkan bagaimana penjahat siber dapat bersembunyi di dalam jaringan. Kedua, mencegah peretas jahat secara diam-diam mengikuti peretas etis ke dalam sistem.
3. Pelaporan
Penguji pen mendokumentasikan semua aktivitas mereka selama peretasan. Kemudian, mereka mempresentasikan laporan kepada tim keamanan informasi yang menguraikan kerentanan yang mereka eksploitasi, aset dan data yang mereka akses, dan bagaimana mereka menghindari sistem keamanan. Peretas etis membuat rekomendasi untuk memprioritaskan dan memperbaiki masalah ini juga.
Penilaian kerentanan
Penilaian kerentanan seperti pengujian pena, tetapi tidak sampai mengeksploitasi kerentanan. Sebaliknya, peretas etis menggunakan metode manual dan otomatis untuk menemukan, mengategorikan, dan memprioritaskan kerentanan dalam suatu sistem. Kemudian mereka membagikan temuan mereka kepada perusahaan.
Analisis malware
Beberapa peretas etis mengkhususkan diri dalam menganalisis jenis ransomware dan malware. Mereka mempelajari rilis malware baru untuk memahami cara kerjanya dan membagikan kesimpulannya kepada perusahaan dan komunitas keamanan informasi yang lebih luas.
Manajemen risiko
Peretas etis juga dapat membantu manajemen risiko strategis tingkat tinggi. Mereka dapat mengidentifikasi ancaman baru dan yang muncul, menganalisis bagaimana ancaman ini berdampak pada postur keamanan perusahaan, dan membantu perusahaan mengembangkan tindakan pencegahan.
Meskipun ada banyak cara untuk menilai keamanan siber, peretasan etis dapat membantu perusahaan memahami kerentanan jaringan dari sudut pandang penyerang. Dengan meretas jaringan dengan izin, peretas etis dapat menunjukkan kepada perusahaan bagaimana peretas jahat mengeksploitasi kerentanan pada sistem operasi, aplikasi, jaringan nirkabel, dan aset lainnya di alam liar. Informasi ini dapat membantu perusahaan menemukan dan menutup kerentanan yang paling penting.
Perspektif peretas yang beretika juga dapat mengungkap hal-hal yang mungkin terlewatkan oleh analis keamanan internal. Sebagai contoh, peretas etis berhadapan langsung dengan firewall, algoritma kriptografi, sistem deteksi intrusi (IDS), sistem deteksi yang diperluas (XDR), dan tindakan pencegahan lainnya. Hasilnya, mereka tahu persis bagaimana pertahanan ini bekerja dalam praktiknya — dan di mana saja kelemahannya — tanpa perusahaan mengalami pelanggaran data yang sebenarnya.
Pengujian penetrasi aplikasi, jaringan, perangkat keras, dan personel Anda untuk mengungkap dan memperbaiki kerentanan yang membuat aset terpenting Anda terkena serangan.
Menggunakan layanan keamanan ofensif kami, yang mencakup pengujian penetrasi, manajemen kerentanan, dan simulasi musuh, untuk membantu mengidentifikasi, memprioritaskan, dan memulihkan kelemahan keamanan yang mencakup seluruh ekosistem digital dan fisik Anda.
Mengelola perluasan jejak digital Anda dan capai target dengan lebih sedikit positif palsu untuk meningkatkan ketahanan siber organisasi Anda dengan cepat
IBM Security® X-Force® Threat Intelligence Index 2023 menawarkan wawasan yang dapat ditindaklanjuti kepada CISO, tim keamanan, dan pemimpin bisnis untuk membantu Anda memahami cara pelaku ancaman melancarkan serangan, dan cara melindungi organisasi Anda secara proaktif.
Jelajahi temuan komprehensif dari Laporan Biaya Pelanggaran Data 2023. Laporan ini memberikan wawasan berharga tentang ancaman yang Anda hadapi, bersama dengan rekomendasi praktis untuk meningkatkan keamanan siber dan meminimalkan kerugian.
Pusat operasi keamanan meningkatkan kemampuan deteksi, respons, dan pencegahan ancaman organisasi dengan menyatukan dan mengoordinasikan semua teknologi dan operasi keamanan siber.
Para peneliti IBM telah menemukan ancaman baru dan mengembangkan pertahanan yang dapat ditindaklanjuti untuk jenis model AI yang berbeda yang disebut model generatif dalam (DGM). DGM adalah teknologi AI yang sedang berkembang yang mampu mensintesis data dari manifold yang kompleks dan berdimensi tinggi.
Keamanan jaringan adalah bidang keamanan siber yang berfokus pada perlindungan jaringan komputer dari ancaman siber. Keamanan jaringan melindungi integritas infrastruktur jaringan, sumber daya, dan lalu lintas untuk menggagalkan serangan ini dan meminimalkan dampak finansial dan operasional.
Manajemen permukaan serangan (ASM) adalah penemuan, analisis, remediasi, dan pemantauan terus menerus terhadap kerentanan keamanan siber dan vektor serangan potensial yang membentuk permukaan serangan organisasi.