Diterbitkan: 20 Desember 2023
Kontributor: Teaganne Finn, Amanda Downie
Pengujian penetrasi jaringan adalah salah satu jenis pengujian penetrasi atau "tes pen" yang secara khusus menargetkan seluruh jaringan komputer perusahaan melalui praktik peretasan etis.
Tujuan dari pengujian penetrasi jaringan adalah untuk mengungkap dan mengidentifikasi kerentanan apa pun yang ada di dalam organisasi. Hal ini termasuk melakukan evaluasi mendalam terhadap langkah-langkah keamanan jaringan melalui pengujian eksternal dan pengujian internal, seperti pengujian aplikasi web, dan serangan phishing tiruan.
Berlangganan Buletin Bulanan IBM
Cara kerja penetrasi jaringan adalah peretas etis, atau tim merah, menggunakan alat bantu dan teknik peretasan untuk melakukan serangan siber tiruan pada sistem komputer organisasi. Tujuannya adalah untuk berada di belakang firewall organisasi dan mendapatkan akses yang tidak sah.
Pengujian penetrasi jaringan dapat mencakup penyerangan terhadap aplikasi web, API, titik akhir, dan kontrol fisik. Simulasi serangan pada sistem operasi dapat mengungkapkan kelemahan keamanan dan menunjukkan kepada organisasi lokasi titik-titik lemahnya.
Serangan palsu membantu tim keamanan mengungkap kerentanan keamanan yang berkaitan dengan infrastruktur jaringan. Ancaman umum yang dapat diuji termasuk serangan denial-of-service terdistribusi (DDos), sistem nama domain (DNS), malware, phishing, dan injeksi SQL.
Penguji juga menggunakan alat bantu untuk melakukan pengintaian dan mengotomatisasi proses pengujian pena. Seringkali ada dua jenis tes yang digunakan: internal dan eksternal.
Pengujian jaringan internal: Dalam pengujian internal, penguji pena bertindak sebagai penyerang internal atau seseorang yang mungkin mencoba melakukan tindakan jahat dengan kredensial yang dicuri. Tujuan utama dari jenis pengujian ini adalah untuk menemukan kerentanan yang dapat dieksploitasi oleh seseorang atau karyawan dari dalam organisasi dengan mencuri informasi dan menyalahgunakan hak istimewa untuk mengakses data pribadi atau data sensitif.
Pengujian jaringan eksternal: Layanan pengujian penetrasi jaringan eksternal dimaksudkan untuk meniru penyerang dari luar yang mencoba masuk ke dalam jaringan. Penguji pena ini bekerja untuk menemukan masalah keamanan yang terhubung langsung ke internet, seperti server, router, situs web, aplikasi, dan komputer karyawan yang merupakan risiko sumber terbuka.
Seringkali uji penetrasi jaringan akan mengikuti empat langkah spesifik. Pengujian akan diakhiri dengan laporan uji pen jaringan, yang merupakan analisis terperinci tentang risiko bisnis dan temuan risiko.
Pada tahap pertama ini, peretas etis akan berdiskusi dengan para pemangku kepentingan utama tentang tujuan keseluruhan dari pengujian dan kerentanan apa yang telah diidentifikasi oleh organisasi. Sebelum pengujian pena, penilaian kerentanan harus dilakukan.
Dari sana, penguji pen dan pemangku kepentingan akan memutuskan tes mana yang akan dilakukan dan metrik keberhasilan yang mereka rencanakan untuk digunakan. Penguji akan menggunakan beberapa alat dan metodologi yang berbeda untuk melakukan serangan palsu, seperti pemindaian port dan pemetaan jaringan (nmap).
Ada tiga jenis perspektif pengujian yang umum digunakan. Tergantung pada organisasinya, ini dapat digunakan secara individual atau gabungan.
Pengujian kotak hitam: Tes 'kotak hitam' dilakukan dari perspektif peretas rata-rata dengan sedikit atau tanpa pengetahuan internal tentang sistem jaringan. Jenis pengujian ini akan menjadi tes pena eksternal karena tujuannya adalah untuk mengeksploitasi kerentanan yang menghadap ke luar di dalam jaringan.
Pengujian kotak abu-abu: Jenis uji penetrasi jaringan ini lebih berfokus pada internal dan bertujuan untuk menggambarkan seorang peretas dengan akses ke sistem internal, sementara juga mempertahankan beberapa aspek peretas eksternal. Tes kotak abu-abu bertujuan untuk menjadi aktor buruk dalam suatu organisasi yang mungkin memiliki hak istimewa yang tinggi yang digunakan dengan cara yang jahat.
Pengujian kotak putih: Terakhir, pengujian kotak putih adalah yang paling mengganggu dari tiga jenis pengujian keamanan. Tes ini dilakukan untuk menggambarkan seorang spesialis TI atau seseorang yang memiliki akses ke kode sumber organisasi dan semua data yang mungkin tentang sistem. Pengujian ini biasanya dilakukan terakhir untuk menguji integritas arsitektur TI. Dan selanjutnya memastikan kemungkinan peretas dan serangan siber ke sistem target tidak dapat ditembus.
Dalam fase pengintaian dan penemuan, penguji pena akan mengambil data dari pengintaian untuk melakukan tes langsung dan menemukan kerentanan yang ada melalui taktik, seperti rekayasa sosial. Dengan menggunakan alat yang menipu untuk memanipulasi individu agar mau berbagi informasi, para penguji pena berharap dapat menemukan di mana letak titik-titik lemah dan mulai menargetkan kerentanan tersebut.
Pada langkah penemuan, penguji pen dapat menggunakan alat bantu seperti pemindai port dan pemindai kerentanan. Pemindai port mengidentifikasi port terbuka pada sistem di mana peretas dapat masuk dan pemindai kerentanan mengidentifikasi kerentanan yang ada pada sistem.
Langkah selanjutnya adalah menerapkan semua pekerjaan awal yang telah dilakukan hingga saat ini ke dalam tindakan. Pada langkah ini, penguji pen akan melakukan uji penetrasi jaringan dengan menggunakan alat yang dapat mengeksploitasi skrip atau mencoba mencuri data. Tujuannya adalah untuk mengetahui seberapa besar kerusakan yang dapat ditimbulkan oleh peretas etis dan jika mereka mendapatkan akses, tentukan berapa lama mereka dapat bertahan di dalam sistem.
Penguji pena dapat memulai dengan menguji satu kerentanan sebagai satu waktu, tetapi harus melakukan tes pada beberapa kerentanan untuk memastikan pendekatan luas telah diambil untuk mengatasi risiko keamanan ini.
Langkah terakhir adalah mendokumentasikan uji penetrasi jaringan apa saja yang telah dilakukan, membahas hasil dari setiap tes tersebut dan mendiskusikan langkah-langkah remediasi dengan tim keamanan informasi. Laporan ini merinci seluruh proses dari awal hingga akhir dan mengidentifikasi kerentanan, bukti, data, dan rekomendasi untuk organisasi. Laporan ini sangat penting bagi pemilik bisnis untuk mendapatkan gambaran lengkap mengenai risiko apa saja yang telah diidentifikasi dan analisis yang selanjutnya membantu mereka mengambil keputusan yang tepat.
Sebuah organisasi menghadapi banyak ancaman dan memiliki pagar pengaman pada data Anda sangat penting untuk melindungi bisnis Anda dan informasi sensitifnya. Uji penetrasi jaringan akan mengidentifikasi semua kerentanan dan melindungi data organisasi Anda dari semua titik masuk yang mungkin terjadi. Meskipun pemindaian kerentanan dapat bermanfaat, namun ini bukanlah alat pengujian yang ekstensif dan, jika ada, harus digunakan sebagai pelengkap untuk uji pena.
Dengan melakukan pengujian pen, Anda akan memiliki pemahaman yang lebih baik tentang kontrol keamanan apa yang berfungsi dan mana yang perlu diperkuat. Pengujian penetrasi jaringan juga memberikan kemampuan bagi organisasi untuk menganalisis postur keamanannya.
Menganalisis kerentanan jaringan organisasi Anda secara dini akan memastikan kemungkinan pelanggaran data hampir dihilangkan. Pengujian pena menjamin keamanan secara keseluruhan melalui penilaian keamanan dan pemindaian keamanan siber.
Temukan risiko permukaan serangan eksternal Anda dan titik-titik buta yang tak terduga, sebelum penyerang melakukannya dengan IBM Security Randori Recon.
Uji aplikasi seluler, aplikasi IoT, jaringan, perangkat keras, dan personel Anda untuk mengungkap dan memperbaiki kerentanan yang mengekspos aset terpenting Anda.
Tetaplah menjadi yang terdepan dalam lingkungan yang berubah dengan cepat dan lindungi infrastruktur serta jaringan Anda dari ancaman keamanan siber yang canggih dengan keahlian, keahlian, dan solusi modern yang telah teruji.
Portal Merah X-Force memungkinkan semua orang yang terlibat dalam remediasi untuk melihat temuan pengujian segera setelah kerentanan ditemukan dan menjadwalkan pengujian keamanan sesuai keinginan mereka.
IBM Security X-Force Threat Intelligence Index 2023 menawarkan wawasan yang dapat ditindaklanjuti kepada CISO, tim keamanan, dan pemimpin bisnis untuk membantu Anda memahami cara pelaku ancaman melancarkan serangan, dan cara melindungi organisasi Anda secara proaktif.
Jelajahi temuan komprehensif dari Laporan Biaya Pelanggaran Data 2023. Belajarlah dari pengalaman lebih dari 550 organisasi yang menjadi korban pelanggaran data.
X-Force menawarkan berbagai produk dan layanan ofensif dan defensif, yang didukung oleh intelijen ancaman dan penelitian.
Penelitian X-Force terbaru multi-fungsi yang menampilkan blog baru setiap minggunya.
Buku elektronik ini mengajarkan Anda tentang penawaran jangkauan dunia maya dan bagaimana organisasi Anda dapat berlatih untuk tanggap krisis bisnis secara menyeluruh.