pengujian penetrasi, atau pentesting (Jangan bingung dengan tes pena atau pena), terdiri dari simulasi serangan nyata untuk menilai risiko yang terkait dengan kelemahan keamanan potensial. Dalam pentest (penilaian kerentanan seperti), penguji tidak hanya menghilangkan kerentanan yang dapat digunakan oleh penyerang, tetapi juga mengeksploitasi kerentanan, jika mungkin, untuk menilai apa yang dapat diperoleh oleh penyerang setelah eksploitasi sukses.
Kadang-kadang, sebuah cerita tentang sebuah perusahaan besar dipengaruhi oleh serangan cyber. Lebih sering daripada tidak, para penyerang tidak menggunakan zero-hari terbaru dan terbesar (kerentanan tidak diselenggarakan oleh penerbit perangkat lunak). perusahaan besar dengan anggaran keamanan yang cukup adalah korban dari kerentanan injeksi SQL di situs Web mereka, serangan rekayasa sosial terhadap karyawan, password yang lemah di depan internet, dan sebagainya. Di sisi lain
Ini yaitu hilangnya hak milik data perusahaan dan mengekspos data pelanggan swasta melalui pelanggaran keamanan yang dapat ditingkatkan. Dalam uji penetrasi, kami menemukan masalah ini sebelum penyerang lakukan, dan merekomendasikan cara-cara untuk memperbaiki dan mencegah kerentanan di masa depan.
Luasnya uji penetrasi mereka dapat bervariasi dari klien ke klien dan karyanya. Beberapa pelanggan memiliki postur keamanan yang sangat baik, sementara yang lain akan memiliki kerentanan yang bisa memungkinkan seorang penyerang untuk menyeberangi garis dan akses ke sistem internal.
Anda juga dapat bertanggung jawab untuk mengevaluasi satu atau beberapa aplikasi web kustom. Anda dapat melakukan serangan rekayasa sosial dan sisi klien untuk mengakses jaringan internal pelanggan. Beberapa pentest akan meminta Anda untuk bertindak seperti orang – karyawan berbahaya atau penyerang yang telah melanggar batas – ketika tes penetrasi internal. Beberapa pelanggan akan meminta uji penetrasi eksternal, yang serangan melalui Internet simulasi. Dan beberapa pelanggan mungkin ingin mengevaluasi keamanan jaringan nirkabel di kantor mereka. Dalam beberapa kasus, Anda bahkan dapat mengontrol klien audit keamanan fisik.
Tahapan Penestration Test
Pentesting dimulai dengan pra-komitmen, fase yang terdiri berbicara dengan pelanggan tentang tujuan mereka untuk pentest, grafik lingkup (scope dan parameter dari tes), dan sebagainya. Ketika pentester dan klien setuju pada lingkup, format pelaporan, dan masalah lain, tes yang sesungguhnya dimulai.
Pada tahap pengumpulan informasi, pentester pencarian informasi yang tersedia untuk umum tentang pelanggan dan mengidentifikasi cara yang mungkin untuk terhubung ke sistem. Pada tahap pemodelan ancaman, tester menggunakan informasi ini untuk menentukan nilai temuan dan dampaknya terhadap klien jika temuan memungkinkan hacker untuk masuk ke sistem. Evaluasi ini memungkinkan pentester untuk mengembangkan rencana aksi dan metode serangan.
Sebelum pentester dapat mulai menyerang sistem, analisis kerentanan dilakukan. Pada tahap ini, coba uji dapat menemukan kerentanan dalam sistem yang dapat digunakan dalam tahap eksploitasi. eksploitasi sukses dapat menyebabkan eksploitasi tahap selanjutnya, di mana eksploitasi digunakan untuk mencari informasi tambahan, data sensitif, akses ke sistem lain, dan sebagainya.
Akhirnya, pada tahap pelaporan, meringkas hasil pentester eksekutif dan profesional teknis.
Untuk informasi lebih lanjut tentang pentesting, tempat yang baik untuk memulai adalah Standar Eksekusi Pengujian Penetrasi (PTES) di http://www.pentest-standard.org/ .
Sebelum saya mulai pentest, pentester melakukan interaksi pelanggan pra-kontrak untuk memastikan bahwa semua orang pada halaman yang sama pengujian penetrasi. Miskomunikasi antara pentester dan pelanggan yang mengharapkan pemindaian kerentanan sederhana dapat menyebabkan situasi yang sulit karena tes penetrasi jauh lebih mengganggu.
tahap pra-kontrak adalah ketika Anda harus meluangkan waktu untuk memahami tujuan bisnis dari klien Anda untuk yang terbaik. Jika ini adalah tes intrusi pertama mereka, apa yang mendorong mereka untuk mencari pentester? Mengekspos apa yang paling prihatin tentang? Apakah mereka memiliki perangkat yang rapuh yang perlu dipertimbangkan ketika diuji? (Saya telah menemukan segala sesuatu dari kincir angin ke perangkat medis yang terhubung ke pasien dalam jaringan).
Ajukan pertanyaan tentang bisnis pelanggan Anda. Apa yang lebih penting bagi mereka? Sebagai contoh, penyedia terkemuka online, jam penangkapan bisa berarti ribuan dolar dalam pendapatan yang hilang. Untuk bank lokal, mereka memiliki situs perbankan turun secara online selama beberapa jam dapat mengganggu beberapa pelanggan, tetapi downtime tidak akan seperti menghancurkan komitmen dari kartu kredit basis data. Provider untuk keamanan informasi, teras terjebak dengan pesan kasar penyerang dapat menyebabkan kerusakan reputasi bola salju dalam kerugian yang signifikan dari pendapatan.
hal penting lain yang akan dibahas dan disepakati selama intrusi pretest meliputi:
Cakupan
Apa IP address atau host dalam lingkup, dan apa yang tidak dalam lingkup? Apa tindakan yang akan memungkinkan pelanggan untuk melakukan? Apakah Anda diperbolehkan prestasi penggunaan dan berpotensi mengurangi layanan atau jika batas umpan balik hanya untuk mendeteksi potensi kerentanan? Apakah pelanggan memahami bahwa bahkan port scan sederhana dapat mengurangi server atau router? Apakah Anda diizinkan untuk melakukan serangan rekayasa sosial?
Ujian
Pelanggan mungkin ingin melakukan tes hanya selama jam-jam tertentu atau pada hari-hari tertentu.
Informasi kontak
Yang ke kontak jika Anda menemukan sesuatu yang serius? Apakah rencana klien untuk kontak seseorang 24 jam sehari? Apakah mereka lebih suka menggunakan enkripsi email?
Kartu “Bebas Penjara”
Pastikan Anda memiliki izin untuk melakukan tes penetrasi pada target. Jika tujuannya tidak dimiliki oleh perusahaan (misalnya, karena yang akan diselenggarakan oleh pihak ketiga), pastikan untuk memverifikasi bahwa klien memiliki persetujuan resmi dari pihak ketiga untuk melakukan pengujian penetrasi. Apapun yang terjadi, pastikan kontrak Anda termasuk pernyataan yang membatasi kewajiban Anda dalam hal sesuatu yang tidak terduga, dan mendapatkan izin tertulis untuk melakukan tes.
Sebelum saya mulai pentest, pentester melakukan interaksi pelanggan pra-kontrak untuk memastikan bahwa semua orang pada halaman yang sama pengujian penetrasi. Miskomunikasi antara pentester dan pelanggan yang mengharapkan pemindaian kerentanan sederhana dapat menyebabkan situasi yang sulit karena tes penetrasi jauh lebih mengganggu.
Pengumpulan Informasi
Berikut ini adalah tahap pengumpulan informasi. Selama fase ini, sumber informasi dianalisis tersedia secara bebas, sebuah proses yang dikenal sebagai kumpulan intelijen open source (OSINT). Hal ini juga mulai menggunakan alat-alat seperti port scanner untuk mendapatkan ide dari apa yang menjalankan sistem yang ada di Internet atau jaringan internal dan perangkat lunak apa. Mari kita menjelajahi informasi yang lebih rinci dalam Bab 5.
Pemodelan Ancaman
Berdasarkan pengetahuan yang diperoleh dalam tahap pengumpulan informasi, kami membahas pemodelan ancaman. Di sini kita berpikir seperti seorang penyerang dan mengembangkan rencana serangan berdasarkan informasi yang kami kumpulkan. Sebagai contoh, jika klien mengembangkan perangkat lunak proprietary, penyerang dapat menghancurkan sebuah organisasi untuk mengakses pengembangan internal, di mana kode sumber dikembangkan dan diuji, dan rahasia dagang jual ke perusahaan pesaing. Berdasarkan data yang kami temukan selama pengumpulan informasi, kami telah mengembangkan strategi untuk menembus sistem klien.
Analisis Kerentanan
Selain itu, pentester mulai aktif mencari kerentanan untuk menentukan keberhasilan strategi eksploitasi. Kegagalan dapat merusak pengoperasian layanan, mendorong peringatan deteksi intrusi, dan jika tidak, merusak peluang eksploitasi sukses. Seringkali, selama fase ini, pentester menjalankan scanner kerentanan yang menggunakan database kerentanan dan sejumlah penelitian aktif untuk membuat perkiraan terbaik tentang di mana kerentanan yang ada pada sistem klien. Tapi meskipun pemindai kerentanan itu adalah alat yang ampuh, tetapi tidak dapat sepenuhnya menggantikan berpikir kritis, begitu juga scan manual dan memverifikasi hasil kita sendiri pada tahap ini juga. Mari kita mengeksplorasi berbagai alat dan teknik untuk mengidentifikasi kerentanan dalam Bab 6.
Eksploitasi
Sekarang untuk bagian yang menyenangkan: eksploitasi. Di sini kita menjalankan eksploitasi terhadap kerentanan yang (kadang-kadang menggunakan alat seperti Metasploit) dalam upaya untuk mengakses sistem klien. Seperti yang akan terlihat, beberapa kerentanan akan dieksploitasi dengan mudah, seperti input password default. Kita akan melihat dalam Bab 8 eksploitasi.
Pasca-Operasi
Beberapa pentest katakanlah benar-benar dimulai hanya setelah operasi, setelah tahap eksploitasi. Untuk masuk, tapi berarti bahwa klien intrusi? Jika Anda pergi ke sistem warisan yang belum ditambal bukan bagian dari domain atau terhubung ke target-nilai yang tinggi, dan sistem tidak mengandung informasi yang menarik bagi penyerang, risiko kerentanan jauh lebih rendah dari jika mereka mampu memanfaatkan perkembangan atau sistem kontroler domain pelanggan.
Selama operasi posting, informasi mengumpulkan pada sistem target, mencari file yang menarik, mencoba untuk meningkatkan hak istimewa kita di mana diperlukan, dan sebagainya. Sebagai contoh, kita dapat menghapus hash dari password untuk melihat apakah kita dapat membalikkan atau menggunakannya untuk mengakses sistem tambahan. Kita juga bisa mencoba untuk menggunakan mesin yang dimanfaatkan untuk menyerang sistem yang tidak tersedia bagi kita sebelum menyalakan nya.
Pelaporan
Tahap terakhir dari uji penetrasi yang dilaporkan. Ini adalah tempat kita berbagi temuan kami kepada pelanggan dengan cara yang berarti. Kami memberitahu mereka apa yang mereka lakukan dengan baik, di mana mereka perlu memperbaiki postur keamanan mereka, bagaimana Anda punya, apa yang Anda temukan, bagaimana untuk memperbaiki masalah, dan sebagainya.
Menulis laporan pujian yang baik adalah seni yang membutuhkan latihan untuk menguasai. Harus berkomunikasi temuan mereka jelas untuk semua orang dari personil TI ditugaskan untuk kerentanan perbaikan manajemen tingkat atas yang menandatangani perubahan auditor eksternal. Sebagai contoh, jika seorang pria non-teknis mengatakan: “Dan kemudian menggunakan MS08-067 untuk shell,” ia mungkin berpikir, “Maksudmu, dengan seafood seperti?” Cara yang lebih baik untuk berkomunikasi ide ini adalah untuk berbicara tentang data pribadi yang dapat diakses atau diubah. Pernyataan seperti “Saya membaca email Anda,” akan beresonansi dengan hampir semua orang.
Laporan pentest harus mencakup ringkasan eksekutif dan laporan teknis, seperti yang dibahas pada bagian berikutnya.
Ringkasan rencana bisnis
Ringkasan eksekutif menjelaskan tujuan tes dan memberikan gambaran tingkat tinggi dari hasil. Target audiens adalah eksekutif yang bertanggung jawab atas program keamanan. ringkasan eksekutif Anda harus mencakup sebagai berikut:
Latar Belakang Sebuah deskripsi tujuan tes dan definisi setiap istilah yang mungkin asing bagi para eksekutif, sebagai kerentanan dan penanggulangan.
Gambaran postur efektivitas tes, masalah yang dihadapi (seperti mengeksploitasi kerentanan Microsoft MS08-067), dan masalah umum yang menyebabkan kerentanan, seperti kurangnya manajemen patch.
Keseluruhan profil risiko tingkat tinggi posisi organisasi keselamatan dibandingkan dengan organisasi serupa dengan langkah-langkah seperti ketinggian, moder makan-atau rendah. Hal ini juga harus mencakup kualifikasi penjelasan.
Hasil keseluruhan gambaran umum dari masalah yang diidentifikasi bersama dengan statistik dan indikator efektivitas penanggulangan dikerahkan.
Ringkasan Rekomendasi Sebuah gambaran tingkat tinggi dari tugas-tugas yang diperlukan untuk memulihkan masalah yang dihadapi dalam pengujian intrusi nya.
Memberikan pelanggan jangka pendek dan tujuan jangka panjang roadmap strategis untuk meningkatkan keamanan mereka. Sebagai contoh, Anda mungkin memberitahu mereka untuk menerapkan patch tertentu sekarang masalah jangka pendek dari arah, tetapi tanpa rencana jangka panjang untuk manajemen patch, klien akan sama setelah posisi itu patch baru memiliki dia telah dirilis.
Laporan Teknis
Bagian dari laporan ini memberikan rincian teknis dari tes. Anda harus menyertakan berikut:
Rincian persediaan awal seperti ruang lingkup, kontak, dan sebagainya.
Pengumpulan Informasi menemukan rincian pada tahap mengumpulkan informasi. Yang menarik adalah bahwa internet klien jejak.
Hasil dari fase penilaian kerentanan analisis Rincian uji kerentanan.
eksploitasi kerentanan / verifikasi hasil tahap eksploitasi tes yang rinci.
Setelah operasi rincian hasil dari operasi post-test.
Risiko / paparan deskripsi kuantitatif dari risiko yang dihadapi. Bagian ini memprediksi kerugian jika kerentanan diidentifikasi dieksploitasi oleh penyerang.
Secara keseluruhan kesimpulan akhir tes
Hacking
hack
peretas
Uji Penetrasi
pentest
penetration testing
penetration test
computer security