Mengenal Penetration Test Website dan Manfaatnya

Keamanan dalam teknologi informasi bukan hanya sekedar mengamankan infrastruktur IT dari pencurian secara fisik, namun juga dari orang yang tidak memiliki hak atau otorisasi, hacker, cracker, carder, spammer dan dari berbagai kemungkinan yang dapat merusak sistem informasi seperti virus, malware, worm dan sebagainya.

Untuk mencegah hal tersebut, selain melakukan vulnerability assessment, perusahaan bisa melakukan Penetration Testing Website. Penetration testing adalah suatu kegiatan dimana seseorang mencoba mensimulasikan serangan yang bisa dilakukan terhadap jaringan organisasi / perusahaan tertentu untuk menemukan kelemahan yang ada pada sistem jaringan tersebut. Orang yang melakukan kegiatan ini disebut penetration tester (disingkat pentester). 

Jika sama-sama bertujuan untuk mendeteksi kelemahan pada sebuah sistem di perusahaan, lalu apa perbedaan vulnerability assessment dengan penetration testing? Vulnerability assessment akan mencari kerentanan dan melaporkan potensi eksposur yang ada. Sedangkan, penetration testing adalah pengujian yang dilakukan dengan cara mengeksploitasi kelemahan atau kerentanan sistem kemudian menentukan sejauh mana penyerang dapat memperoleh akses tidak sah ke aset Anda

Sederhananya, vulnerability assessment ini seperti seseorang yang berjalan ke pintu rumah dan memeriksa apakah pintu tersebut terkunci. Sedangkan, penetration testing seperti seseorang  yang berjalan ke pintu rumah, memeriksa apakah pintu terkunci, dan mencoba untuk membuka pintu dan masuk ke dalam rumah.

Secara singkat, penetration testing adalah tindakan pencegahan yang memungkinkan Anda menganalisis status keseluruhan dari lapisan keamanan sistem yang ada. Manfaat dilakukannya penetration testing secara umum adalah sebagai berikut:

1. Identifikasi kerentanan dan ancaman yang tidak diketahui oleh sistem
2. Mengecek efektivitas kebijakan keamanan (security policies) yang telah dibuat
3. Menguji komponen yang terbuka untuk publik seperti firewall, router, dan DNS
4. Menentukan arah yang paling rentan mendapatkan serangan pihak ketiga
5. Mencari celah yang dapat menyebabkan pencurian data

Langkah-langkah dalam Penetration Testing Website

Untuk melakukan penetration testing website Anda perlu melakukan beberapa langkah berikut ini:

1. Langkah pertama yang dilakukan pada penetration testing website adalah perencanaan. Pada tahapan ini harus dibicarakan ruang lingkup penetration testing, range waktu, dokumen legal (kontrak), jumlah tim yang dibutuhkan serta apakah staff dan karyawan diberitahukan terlebih dahulu atau tidak tentang adanya pentest.
2. Langkah berikutnya adalah information gathering and analysis. Pada tahapan ini dikumpulkan semua informasi tentang sistem target. Kemudian dilakukan network survey untuk mengumpulkan informasi domain, server, layanan yang ada, ip address, host, dan adanya firewall.
3. Langkah selanjutnya adalah vulnerability detection (pencarian celah keamanan). Setelah mengetahui informasi tentang sistem, pencarian celah keamanan bisa dilakukan manual atau secara otomatis.
4. Setelah menemukan celah keamanan, maka langkah berikutnya adalah percobaan penyerangan (penetration attempt). Pada proses ini dilakukan penentuan target, pemilihan tools dan exploit yang tepat. Umumnya diperlukan juga kemampuan password cracking. Cara lain yang dapat dilakukan adalah dengan melakukan social engineering dan pengujian physical security dari sistem.
5. Tahap berikutnya adalah analisis dan pembuatan laporan. Disini biasanya dilaporkan tentang langkah kerja yang dilakukan, celah keamanan yang ditemukan serta usulan perbaikan. Tahapan selanjutnya biasanya tindak lanjut, yang biasanya harus dilakukan bersama-sama dengan admin untuk memperbaiki sistem.