Security Testing : Pengertian,Tipe dan Metodologi
Pengertian Security Testing
Merupakan jenis pengujian perangkat lunak yang dilakukan untuk mengidentifikasi kerentanan serta memastikan data dan sumber daya sistem di dalamnya sudah terlindungi dengan baik dari para penyusup.Pengujian ini dilakukan untuk menemukan semua celah dan kelemahan sistem yang dapat mengakibatkan hilangnya informasi atau reputasi perusahaan.
Umumnya,Security Testing akan dilakukan setiap kali kalian melakukan perubahan pada sistem yang kalian kembangkan.Meski demikian,bagi perusahan perlu menyadari bahwa security testing perlu dilakukan secara berkala karena peretas akan selalu mencari cara untuk menyusup ke dalam sistem.Dengan rutin melakukan security testing,kalian dapat menjamin bahwa sistem yang digunakan selalu memiliki tingkat keamanan yang baik.
Saat melakukan Security Testing apalagi pada situs website dan aplikasi,Ada 4 area utama yang diperhatikan,yakni :
- Network security : Pengujian dilakukan untuk mencari kerentanan dalam infrastruktur jaringan.
- System software security : Pengujian untuk menilai bagaimana tingkat kelemahan berbagai perangkat lunak tempat aplikasi bekerja seperti operating system, database system dan lainnya.
- Client-side application security : pengujian dilakukan untuk memastikan bahwa sisi klien seperti browser tidak dapat dimanipulasi.
- Server-side application security : pengujian untuk memastikan bahwa sisi server memiliki keamanan yang kuat dan dapat memblokir beragam gangguan.
Tipe-Tipe Security Testing
Vulnerability Scanning
Merupakan pengujian keamanan yang dilakukan melalui software otomatis untuk memindah aplikasi web.Software ini mencari kerentanan keamanan yang ada di dalam sistem seperti pembuatan Cross Site Scripting,SQL Injection.Command Injection,Path Traversal,serta konfigurasi server yang tidak aman.Tool ini disebut sebagai bagian dari Dynamic Application Security Testing (DAST).
Vulnerability Scanning sering menjadi praktik yang dipergunakan di seluruh jaringan perusahaan.Vulnerability scanning berada di bawah pengawasan standar industri serta peraturan pemerintah dalam meningkatkan struktur keamanan sistem pada sebuah organisasi.
Vulnerability Scanning memiliki beberapa jenis pemindaian,yakni :
- External vulnerability scans : Merupakan penilaian kerentanan yang dilakukan dengan menargetkan ekosistem IT yang tidak dibatasi untuk penggunaan internal.Pemindaian ini berfokus dibeberapa area seperti : applications,ports,websites,services,networks dan sistem yang dapat diakses dari luar oleh customer atau user.
- Internal vulnerability scans : Internal vulnerability scans adalah pemindaian yang memiliki target utama jaringan internal perusahaan. Pemindaian ini akan mengidentifikasi kerentanan di dalam jaringan untuk menghindari kerusakan. Pemindaian internal juga memungkinkan perusahaan atau organisasi untuk bisa melindungi dan memperkuat sistem keamanan aplikasi dari dalam.
Security scanning
Merupakan pemindaian yang digunakan untuk menemukan kerentanan atau modifikasi file yang tidak diinginkan dalam aplikasi berbasis web, situs web,jaringan atau sistem file.Pemindaian ini dapat dilakukan secara otomatis atau manual.Pemindaian ini memberikan kalian insight yang mendalam serta menyediakan rekomendasi solusi untuk memperbaiki masalah yang ditemukan.
Security scanning dapat dilakukan sebagai pemeriksaan satu kali.Meski begitu,sebagian besar perusahaan pengembang perangkat lunak lebih memilih untuk melakukan pemindaian keamanan secara teratur untuk memastikan sistem yang dikembangkan benar-benar aman.
Penetration Testing
Merupakan proses pengujian dengan melakukan simulasi serangan cyber terhadap sistem yang akan diuji.Pengujian ini dilakukan secara manual oleh pentester profesional dan bersertifikat menggunakan beragam pentest tools dan teknik.Ketika pengujian penetration testing dilakukan,kalian akan menemukan beragam kerentanan yang dieksploitasi oleh para penjahat cyber.Dengan begitu,maka proses perbaikan dapat segera dilakukan sebelum pihak peretas menemukannya.
Proses pengujian ini,dilakukan seperti ketika kalian mempekerjakan seseorang untuk membobol sistem keamanan aplikasi atau web.Jika orang tersebut berhasil masuk dan melewati sistem keamanan yang ada,maka kalian akan mengetahui dimana letak celah atau kerentanan keamanan sistem.Dengan informasi tersebut,kalian dapat terus meningkatkan sistem keamanan pada software,website atau aplikasi yang kalian kembangkan.Karena hacker akan terus mencari cara untuk membobol sistem korban,maka penetration testing ini perlu dilakukan secara rutin.
Risk Assessment
Melalui risk assessment, risiko keamanan yang dihadapi oleh aplikasi, software, dan jaringan akan diidentifikasi dan dianalisis.Risiko keamanan tersebut kemudian akan diklasifikasikan ke dalam beberapa kategori yaitu tinggi,sedang dan rendah.Salah satu jenis security testing ini dapat membantu kalian memastikan bahwa kontrol keamanan cyber yang dilakukan sebelumnya sudah sesuai dengan risiko keamanan yang dihadapi organisasi/perusahaan kalian.
Umumnya,risk assessment akan dilakukan oleh tim IT internal perusahaan.Karena itu,tim IT yang kalian percaya untuk melakukan penilaian risiko harus benar-benar memahami bagaimana infrastruktur digital dan jaringan kalian bekerja.
Security Auditing
Merupakan metode terstruktur untuk mengevaluasi langkah-langkah keamanan di dalam perusahaan.Dengan melakukan audit secara rutin,akan terbantu dalam mengidentifikasi titik lemah dan kerentanan dalam infrastruktur IT perusahaan,memverifikasi kontrol keamanan,memastikan kepatuhan terhadap peraturan keamanan dan lainnya.Selain itu, security auditing akan membantu perusahaan kalian untuk tetap mematuhi undang-undang keamanan.Saat ini,banyak peraturan nasional ataupun internasional seperti GDPR dan HIPAA yang membutuhkan audit keamanan IT untuk memastikan bahwa sistem informasi kalian tetap memenuhi standar yang mereka buat.
Sekilas,security auditing terlihat sama dengan risk assessment,namun dua tipe security testing tersebut tetap berbeda. Audit merupakan proses pengujian yang lebih formal daripada Risk Assessment. Selain itu, audit harus dilakukan oleh organisasi pihak ketiga yang independen dan pihak ketiga tersebut biasanya harus memiliki semacam sertifikasi. Sebuah organisasi atau perusahaan boleh saja memiliki tim audit internal, tetapi tim tersebut harus bertindak sebagai lembaga independen.
Ethical hacking
Berkaitan erat dengan penetration testing.Meski begitu,kalian harus memahami bahwa cakupan ethical hacking lebih luas daripada penetration testing.Ethical hacking merupakan pengujian keamanan yang dilakukan menggunakan semua teknik peretasan dan teknik serangan komputer terkait lainnya.Proses pengujian ini dilakukan oleh ethical hacker yang sudah memperoleh izin untuk menjelajahi infrastruktur IT perusahaan secara lebih luas.Ethical hacker tersebut menguji seberapa baik tingkat keamanan dengan mengganggu sistem menggunakan berbagai vektor dan jenis serangan.Dengan pengujian ini,kalian akan terbantu untuk mengungkap kerentanan dan kelemahan keamanan secara pada infrastruktur IT lebih luas.
Posture Assessment
Mengacu pada metodologi yang dilakukan untuk meningkatkan kemampuan manajemen risiko di perusahaan.Sebagian besar orang menganggap bahwa posture Assessment merupakan gabungan dari beberapa jenis security testing yaitu Ethical Hacking,Security Scanning dan Risk Assessment. Penilaian ini dapat menjadi langkah berharga untuk mengetahui bagaimana kondisi keamanan perusahaan.Dengan melakukan Posture Assessment,suatu perusahaan akan memiliki pandangan jelas tentang status keamanan perusahaan serta mampu mengidentifikasikan ancaman keamanan yang mungkin terjadi.
Metodologi Pada Security Testing
S1alam Security Testing,metodologi yang berbeda yang diikuti, adalah sebagai berikut :
- Tiger Box : Metodologi pengujian ini umumnya dilakukan melalui laptop atau OS yang memiliki seperangkat alat untuk hacking.Dengan metodologi ini,penguji dapat mengevaluasi kerentanan serangan cyber.
- Black Box : metode pengujian perangkat lunak dimana struktur atau desain internal dari item yang perlu diuji tidak diketahui oleh penguji. Pengujian black box juga sering disebut sebagai functional testing atau closed-box testing.
- Grey Box : Dilakukan pada suatu perangkat lunak dengan informasi fungsionalitas internal terbatas.Biasanya,pihak penguji akan memiliki beberapa pengetahuan dasar tentang kode dan algoritma perangkat lunak.Meski begitu informasi tersebut tetap terbatas sehingga pengujian akan tetap dilakukan secara normal dari sudut pandang penguji.
Manajemen Risiko & Uji Keamanan
- Menciptakan kasus penyalahgunaa keamanan.
- Daftar normatif keamanan sesuai kebutuhan.
- Melakukan analisis risiko arsitektur.
- Rencana uji keamanan berbasis risiko pembangunan.
- Memegang alat analisis statis.
- Melakukan security tests.
- Melakukan pengujian penetrasi di yang environmenta akhir.
- Membersihkan bugs yang telah ditemukan.
Kesimpulannya :
Security Testing.yakni pengujian paling penting untuk sebuah aplikasi dan memeriksa apakah data rahasia tetap rahasia.Dalam hal ini jenis pengujian,tester memainkan peran penyerang dan bermain (main didalam sistem untuk menemukan bugs keamanan terkait).Security testing ini sangat penting dalam industril untuk melindungi data dengan segala cara.
sekian artikel kali ini,semoga bisa bermanfaat untuk kalian semuanya 🙂