Sudut Pandang Security Testing

1. SUDUT PANDANG SECURITY TESTING

Pembuatan Panduan ini diadopsi dari beberapa rujukan yang telah diakui secara internasional yang juga digabungkan dengan berbagai pengalaman penulis. Adapun di dalam penerapannya,

Di dalam pelaksanaan yang ada, setiap kegiatan uji juga harus dilengkapi dengan sudut pandang pengujian yang merinci baik dari area eksternal maupun area internal yang terbagi menjadi tiga, yaitu Black Box, Grey Box, dan White Box.

Secara makna, sudut pandang dimaksud memiliki beberapa arti seperti:

• Black Box: Memiliki makna bahwa suatu pengujian dilakukan dalam situasi seorang penguji yang tidak memiliki akun untuk masuk ke dalam aplikasi ataupun tidak memiliki akses ke dalam suatu jaringan atau asset yang diuji selain yang dimiliki oleh seorang pengunjung (seperti aplikasi) ataupun tamu secara umum.

Grey Box: Memiliki makna bahwa suatu pengujian dilakukan dengan situasi seorang penguji telah memiliki sedikit akses yang tidak diperoleh para pengunjung secara umum. Sebagai contoh yaitu ketika seorang pengunjung telah memiliki akses sebagai pengguna (customer / nasabah).

White Box: Memiliki makna bahwa suatu pengujian dilakukan dengan akses tertinggi di masingmasing wilayah. Sebagai contoh yaitu seperti menguji dari sudut pandang server administrator (dengan hak akses administrator), sudut pandang application administrator (dengan hak akses seperti super administrator), dan sudut pandang database administrator (dengan hak akses masuk ke dalam database). Inti sederhananya adalah, memastikan bahwa setiap layer tidak dapat masuk ke layer lain tanpa adanya keperluan yang dituangkan dengan benar sesuai ketentuan.

Baca Juga :

Dengan berbagai rujukan yang digabungkan dengan berbagai sudut pandang uji (baik dari eksternal maupun internal), maka Panduan ini pun diharapkan dapat menjadi semakin dalam dengan tujuan untuk mengoptimalkan identifikasi terhadap suatu risiko.

Adapun untuk implementasinya, tidak dipungkiri lagi bahwa terdapat kebingungan yang cukup significant di dalam penentuan suatu jenis kegiatan terkait security testing yang memiliki pola uji serta waktu yang beragam. Sebagai catatan sederhana, beberapa hal sederhana yang umumnya digunakan untuk penentuan penggunaan jenis kegiatan yang ada yaitu terletak pada sisi kematangan keamanan yang dimiliki oleh suatu perusahaan serta kebutuhan perusahaan dalam mengidentifikasi suatu risiko yang terdapat di dalamnya.

netsolutions.com


Secara garis besar, terdapat tiga jenis kegiatan teknis yang cukup dikenal di kalangan pegiatan keamanan informasi, yaitu Vulnerability Assessment, Penetration Test, dan Security Assessment.

1.1 VULNERABILITY ASESSMENT

Berdasarkan penjelasan dari Akamai dan banyak sumber lain yang berkompeten di dalamnya, secara spesifik, Vulnerability Assessment merupakan kegiatan uji yang memiliki karakteristik yang berkaitan erat dengan penggunaan suatu automation vulnerability scanner. Di dalamnya, para penguji akan berusaha melakukan validasi terhadap setiap result yang disampaikan dan memberikan tindak lanjut rekomendasi terhadap issue yang valid.

manageengine.com

Namun demikian, kegiatan uji ini tidak dapat menjadi tolak ukur utama karena dianggap kurang dapat mengidentifikasi suatu risiko secara maksimal. Selain berkutat pada ranah signature yang dimiliki oleh masing-masing automation vulnerability scanner, aktivitas ini juga dianggap kurang dapat menguji alur (flow) dari suatu bisnis yang umumnya tertuang di dalam implementasi aplikasi.
Berdasarkan pertimbangan ini, maka mulai banyak yang merujuk terhadap kegiatan uji di atasnya, yaitu Penetration Test. 

1.2 PENETRATION TESTING

Berbeda dengan vulnerability assessment, kegiatan penetration test lebih cenderung untuk memiliki suatu tujuan yang spesifik, misalnya seperti dapat tidaknya suatu target diambil alih.

Kegiatan ini tidak serta merta terpaku pada hasil dari suatu automation vulnerability scanner ataupun pada suatu check-list. Dalam perjalanannya, kegiatan uji ini akan mencoba mensimulasikan berbagai jenis serangan yang umumnya digunakan untuk masuk ke dalam suatu sistem.

Saat penerapannya, seorang penguji pun akan dapat memanfaatkan lebih dari satu jenis kerentanan (yang dapat berupa penggabungan beberapa kerentanan sederhana) untuk mencapai satu tujuan utama, yaitu mengambil alih sistem yang dituju.


Namun demikian, kegiatan uji ini pada akhirnya juga dianggap tidak dapat 100% menjadi acuan utama bila suatu perusahaan/organisasi hendak melihat risiko yang ada pada dirinya. Berdasarkan adanya kebutuhan yang lebih mendalam ini, maka akhirnya dimunculkanlah suatu model uji berbasiskan risiko yang umumnya dikenal dengan nama Security Assessment. 

1.3 SECURITY ASESSMENT

Konsep yang diusung oleh Security Assessment cukup sederhana, yaitu:

• Bila suatu sistem telah dikatakan berisiko, maka sudah dipastikan bahwa sistem itu memiliki suatu kerentanan (walau dengan tingkat low sekalipun). Namun demikian, rentan bukanlah berarti dapat membuat seorang penguji untuk masuk ke dalam sistem.

• Bila seorang penguji telah berhasil masuk ke dalam sistem, maka sudah dapat dipastikan bahwa sistem dimaksud memang rentan (walau mungkin di dalam penerapannya butuh penggabungan beberapa jenis kerentanan). Akan tetapi, masuk ke dalam sistem bukanlah berarti menyatakan bahwa seorang penguji telah berhasil memperlihatkan suatu risiko (terlebih terhadap bisnis).

Karena ada kemungkinan bila sistem yang telah dimasuki ternyata sudah tidak lagi terpakai. Dan perlu menjadi catatan bahwa risiko yang dibahas pada topik ini berhubungan dengan tiga komponen utama keamanan informasi, yaitu kerahasiaan, keaslian, dan ketersediaan.

Di dalam security assessment, seorang penguji akan mencoba untuk memaksimalkan suatu pengujian dari berbagai macam sudut pandang untuk dapat mengidentifikasi potensi risiko yang dapat muncul. Beberapa contoh sederhana yang sering dibahas untuk memperjelas hal ini yaitu terkait dengan beredarnya foto-foto artis yang menggunakan layanan Apple iCloud sekitar tahun 2014 lalu.

Banyak pihak yang mengatakan bahwa pada saat itu Apple telah dibobol, namun demikian, Apple tidak pernah dibobol untuk situasi itu. Pada kenyataannya, Attacker dimaksud justru memanfaatkan kerentanan Apple yang belum membatasi login attempt (limitation of login attempt) terhadap layanan iCloud nya, sehingga memungkinkan seorang Attacker untuk melakukan brute force (kata sandi) sebanyak mungkin terhadap suatu username yang valid. Pemeriksaan session idle termination, pengaturan history dari suatu pergantian kata sandi, pengaturan umur kata sandi, dan yang serupa dengan ini, semuanya merupakan beberapa poin yang umumnya diperhatikan di dalam Security Assessment.

Di sisi lain, ketika seorang penguji telah berhasil masuk ke dalam sistem, maka penguji pun harus memeriksa setiap kemungkinan yang dapat menimbulkan potensi risiko lain di dalamnya, seperti memeriksa kemungkin penyimpanan kata sandi di dalam browser, penyimpanan dokumen sensitif, masih terbacanya secara plaintext akan konfigurasi database connection string, dan yang lainnya. Benang merahnya adalah, seorang penguji harus memastikan bahwa data (yang tidak diperuntukan oleh pengelola database – seperti database administrator) yang tersimpan di dalam database sekalipun tidaklah boleh dapat dibaca tanpa terproteksi oleh seorang database administrator.

Mail-kun
Mail-kun Apa ya?

1 comment for "Sudut Pandang Security Testing"

Post a Comment

Berlangganan via Email