Apa itu Tes Penetrasi?

Tes penetrasi adalah jenis penilaian keamanan yang dilakukan pada sistem komputer di mana orang yang melakukan penilaian mencoba untuk meretas ke dalam sistem. Tujuan dari pengujian ini adalah untuk menentukan apakah seseorang dengan niat jahat dapat memasuki sistem, dan apa yang dapat dia akses setelah sistem ditembus. Tes penetrasi ditawarkan oleh sejumlah perusahaan yang mengkhususkan diri dalam keamanan sistem komputer, dan sering kali sangat direkomendasikan untuk sistem dan perusahaan dari semua ukuran, karena kerusakan pada sistem komputer yang disebabkan oleh serangan musuh bisa mahal dan memalukan.

Ada sejumlah pendekatan berbeda untuk uji penetrasi. Dalam pendekatan kotak hitam, tidak ada informasi tentang sistem yang diberikan kepada orang yang melakukan pengujian. Dia mulai dari bawah ke atas untuk mencari eksploitasi potensial dan membobol sistem. Dalam uji kotak putih, semua informasi disediakan, memungkinkan penguji untuk mensimulasikan pekerjaan orang dalam atau kebocoran informasi. Beberapa perusahaan memilih pendekatan hibrida, di mana beberapa informasi disediakan dan informasi lain harus dicari.

Selama pengujian penetrasi, pakar keamanan dapat mensimulasikan penghapusan atau pengubahan data, pencurian file, penyisipan kode berbahaya, dan berbagai aktivitas lainnya. Uji penetrasi dapat memperlambat sistem, yang membuat waktu pengujian menjadi penting; perusahaan ingin menghindari campur tangan dengan operasi mereka sendiri ketika mereka melakukan penilaian keamanan.

Orang-orang yang melakukan tes penetrasi memiliki banyak perpustakaan keterampilan komputer, dan beberapa memiliki sejarah sebagai peretas yang telah membiasakan mereka dengan berbagai cara di mana sistem komputer dapat dieksploitasi. Mempekerjakan peretas yang terampil sebagai konsultan keamanan sebenarnya bisa menjadi langkah bisnis yang sangat cerdas untuk perusahaan yang berspesialisasi dalam keamanan komputer dan jaringan, karena peretas sering kali memiliki pengetahuan dan informasi paling mutakhir, dan mereka terbiasa mendekati sistem komputer dari peran seseorang dengan kedengkian, daripada peran ahli keamanan yang bersangkutan.

Untuk pengujian sederhana, dimungkinkan untuk menggunakan sistem otomatis untuk melakukan uji penetrasi. Ini menghemat biaya, dan memungkinkan perusahaan untuk dengan mudah mengadakan pengujian acak ketika mereka berpikir mungkin ada kebutuhan. Pengujian manual lebih mendalam dan memakan waktu, tetapi dapat memberikan hasil yang lebih lengkap. Manusia yang kreatif dan gigih dapat mendeteksi potensi eksploitasi yang mungkin terlewatkan oleh program otomatis.
Setelah tes penetrasi selesai, temuan ditulis dan disajikan kepada klien. Seiring dengan temuan, daftar rekomendasi dihasilkan, dengan perusahaan keamanan menunjukkan area di mana keamanan dapat ditingkatkan dan membuat saran untuk perbaikan.