Apa itu Pengujian Keamanan? Contoh

Oleh: Thomas Hamilton Thomas Hamilton
Hours Updated

โšก Ringkasan Cerdas

Pengujian Keamanan adalah disiplin pengujian perangkat lunak yang mengungkap kerentanan, ancaman, dan risiko dalam suatu aplikasi sebelum penyerang melakukannya. Artikel ini membahas tujuh jenis inti, model integrasi SDLC, metodologi umum, peran kunci, dan alat-alat utama.

  • ๐Ÿ›ก๏ธ Definisi Inti: Pengujian keamanan menemukan kerentanan yang dapat membocorkan informasi, pendapatan, atau reputasi.
  • ๐ŸŽฏ Tujuh Jenis: Pemindaian kerentanan, pemindaian keamanan, pengujian penetrasi, penilaian risiko, audit keamanan, peretasan etis, penilaian postur.
  • ๐Ÿ” Shift Kiri: Integrasikan keamanan ke dalam setiap fase SDLC, mulai dari persyaratan hingga dukungan โ€” memperbaiki sejak dini jauh lebih murah daripada memperbaiki setelah rilis.
  • ๐Ÿงช Tiga Pendekatan: Harimau Box, Hitam Box, dan Grey Box mewakili spektrum dari pengujian pengetahuan penuh hingga pengujian tanpa pengetahuan sama sekali.
  • ๏ธ Rangkaian alat: TeramindOWASP ZAP, Wireshark, dan w3af banyak digunakan dalam pengujian ancaman internal, aplikasi web, dan jaringan.
  • ๐Ÿค– Peningkatan AI: Agen AI menyaring output pemindai, memprioritaskan CVE berdasarkan kemungkinan eksploitasi, dan menyusun patch perbaikan.
Baca Selengkapnya

Apa itu Pengujian Keamanan?

Apa itu Pengujian Keamanan?

Pengujian Keamanan adalah jenis pengujian perangkat lunak Pengujian keamanan bertujuan untuk mengungkap kerentanan, ancaman, dan risiko dalam suatu aplikasi serta mencegah serangan berbahaya dari penyusup. Tujuan pengujian keamanan adalah untuk mengidentifikasi setiap celah dan kelemahan dalam sistem yang dapat menyebabkan hilangnya informasi, pendapatan, atau reputasi di tangan orang dalam atau orang luar.

Pengujian keamanan melindungi aplikasi dari penyusup.

Mengapa Pengujian Keamanan Penting?

Tujuan utama pengujian keamanan adalah untuk mengidentifikasi ancaman dalam sistem dan mengukur potensi dampaknya sehingga ancaman tersebut dapat dimitigasi dan sistem terus berfungsi dengan aman. Pengujian keamanan mendeteksi setiap risiko yang mungkin terjadi dan memberikan informasi yang dapat ditindaklanjuti kepada pengembang untuk memperbaiki masalah dalam kode sebelum penerapan.

Jenis Pengujian Keamanan dalam Pengujian Perangkat Lunak

Menurut Open Source Security Testing Methodology Manual (OSSTMM), terdapat tujuh jenis utama pengujian keamanan.

Tujuh jenis pengujian keamanan dalam pengujian perangkat lunak

  • Pemindaian Kerentanan: Perangkat lunak otomatis memindai sistem terhadap tanda tangan kerentanan yang dikenal.
  • Pemindaian Keamanan: Mengidentifikasi kelemahan jaringan dan sistem serta merekomendasikan perbaikan. Dapat dilakukan secara manual, otomatis, atau keduanya.
  • Pengujian Penetrasi: Mensimulasikan serangan berbahaya untuk mengungkap kerentanan yang dapat dieksploitasi oleh penyerang eksternal.
  • Tugas beresiko: Menganalisis risiko keamanan yang teramati dalam organisasi dan mengklasifikasikannya sebagai Rendah, Sedang, atau Tinggi, serta merekomendasikan tindakan pengendalian.
  • Audit Keamanan: Inspeksi internal terhadap aplikasi dan sistem operasi untuk mendeteksi celah keamanan. Dapat mencakup peninjauan kode baris demi baris.
  • Peretasan Etis: Peretasan perangkat lunak suatu organisasi yang diizinkan untuk mengungkap celah keamanan โ€” kebalikan dari niat peretas jahat.
  • Penilaian Postur: Menggabungkan pemindaian keamanan, peretasan etikadan penilaian risiko untuk menunjukkan postur keamanan keseluruhan suatu organisasi.

Cara Melakukan Pengujian Keamanan

Sudah umum diterima bahwa biaya perbaikan celah keamanan meningkat drastis jika celah tersebut ditemukan terlambat. Menunda pengujian keamanan Menunda implementasi hingga setelah penerapan jauh lebih mahal daripada memasukkannya ke dalam SDLC sejak awal.

Tabel di bawah ini memetakan aktivitas keamanan ke setiap fase SDLC.

Proses keamanan di setiap fase SDLC

Fase SDLC Proses Keamanan
Persyaratan Analisis keamanan terhadap persyaratan dan peninjauan kasus penyalahgunaan/penggunaan yang tidak tepat.
Mendesain Analisis risiko keamanan untuk desain. Pengembangan sebuah rencana pengujian Itu termasuk tes keamanan.
Pengkodean dan Pengujian Unit Pengujian statis dan dinamis plus keamanan pengujian kotak putih.
Tes integrasi Pengujian kotak hitam.
Pengujian Sistem Pengujian kotak hitam dan pemindaian kerentanan.
Organisasi Pengujian penetrasi dan pemindaian kerentanan.
Bantuan Analisis dampak dari patch.

Rencana pengujian keamanan harus mencakup:

  • Kasus uji dan skenario terkait keamanan.
  • Data uji yang dirancang untuk pengujian keamanan.
  • Alat uji yang dibutuhkan untuk setiap aktivitas keamanan.
  • Analisis hasil dari berbagai alat keamanan.

Contoh Skenario Uji untuk Pengujian Keamanan

Daftar di bawah ini memberikan gambaran sekilas tentang kasus uji keamanan yang umum.

  • Kata sandi disimpan dalam bentuk terenkripsi, tidak pernah dalam bentuk teks biasa.
  • Aplikasi atau sistem memblokir pengguna yang tidak valid.
  • Cookie dan batas waktu sesi divalidasi untuk setiap alur kerja.
  • Untuk situs keuangan, tombol kembali pada browser tidak boleh menampilkan halaman yang dilindungi setelah keluar.

Metodologi dan Teknik untuk Pengujian Keamanan

Pengujian keamanan mengikuti beberapa metodologi yang sudah mapan.

  • Harimau Box: Pengujian dilakukan dari laptop yang dilengkapi dengan beberapa sistem operasi dan alat peretasan. Digunakan oleh penguji penetrasi untuk menilai kerentanan dan menjalankan serangan.
  • Black Box: Penguji tidak memiliki pengetahuan internal tentang topologi jaringan atau tumpukan teknologi dan menyelidiki sistem seperti yang dilakukan oleh orang luar.
  • Abu-abu Box: Penguji menerima informasi parsial tentang sistem tersebut. Kombinasi teknik white-box dan black-box ini mencerminkan model ancaman realistis di mana beberapa detail telah bocor.

Peran Pengujian Keamanan

  • Peretas: Istilah umum untuk seseorang yang mengakses sistem atau jaringan komputer โ€” umumnya digunakan saat ini untuk merujuk pada peretas "topi hitam" yang melakukannya tanpa izin.
  • Kerupuk: Membobol sistem untuk mencuri atau menghancurkan data.
  • Peretas Etis: Melakukan aktivitas yang sama seperti peretas tetapi dengan izin eksplisit dari pemiliknya, helping untuk memperkuat sistem.
  • Script Kiddies / Packet Monkeys: Penyerang yang tidak berpengalaman dengan pengetahuan pemrograman terbatas yang mengandalkan skrip dan alat yang sudah jadi.

Alat Pengujian Keamanan

1) Teramind

Teramind Menyediakan rangkaian solusi komprehensif untuk pencegahan ancaman internal dan pemantauan karyawan. Solusi ini meningkatkan keamanan melalui analisis perilaku dan pencegahan kehilangan data, memastikan kepatuhan, dan mengoptimalkan proses bisnis. Platform yang dapat disesuaikan ini sesuai dengan berbagai kebutuhan organisasi, memberikan wawasan yang dapat ditindaklanjuti yang berfokus pada peningkatan produktivitas dan pengamanan integritas data.

Teramind Platform pemantauan ancaman internal dan karyawan.

Fitur:

  • Pencegahan Ancaman Orang Dalam: Mendeteksi dan mencegah tindakan pengguna yang mungkin mengindikasikan ancaman orang dalam terhadap data.
  • Optimalisasi Proses Bisnis: Menggunakan analitik perilaku berbasis data untuk menyempurnakan proses operasional.
  • Produktivitas Tenaga Kerja: Memantau produktivitas, keamanan, dan perilaku kepatuhan.
  • Manajemen Kepatuhan: Mengelola kepatuhan dari satu solusi yang skalabel, cocok untuk usaha kecil, perusahaan besar, dan instansi pemerintah.
  • Forensik Insiden: Memberikan bukti untuk memperkaya respons insiden, investigasi, dan intelijen ancaman.
  • Pencegahan kehilangan data: Memantau dan melindungi dari kehilangan data sensitif.
  • Pemantauan Karyawan: Trackinerja dan aktivitas karyawan ks.
  • Analisis Perilaku: Menganalisis data perilaku pengguna aplikasi secara rinci untuk mendapatkan wawasan.
  • Pengaturan Pemantauan yang Dapat Disesuaikan: Memungkinkan aturan pemantauan agar sesuai dengan kasus penggunaan tertentu.
  • Wawasan Dasbor: Memberikan visibilitas dan wawasan yang dapat ditindaklanjuti melalui dasbor yang komprehensif.

Mengunjungi Teramind >>

2) OWASP

The Buka Proyek Keamanan Aplikasi Web (OWASP) adalah organisasi nirlaba global yang didedikasikan untuk meningkatkan keamanan perangkat lunak. Proyek ini menyediakan berbagai alat untuk pengujian penetrasi pada berbagai lingkungan dan protokol perangkat lunak. Alat unggulan meliputi:

  1. Proksi Serangan Zed (ZAP) โ€” sebuah alat pengujian penetrasi terintegrasi.
  2. Pemeriksaan Ketergantungan OWASP โ€” Memindai dependensi proyek terhadap kerentanan yang diketahui.
  3. Proyek Lingkungan Pengujian Web OWASP โ€” koleksi pilihan alat dan dokumentasi keamanan.

3) Wireshark

Wireshark adalah alat analisis jaringan yang sebelumnya dikenal sebagai Ethereal. Alat ini menangkap paket secara real-time dan menampilkannya dalam format yang mudah dibaca manusia. Wireshark bersifat open source dan berjalan di Linux, Windows, macOS, Solaris, NetBSD, FreeBSD, dan banyak sistem lainnya. Data dapat dilihat melalui GUI atau melalui utilitas baris perintah TShark.

4) w3af

w3af adalah kerangka kerja serangan dan audit aplikasi web. Ia memiliki tiga kategori plug-in โ€” penemuan, audit, dan serangan โ€” yang saling berkomunikasi. Plug-in penemuan mencari URLUntuk menguji kerentanan, sistem meneruskannya ke plugin audit, yang memindai kerentanan tersebut, dan plugin serangan kemudian mencoba mengeksploitasinya.

Mitos dan Fakta Pengujian Keamanan

Beberapa mitos yang terus beredar memperlambat program keamanan. Daftar di bawah ini memasangkan setiap mitos dengan fakta yang mendasarinya.

Mitos #1: Bisnis kecil tidak memerlukan kebijakan keamanan.
Fakta: Setiap individu dan setiap perusahaan membutuhkan kebijakan keamanan.

Mitos #2: Pengujian keamanan tidak menawarkan pengembalian investasi.
Fakta: Pengujian keamanan mengungkap area yang perlu ditingkatkan untuk meningkatkan efisiensi, mengurangi waktu henti, dan memungkinkan throughput maksimum.

Mitos #3: Satu-satunya cara untuk aman adalah dengan mencabut sistem tersebut.
Fakta: Keamanan praktis berasal dari penilaian postur yang selaras dengan persyaratan bisnis, hukum, dan industri โ€” bukan dari memutuskan koneksi jaringan.

Mitos #4: Membeli lebih banyak perangkat lunak atau perangkat keras akan melindungi bisnis.
Fakta: Alat tidak bisa menggantikan strategi. Pahami lanskap ancaman terlebih dahulu, kemudian pilih kontrol yang sesuai.

Pertanyaan Umum Demo Slot

SAST (Static Application Security Testing) memindai kode sumber untuk mencari kerentanan tanpa mengeksekusinya. DAST (Dynamic Application Security Testing) menyelidiki aplikasi yang sedang berjalan. Tim yang berpengalaman menggunakan keduanya โ€” SAST di CI, DAST di staging โ€” untuk mencakup risiko kode dan runtime.

Pemindaian otomatis dijalankan pada setiap build, pemeriksaan dependensi dilakukan setiap hari, pengujian penetrasi penuh dilakukan setidaknya setiap tahun atau setelah rilis utama, dan penilaian postur dilakukan setiap kuartal. Industri sensitif seperti keuangan dan perawatan kesehatan seringkali memerlukan pemindaian bulanan untuk kepatuhan.

OWASP ASVS, OWASP Top 10, NIST SP 800-115, ISO/IEC 27001, PCI-DSS, dan OSSTMM adalah standar yang paling banyak diadopsi. Standar-standar ini mendefinisikan cakupan pengujian, tujuan kontrol, dan persyaratan pelaporan untuk pengujian keamanan aplikasi dan infrastruktur.

AI Alat ini mengelompokkan temuan pemindai, menghilangkan duplikasi positif palsu, memprediksi kemungkinan eksploitasi dari umpan intelijen ancaman, dan menghasilkan tambalan untuk kelas CVE umum โ€” memungkinkan analis untuk fokus pada masalah berisiko tinggi dan penting bagi bisnis.

Agen AI generatif dapat merangkai langkah-langkah pengintaian, eksploitasi, dan pelaporan untuk melakukan pengujian penetrasi otonom dalam lingkungan yang telah ditentukan. Peninjau manusia tetap memvalidasi temuan dan menyetujui rangkaian eksploitasi untuk target aktif guna memastikan kepatuhan etika dan hukum.

Ringkaslah postingan ini dengan: