Tahap - tahap menjadi Seorang Pentester
Penetration
testing adalah serangkaian proses berisi prosedur dan teknik mengevaluasi
keamanan terhadap sistem komputer atau jaringan dengan melakukan simulasi
penyerangan untuk mengetahui letak celah-celah kerawanan pada sistem agar celah
tersebut ditutup dan diperbaiki. Penetration testing dilakukan sebagai langkah awal
untuk mengatasi terjadinya peretasan pada suatu sistem.
Secara umum
penetration testing terdiri dari 4 tahap, yakni Planning, information
gathering, vulnerability assessment, exploiting dan reporting.
1. Planning
Pada tahap planning ini biasanya
membicarakan ruang lingkup pentest, jangka waktu, dokumen legal (NDA), jumlah
tim yang dibutuhkan serta apakah staff dan karyawan diberitahukan terlebih
dahulu atau tidak tentang adanya pentest, dll.
2. Information Gathering
Pada tahap ini dikumpulkan semua
informasi tentang sistem target. Ada banyak alat bantu yang bisa digunakan, kemudian
dilakukan network survey untuk mengumpulkan informasi domain, server, layanan
yang ada, ip address, host, firewall, dll.
3. Vulnerability Assesment
Pada tahap ini, setelah mengetahui
informasi tentang sistem yang didapat, maka pencarian celah keamanan bisa
dilakukan secara manual maupun otomatis tergantung pada tools yang digunakan si
pentest. Setelah menemukan celah keamanan, maka langkah selanjutnya adalah
exploit, exploit yaitu percobaan penyerangan (Penetration Attempt), pada proses
ini dilakukan penentuan target, pemilihan tools dan exploit yang tepat, tetapi
yang terpenting adalah kemampuan dalam password cracking, social engineering
dan pengujian physical security dari sistem tersebut.
4. Reporting
Pada tahap ini, laporan berisi
langkah kerja yang dilakukan, celah keamanan yang ditemukan serta usulan untuk
memperbaiki sistem tersebut. Biasanya harus dilakukan bersama dengan admin untuk
memperbaiki sistem tersebut.
Pentest berbeda
dengan sekedar hacking atau cracking. Pentest dilakukan secara legal, dapat
dipertanggungjawabkan, dan memiliki tujuan yang tidak melanggar hukum.
Untuk menjadi
seorang pentester ada beberapa hal yang perlu dipahami seperti konsep
infrastruktur jaringan/network, Sistem Operasi/Aplikasi, Tools penetration
testing, dan tentu saja license atau Sertifikasi di bidang ini seperti CEH,
CAST, LPT, OSCP, OSCE, dll.
Semoga Bermanfaat
…
Salam TKJ … TKJ
Sukses …