Tahap - tahap menjadi Seorang Pentester



Penetration testing adalah serangkaian proses berisi prosedur dan teknik mengevaluasi keamanan terhadap sistem komputer atau jaringan dengan melakukan simulasi penyerangan untuk mengetahui letak celah-celah kerawanan pada sistem agar celah tersebut ditutup dan diperbaiki. Penetration testing dilakukan sebagai langkah awal untuk mengatasi terjadinya peretasan pada suatu sistem.

Secara umum penetration testing terdiri dari 4 tahap, yakni Planning, information gathering, vulnerability assessment, exploiting dan reporting.
1.    Planning
Pada tahap planning ini biasanya membicarakan ruang lingkup pentest, jangka waktu, dokumen legal (NDA), jumlah tim yang dibutuhkan serta apakah staff dan karyawan diberitahukan terlebih dahulu atau tidak tentang adanya pentest, dll.
2.    Information Gathering
Pada tahap ini dikumpulkan semua informasi tentang sistem target. Ada banyak alat bantu yang bisa digunakan, kemudian dilakukan network survey untuk mengumpulkan informasi domain, server, layanan yang ada, ip address, host, firewall, dll.
3.    Vulnerability Assesment
Pada tahap ini, setelah mengetahui informasi tentang sistem yang didapat, maka pencarian celah keamanan bisa dilakukan secara manual maupun otomatis tergantung pada tools yang digunakan si pentest. Setelah menemukan celah keamanan, maka langkah selanjutnya adalah exploit, exploit yaitu percobaan penyerangan (Penetration Attempt), pada proses ini dilakukan penentuan target, pemilihan tools dan exploit yang tepat, tetapi yang terpenting adalah kemampuan dalam password cracking, social engineering dan pengujian physical security dari sistem tersebut.
4.    Reporting
Pada tahap ini, laporan berisi langkah kerja yang dilakukan, celah keamanan yang ditemukan serta usulan untuk memperbaiki sistem tersebut. Biasanya harus dilakukan bersama dengan admin untuk memperbaiki sistem tersebut.

Pentest berbeda dengan sekedar hacking atau cracking. Pentest dilakukan secara legal, dapat dipertanggungjawabkan, dan memiliki tujuan yang tidak melanggar hukum.
Untuk menjadi seorang pentester ada beberapa hal yang perlu dipahami seperti konsep infrastruktur jaringan/network, Sistem Operasi/Aplikasi, Tools penetration testing, dan tentu saja license atau Sertifikasi di bidang ini seperti CEH, CAST, LPT, OSCP, OSCE, dll.

Semoga Bermanfaat …
Salam TKJ … TKJ Sukses …


Baca juga