penetration test
uji penetrasi pentest adalah metode mengevaluasi keamanan dari suatu sistem komputer atau jaringandengan mensimulasikan serangan dari luar berbahaya (yang tidak memiliki sarana berwenang mengakses sistem organisasi) dan dalam berbahaya (yang memiliki beberapa tingkat berwenang akses). Proses ini melibatkan analisis aktif dari sistem untuk setiap kerentanan potensial yang dapat hasil dari miskin atau konfigurasi sistem yang tidak benar, baik dikenal dan tidak dikenal hardware atau software kekurangan, atau kelemahan operasional dalam proses atau penanggulangan teknis. Analisis ini dilakukan dari posisi penyerang potensial dan dapat melibatkan eksploitasi aktif dari kerentanan keamanan.
Tes penetrasi sangat berharga karena beberapa alasan:
1. Menentukan kelayakan set tertentu dari vektor serangan
2. Mengidentifikasi berisiko tinggi kerentanan yang dihasilkan dari kombinasi rendah-risiko kerentanan dieksploitasi dalam urutan tertentu
3. Mengidentifikasi kerentanan yang mungkin sulit atau tidak mungkin untuk mendeteksi dengan jaringan otomatis atau aplikasi perangkat lunak kerentanan pemindaian
4. Menilai besarnya potensi bisnis dan dampak operasional serangan sukses
5. Pengujian kemampuan pembela jaringan untuk berhasil mendeteksi dan merespon serangan
6. Memberikan bukti untuk mendukung peningkatan investasi dalam aparat keamanan dan teknologi
Tes penetrasi adalah komponen penuh audit keamanan . Sebagai contoh, Industri Kartu Pembayaran Standar Keamanan Data(PCI DSS), dan standar keamanan dan audit, membutuhkan pengujian penetrasi baik tahunan dan berkelanjutan (setelah perubahan sistem) .
Isi
[ sembunyikan ]
· 3 Resiko
|
Kotak hitam vs kotak putih
Uji penetrasi dapat dilakukan dalam beberapa cara. Perbedaan yang paling umum adalah jumlah pengetahuan tentang rincian pelaksanaan sistem sedang diuji yang tersedia untuk penguji. pengujian kotak hitam tidak menganggap pengetahuan sebelumnya dari infrastruktur yang akan diuji. Para penguji harus terlebih dahulu menentukan lokasi dan luasnya sistem sebelum memulai analisis mereka. Di ujung lain dari spektrum, pengujian kotak putih memberikan penguji dengan pengetahuan lengkap tentang infrastruktur yang akan diuji, sering termasuk diagram jaringan, source code, dan informasi pengalamatan IP. Ada juga beberapa variasi di antara, sering dikenal sebagai tes kotak abu-abu . Uji penetrasi juga dapat digambarkan sebagai "pengungkapan penuh" (kotak putih), "pengungkapan parsial" (abu-abu box), atau "buta" (kotak hitam) tes berdasarkan jumlah informasi yang diberikan kepada pihak pengujian.
Manfaat relatif dari pendekatan ini diperdebatkan. Pengujian kotak hitam mensimulasikan serangan dari seseorang yang belum terbiasa dengan sistem. Pengujian kotak putih mensimulasikan apa yang mungkin terjadi selama "pekerjaan orang dalam" atau setelah "kebocoran" informasi sensitif, di mana penyerang memiliki akses ke kode sumber, layout jaringan, dan mungkin bahkan beberapa password.
Layanan yang ditawarkan oleh perusahaan pengujian penetrasi span kisaran yang sama, dari hasil scan sederhana dari sebuah organisasi alamat IP ruang untuk port terbuka dan spanduk identifikasi audit penuh kode sumber untuk aplikasi.
Dasar Pemikiran
Sebuah tes penetrasi harus dilakukan pada setiap sistem komputer yang akan digunakan dalam lingkungan yang tidak bersahabat, khususnya dalam internet situs dihadapi, sebelum digunakan. Ini memberikan tingkat jaminan praktis bahwa setiap pengguna jahattidak akan mampu menembus sistem.
Kotak hitam pengujian penetrasi berguna dalam kasus-kasus di mana tester mengasumsikan peran seorang hacker luar dan mencoba untuk menyusup ke sistem tanpa pengetahuan yang memadai tentang hal itu.
Resiko
Pengujian penetrasi dapat menjadi teknik yang sangat berharga untuk setiap program keamanan informasi organisasi. Dasar kotak pengujian penetrasi putih sering dilakukan sebagai proses murah sepenuhnya otomatis. Namun, kotak hitam pengujian penetrasi adalah kegiatan padat karya dan membutuhkan keahlian untuk meminimalkan risiko ke sistem target. Minimal, hal itu mungkin memperlambat respon jaringan organisasi waktu karena pemindaian jaringan dan pemindaian kerentanan. Selain itu, ada kemungkinan bahwa sistem dapat rusak dalam proses pengujian penetrasi dan dapat diberikan bisa dioperasi, meskipun manfaat organisasi dalam mengetahui bahwa sistem bisa saja diberikan bisa dioperasi oleh penyusup. Meskipun risiko ini diminimalisir dengan menggunakan penguji penetrasi yang berpengalaman, tidak pernah dapat sepenuhnya dihilangkan.
Metodologi
Keamanan Open Source Pengujian manual Metodologi adalah metodologi peer-review untuk melakukan tes keamanan dan metrik. Uji kasus OSSTMM dibagi menjadi lima saluran yang secara kolektif tes: informasi dan data kontrol, tingkat kesadaran personil keamanan, penipuan dan rekayasa sosial tingkat kontrol, komputer dan jaringan telekomunikasi , perangkat nirkabel, perangkat mobile,keamanan fisik kontrol akses, proses keamanan, dan lokasi fisik seperti bangunan, batas-batas, dan pangkalan militer.
OSSTMM berfokus pada rincian teknis dari apa yang item harus diuji, apa yang harus dilakukan sebelum, selama, dan setelah tes keamanan, dan bagaimana mengukur hasil. OSSTMM juga dikenal dengan Aturan keterlibatan yang menentukan untuk kedua tester dan klien bagaimana tes perlu untuk benar menjalankan mulai dari menyangkal iklan palsu dari penguji untuk bagaimana klien dapat mengharapkan untuk menerima laporan tersebut. Tes baru untuk praktik terbaik internasional, hukum, regulasi, dan masalah etika secara teratur ditambahkan dan diperbaharui.
Sistem Informasi Keamanan Penilaian Framework (ISSAF) adalah peer review kerangka kerja terstruktur dari Grup Sistem Keamanan Informasi Terbuka yang mengkategorikan informasi penilaian sistem keamanan ke berbagai domain dan rincian kriteria spesifik evaluasi atau pengujian untuk masing-masing domain. Hal ini bertujuan untuk memberikan masukan lapangan pada penilaian keamanan yang mencerminkan skenario kehidupan nyata. The ISSAF terutama harus digunakan untuk memenuhi keamanan organisasi persyaratan penilaian dan tambahan dapat digunakan sebagai referensi untuk memenuhi kebutuhan informasi keamanan lainnya. Ini mencakup segi penting dari proses keamanan, dan penilaian mereka dan pengerasan untuk mendapatkan gambaran yang lengkap dari kerentanan yang mungkin ada. ISSAF, bagaimanapun, masih dalam masa pertumbuhan.
Standar dan sertifikasi
Proses melakukan tes penetrasi dapat mengungkapkan informasi sensitif mengenai organisasi. Ini adalah alasan inilah perusahaan keamanan kebanyakan berhati-hati untuk menunjukkan bahwa mereka tidak mempekerjakan mantan black hat hacker dan bahwa semua karyawan mematuhi kode etik yang ketat. Ada sertifikasi profesional dan pemerintah beberapa yang menunjukkan perusahaan kepercayaan dan kesesuaian dengan praktik industri terbaik.
Skema Tiger adalah bukan untuk skema bagi yang menawarkan tiga sertifikasi: Keamanan Tester Associate (AST), Anggota Tim Keamanan Berkualitas (QSTM) dan Tester Keamanan Senior (SST). The SST secara teknis setara dengan LIHAT Team Leader dan QSTM secara teknis setara dengan sertifikasi Team LIHAT Anggota. Skema Tiger mengesahkan individu, bukan perusahaan.Skema Tiger juga menawarkan sertifikasi untuk praktisi komputer forensik yang berkaitan dengan Kesiapan Forensik, Tema Manajemen Kejahatan, Praktisi Forensik dan Analis Lunak Berbahaya. Skema Tiger adalah skema-satunya di Inggris yang memiliki semua ketetapan yang terakreditasi dan kualitas diaudit oleh University of Glamorgan .
The Assurance Informasi Sertifikasi Review Board (IACRB) mengelola sertifikasi penetrasi pengujian dikenal sebagai Tester Penetrasi Bersertifikat (CPT). CPT mensyaratkan bahwa calon ujian lulus ujian pilihan ganda tradisional, serta lulus ujian praktis yang membutuhkan kandidat untuk melakukan tes penetrasi terhadap server dalam lingkungan mesin virtual.
SANS menyediakan berbagai arena keamanan komputer pelatihan yang mengarah ke sejumlah kualifikasi SANS. Pada tahun 1999, SANS Giac didirikan, Sertifikasi Informasi Global Assurance, yang menurut SANS telah dilakukan oleh lebih dari 20.000 anggota sampai saat ini. Tiga dari sertifikasi Giac adalah penetrasi pengujian khusus: Tester Bersertifikat Penetrasi Giac (GPEN) sertifikasi; Aplikasi Web Penetrasi Tester Giac (GWAPT) sertifikasi, dan Peneliti Exploit Giac dan Penetrasi Tester Lanjutan (GXPN) sertifikasi
Keamanan Serangan menawarkan sertifikasi Ethical Hacking ( Serangan Keamanan Certified Professional ) - pelatihan spin off dari distribusi Pengujian Penetrasi BackTrack. The OSCP adalah kehidupan nyata penetrasi sertifikasi pengujian, membutuhkan pemegang untuk berhasil menyerang dan menembus mesin hidup berbagai lingkungan laboratorium yang aman. Setelah menyelesaikan kursus siswa menjadi layak untuk mengambil tantangan sertifikasi, yang harus diselesaikan dalam waktu dua puluh empat jam. Dokumentasi harus mencakup prosedur yang digunakan dan bukti penetrasi sukses termasuk file penanda khusus.
Didukung pemerintah pengujian juga ada di AS dengan standar seperti NSA Metodologi Evaluasi Infrastruktur (IEM).
Dewan Penguji Terdaftar Keamanan Etis (CREST) menyediakan tiga sertifikasi: Tester CREST Terdaftar dan dua CREST kualifikasi Tester Bersertifikat, satu untuk infrastruktur dan satu untuk pengujian aplikasi.
International Council of E-Commerce konsultan menyatakan individu dalam keterampilan keamanan e-bisnis dan berbagai informasi. Ini termasuk Hacker Bersertifikat Etis saja, Komputer Hacking Program Forensik Penyidik, program Penetrasi Tester Berlisensi dan berbagai program lainnya, yang tersedia secara luas di seluruh dunia.
Organisasi mile2 menyatakan individu dalam keamanan informasi, khususnya dalam pengujian penetrasi, menawarkan Pengujian Penetrasi Insinyur Bersertifikat (CPTE) sertifikat. Baru-baru ini, Kevin Henry, yang telah menulis materi resmi untuk kedua (ISC) ²dan ISACA, menulis edisi terbaru yang diterbitkan oleh ITGo
