Dalam suatu sistem keamanan, langkah pengujian sistem keamanan menjadi krusial untuk memastikan ketangguhan dan kehandalan suatu jaringan. Oleh karena itu, penting bagi metode pengujian yang digunakan untuk memenuhi standar yang baik. Salah satu framework yang terkenal dalam konteks ini adalah OSSTMM, yang menjadi metode Penetration Testing yang dikenal karena berbagai keunggulannya.
OSSTMM menjadi salah satu metode penetration testing yang paling dikenal dalam industri karena menyajikan pendekatan yang komprehensif dan terstruktur dalam menguji keamanan jaringan. Keunggulan metode ini tidak hanya terletak pada aspek teknisnya, melainkan juga pada fokusnya terhadap risiko dan kerentanan jaringan secara menyeluruh.
Sebagai informasi, setidaknya ada beberapa metodologi dan standarisasi dalam penetration testing seperti OWASP, NITS, PTES, ISSAF, dan OSSTMM. Namun dalam artikel ini, akan lebih banyak membahas lebih dalam tentang OSSTMM.
Apa Itu OSSTMM?
Framework OSSTMM (Open Source Security Testing Methodology Manual) pada dasarnya merupakan suatu pendekatan sistematis yang digunakan dalam dunia keamanan siber untuk melakukan pengujian penetrasi. OSSTMM memberikan panduan dan pedoman yang komprehensif dalam mengidentifikasi serta mengevaluasi keamanan jaringan.
Framework OSSTMM biasanya juga digunakan sebagai audit keamanan dalam suatu sistem jaringan. Dengan menggunakan metodologi yang sistematis dan terukur, OSSTMM menghasilkan pengujian keamanan kredibel dan terstruktur. Selain itu, OSSTMM juga mampu menguji seberapa tinggi tingkat keamanan suatu aplikasi web.
Sejak pertama muncul di tahun 2000, OSSTMM dibuat untuk meningkatkan pengujian keamanan untuk komputasi dalam skala perusahaan. Kemudian pada tahun 2006, OSSTMM menstandarisasi pengujian keamanan yang hingga kini menjadi salah satu metode dalam Penetration Testing.
Saat ini perkembangan OSSTMM sudah mencapai di versi ketiganya atau bisa disebut sebagai OSSTMM3. Versi tersebut dikembangkan oleh Institute for Security and Open Methodologies (ISECOM). OSSTMM3 berfokus pada peningkatan pengukuran dan analisis kontrol keamanan, manajemen risiko, dan kerentanan di berbagai area, termasuk jaringan, aplikasi, lokasi fisik, dan faktor manusia.
Kanal yang Diuji Dalam OSSTMM
Human Security
Pada kanal ini, OSSTMM berfokus pada pengujian keamanan interaksi dan komunikasi manusia pada khususnya mereka yang berperan sebagai pengawas dalam sistem keamanan. Tujuan utama pada cakupan ini adalah untuk menilai kesadaran keamanan personel dan mengukur kepatuhan terhadap standar keamanan yang telah diuraikan dalam kebijakan perusahaan, peraturan industri, maupun undang-undang internal.
Physical Security
Kanal ini berfokus pada keamanan fisik yang didefinisikan sebagai elemen keamanan yang bersifat nyata dan memerlukan usaha fisik untuk dioperasikan. Contoh dari pengujian keamanan fisik menggunakan OSSTMM adalah percobaan untuk mendapatkan akses ke fasilitas tanpa izin yang tepat.
Dalam konteks ini, OSSTMM digunakan sebagai kerangka kerja untuk mengidentifikasi kelemahan dalam sistem keamanan fisik, termasuk pengujian kemampuan untuk menembus kontrol akses dan prosedur keamanan yang ada. Pendekatan ini membantu organisasi untuk memahami potensi risiko terkait dengan aspek fisik keamanan mereka dan mengambil langkah-langkah perbaikan yang diperlukan.
Wireless Communication
Pada kanal ini OSSTMM berfokus pada pengujian keamanan elektronik, keamanan sinyal, dan keamanan pancaran. Setiap sinyal elektronik yang dapat dihentikan atau diintersep termasuk dalam kanal ini, seperti Identifikasi Frekuensi Radio (RFID), emisi monitor video, peralatan medis, dan titik akses nirkabel jaringan.
Telecommunication
Fokus pengujian dalam kanal ini melibatkan berbagai mode komunikasi suara, termasuk sistem PBX, kotak suara, dan VoIP (Voice over Internet Protocol). Banyak mode komunikasi ini saat ini dioperasikan oleh komputer dan rentan terhadap serangan jaringan. Uji penetrasi dapat mengidentifikasi kemungkinan kebocoran informasi, baik melalui pengalihan paket jaringan atau mekanisme perlindungan yang lemah untuk mengakses akun karyawan.
Data Networks
Fokus pengujian pada kanal ini mencakup mencakup sistem elektronik dan jaringan data yang digunakan untuk komunikasi atau interaksi melalui kabel dan jalur jaringan kabel. Dalam proses pengujian nantinya, OSSTMM akan menekankan pemeriksaan sistem komunikasi kabel, tingkat keamanan data, dan prosedur interaksi melalui jaringan. Pengujian tersebut bertujuan untuk mengidentifikasi potensi risiko keamanan, pelanggaran data, atau serangan jaringan yang mungkin terjadi pada jaringan data tersebut.
OSSTMM berfokus pada lima kanal ini sebagai area operasional penting yang memerlukan pengujian keamanan yang tepat untuk mengamankan suatu sistem dan jaringan dalam perusahaan. Dari kelima kanal tersebut nantinya penguji akan mengetahui sistem mana yang paling lemah, untuk kemudian diberikan penanggulangan dan perbaikan dalam sistem dan jaringan yang diuji.
Modul Dalam OSSTMM
Framework OSSTMM memiliki modul-modul, yaitu proses yang dapat diulang dalam penetration testing. Modul-modul ini digunakan dalam semua kanal yang diidentifikasi oleh OSSTMM. Implementasi dari setiap modul dapat berbeda, tergantung pada sistem atau jaringan target; namun, konsep-konsep yang disajikan dalam modul menggambarkan tujuan utama dari setiap modul. Berikut beberapa modul yang ada dalam OSSTMM:
Fase Pertama, Regulatory
Pertama, dalam fase regulatory, langkah langkah melibatkan beberapa hal diantaranya posture review untuk mengevaluasi kepatuhan terhadap regulasi dan hukum yang berlaku, logistic untuk menilai kesiapan dan keberlanjutan sumber daya keamanan dan active detection verification dengan menguji kemampuan sistem dalam mendeteksi ancaman secara real-time melalui simulasi serangan.
Fase Kedua, Definitions
Berlanjut pada fase Definitions,proses dimulai dengan visibility audit untuk menentukan sejauh mana target-target dalam cakupan proyek dapat terlihat. Selanjutnya, access verification yaitu mengidentifikasi titik-titik akses di dalam target, Trust verification melibatkan penelusuran hubungan kepercayaan antara sistem-sistem dalam melakukan bisnis, dan, Control verification sebagai pengukur kemampuan untuk melanggar kerahasian, integritas, privasi, dan non-repudiasi dalam suatu sistem, serta mengevaluasi kontrol yang diterapkan untuk mencegah kerugian tersebut.
Fase Ketiga, Information Phase
Kemudian pada fase Information Phase terdapat beberapa verifikasi kritis yaitu process verification yang mengevaluasi proses yang menjaga keamanan sistem pada tingkatnya saat ini. Selanjutnya, configuration verification yang membandingkan operasi bawaan target dengan kebutuhan bisnis organisasi. Property validation mengidentifikasi dan memvalidasi lisensi Intellectual Property (IP) atau aplikasi pada sistem target. Kemudian ada segregation review yang berfokus pada identifikasi informasi pribadi dan tingkat aksesnya. Exposure verification mengidentifikasi informasi yang terpublikasikan di internet mengenai sistem target. Selanjutnya ada competitive intelligence scouting yang bertujuan mengidentifikasi informasi pesaing yang dapat memengaruhi pemilik target melalui persaingan.
Fase Keempat, Interactive Controls Test Phase
Terakhir, dalam fase Interactive Controls Test dilakukan sejumlah verifikasi yang kritis yaitu quarantine verification yang memvalidasi kemampuan sistem untuk mengisolasi akses dari luar dan data sistem secara internal. Privileges audit menguji kemampuan untuk meningkatkan hak akses dalam sistem. Survivability validation digunakan untuk menilai ketahanan sistem terhadap situasi berlebihan atau merugikan. Sementara itu, Alert and Log Review melibatkan tinjauan aktivitas audit.
OSSTMM Adalah Framework Terbaik?
Dari semua penjelasan di atas tentang OSSTMM, dapat disimpulkan bahwa framework ini secara khusus berfokus pada elemen-elemen yang perlu diuji. OSSTMM tidak hanya memberikan panduan langkah-langkah yang harus diambil sebelum, selama, dan setelah pengujian keamanan, tetapi juga menyediakan metode untuk mengukur hasilnya.
Bagian yang sangat berguna dari OSSTMM adalah adanya panduan praktik terbaik internasional dalam menghadapi pengujian keamanan. Selain itu, OSSTMM juga mencakup aspek hukum, regulasi, dan standar etika yang memberikan pedoman komprehensif. Dengan memperhatikan praktik-praktik terbaik global serta mematuhi hukum yang berlaku, regulasi, dan standar etika, OSSTMM dapat menjadi alat yang efektif dalam memandu pengujian keamanan dengan pendekatan yang efektif.
Ditulis Oleh : Rian Jakawardana
