Produk dari sebuah proses pentest adalah laporan, laporan yang efektif akan mengkomunikasikan hasil temuan secara jelas, mudah dimengerti, dan detail. Kesalahan yang sering terjadi pada penyusunan laporan pentest biasanya membuat laporan secara rumit dan terlalu teknikal ditujukan untuk tim keamanan atau developer saja, ini merupakan kesalahan besar karena laporan juga diperuntukan bagi C-level eksekutif yang mempunyai wewenang atau kepentingan dalam pengambilan keputusan. Berikut bagian yang perlu ada di dalam sebuah laporan pentest yang efektif. Mari kita simak!
Tinjauan Evaluasi
Tinjauan evaluasi berisi bagaimana penilaian direncanakan, apa saja yang ditugaskan kepada penguji dan metodologi dan guidelines apa yang digunakan, sebagai contoh pentest bisa menggunakan Standar Eksekusi Pengujian Penetrasi (PTES) yang memberikan pendekatan komprehensif untuk melakukan uji penetrasi. Hal ini dibagi menjadi tujuh fase: Interaksi Pra-Keterlibatan, Pengumpulan Intelijen, Pemodelan Ancaman, Analisis Kerentanan, Eksploitasi, Pasca Eksploitasi, dan Pelaporan atau bisa menggunakan metode OWASP.
Bagian ini pada dasarnya meyakinkan klien bahwa pengujian yang dilakukan telah menggunakan metodologi yang diakui standar industri keamanan, metode bisa tergantung dengan lingkup pengujian yang dilakukan atau tipe aset yang diuji.
Tingkat Kerentanan
Bagian ini bagaimana menampilkan tingkat risiko kerentanan dihitung dan ditampilkan, biasanya menggunakan simbol warna tergantung tingkat kerentanan yang ditemukan mulai dari terendah sampai tertinggi, ini bisa memudahkan prioritas ancaman kerentanan yang harus segera diperbaiki atau diperkuat.
Tingkatan skor kerentanan yang biasa digunakan yaitu CVSS atau Common Vulnerability Scoring System, merupakan kerangka kerja yang secara numerik mengkarakterisasi tingkat keparahan kerentanan perangkat lunak antara kisaran 0-10. Skor CVSS membantu pentest dengan manajemen kerentanan dan memprioritaskan kerentanan untuk remediasi yang efisien.
Faktor Risiko
Selama proses pentest dilakukan, penguji akan mencoba masuk dan mengeksploitasi kerentanan yang ada pada sistem. Hal ini berisiko membobol sesuatu yang penting dan dapat menyebabkan gangguan sistem secara tidak sengaja, pentingnya faktor risiko untuk dikalkulasi dan disepakati oleh kedua pihak agar tidak terjadi kesalahpahaman atas batasan yang diujikan dan tidak boleh diuji.
Perusahaan akan menimbang faktor risiko pentest yang dilakukan dan mengambil keputusan untuk memberikan persetujuan atau larangan bagi penguji.
Lingkup Pengujian
Lingkup pengujian merupakan hal yang penting, dimana kedua belah pihak menyetujui lingkup pengujian dan bagian yang berada diluar lingkup pengujian sebelum melakukan pentest, lingkup pengujian berada di dalam rules of engagement.
Klien bertanggung jawab dalam mendokumentasikan spesifik IP yang perlu ditarget kemudian penguji menargetkan IP tersebut dan tidak menguji diluar yang telah disepakati bersama di dalam kontrak dan menghantarkan hasil uji yang telah ditentukan. Hal ini berguna untuk menghindari adanya pengujian yang tidak perlu karena melakukan uji diluar lingkup akan membuang waktu dan berisiko menyalahgunakan tanggung jawab dan melanggar etika.
Biasanya organisasi akan meminta penguji untuk menggunakan alat-alat pentest tertentu, atau teknik pentest tertentu yang ingin dilakukan, spesifikasi ini juga perlu untuk didokumentasikan dalam laporan lingkup pengujian.
Rangkuman Laporan
Rangkuman laporan merupakan laporan di dalam laporan, dimana hasil temuan pentest dijelaskan secara singkat dan mudah dimengerti dalam bentuk rangkuman. Rangkuman biasanya dibuat dan dibaca oleh pemegang jabatan C level eksekutif perusahaan dimana tidak semua pemangku jabatan mempunyai latar belakang teknis untuk memahami laporan pentest secara detail, maka dari itu penting untuk menulis rangkuman semudah dan jelas mungkin bagi pemegang keputusan.
Di dalam rangkuman laporan fokus untuk menekankan kelemahan dan juga kekuatan, banyak dari laporan pentest melakukan kesalahan hanya menyoroti kelemahan yang ditemukan namun tidak mencantumkan kekuatan atau strenght dari sebuah sistem aplikasi. Dengan menyoroti kekuatan dan kelemahan yang ditemukan maka laporan bisa dituliskan bahwa ini bagian yang perusahaan sudah baik dan bagian kelemahan ini yang perlu diperbaiki atau diremediasi. Ini akan membantu laporan terlihat lebih imbang ketimbang hanya menyampaikan temuan kelemahan saja.
Widya Security adalah perusahaan konsultan keamanan siber yang berpengalaman dan bersertifikat. Widya Security menawarkan berbagai layanan keamanan siber, termasuk Penetration Testing. Jika Anda sedang mencari mitra untuk melakukan pentest, Widya Security adalah pilihan yang tepat. Widya Security dapat membantu perusahaan Anda meningkatkan keamanan sistem komputer atau jaringannya dan melindungi data dan asetnya dari serangan siber.
