Pentest atau penetrasi testing merupakan upaya yang dilakukan oleh hacker atau keamanan siber profesional untuk mencari kelemahan yang ada pada suatu sistem aplikasi, dengan melakukan peretasan secara legal dan melaporkan ancaman atau kelemahan yang ditemukan sehingga bisa dilakukan upaya-upaya perbaikan.
Pentest sendiri dibagi menjadi berbagai tipe atau kategori berdasarkan tujuan objektif, skala lingkup, dan metodologi yang dipakai. Berikut lima tipe penetration testing yang perlu kamu ketahui!
Network Penetration Testing
Pentest Jaringan atau network pentest merupakan metode pengujian keamanan pada sebuah sistem jaringan. Dimana pentest dilakukan untuk mencari kelemahan dan celah yang ada pada suatu jaringan sistem komputer, sehingga organisasi dapat meningkatkan keamanan jaringan sesuai dengan ancaman-ancaman yang telah ditemukan dan dilaporkan.
Network pentest atau biasa disebut uji pena dibagi ke dalam tiga metode, yang pertama yakni white box dimana penguji mengetahui informasi menyeluruh tentang jaringan sebelum melakukan penetrasi, kedua ada black box dimana penguji masuk atau melakukan serangan secara buta atau tanpa tahu mengenai informasi jaringan, ketiga ada grey box dimana informasi internal yang didapatkan penguji hanya terbatas atau tidak menyeluruh.
Alat uji yang biasa digunakan dalam pentest jaringan seperti, network scanning tools, vulnerability scanners, and network exploitation frameworks.
Web Application Penetration Testing
Web App pentest dilakukan untuk mencari celah dari sistem berbasis website yang bisa diakses melalui internet, pentest web app bertujuan untuk mengidentifikasi akses-akses palsu atau jahat yang bertujuan untuk mencuri data atau melakukan aktivitas yang tidak teridentifikasi.
Serangan-serangan yang biasa ditemui atau diantisipasi dalam pentest web app seperti, SQL injection, cross site scripting (XSS), DDos attack,dsb. Alat uji yang biasa digunakan dalam pentest web app seperti, web application scanners, proxy tools, dan teknik testing manual lainnya.
Wireless Penetration Testing
Tidak seperti pentest lainnya, wireless pentest dilakukan untuk mencegah serangan atau celah yang berfokus pada layanan wireless yang tersedia bagi siapa saja yang berada di sekitar area jaringan. Penguji pentest mencoba mengeksploitasi kerentanan dalam protokol dan konfigurasi jaringan wireless untuk mendapatkan akses tidak sah ke dalam jaringan.
Alat uji yang sering digunakan dalam wireless pentest seperti, wireless network analyzers, packet sniffers, and wireless exploitation frameworks.
Physical Facilities Penetration Testing
Pentest fasilitas fisik atau upaya serangan terhadap infrastruktur keamanan secara fisik artinya berkaitan dengan lokasi fisik server, tempat penyimpanan data, kantor, dsb. Serangan ini biasa dilakukan dengan cara seperti pecurian kunci kantor, tailgating atau memasuki wilayah private tanpa izin resmi, dan melewati kontrol keamanan atau security secara paksa.
Physical pentest dilakukan untuk mengevaluasi keamanan di dalam sebuah struktur organisasi secara langsung dengan melakukan peningkatan keamanan seperti karyawan security/satpam kantor, kartu akses khusus bagi karyawan, dan protokol-protokol keamanan lainnya yang bisa dilakukan di area kantor.
Social Engineering Penetration Testing
Social engineering pentest berkaitan dengan infrastruktur keamanan baik secara fisik atau langsung ataupun online,, dimana seorang penguji akan melakukan social engineering seperti impersonasi karyawan menggunakan kartu identitas atau impersonasi online dimana social engineering berupa phishing atau baiting yang menargetkan akses online penting karyawan di dalam organisasi.
Upaya social engineering bisa dilakukan dengan meningkatkan proses autentifikasi baik secara langsung maupun online dengan melakukan prosedur yang sesuai dan aman, melakukan peningkatan awareness kepada setiap anggota organisasi terkait social engineering dan measure yang bisa dilakukan dalam mencegahnya.
Kelima contoh kategori pentest di atas hanyalah sebagian contoh tipe pentest, dan terdapat juga tipe-tipe pentest lainnya, seperti pengujian penetrasi aplikasi seluler, pengujian keamanan cloud, dan pengujian penetrasi IoT (Internet of Things), yang masing-masing disesuaikan dengan lingkup, lingkungan dan teknologi tertentu. Menarik bukan informasi mengenai tipe-tipe penetration testing. Jika Anda tertarik mengenai layanan mengenai pentesting mari kunjungi laman resmi Widya Security di sini.
