Pentest merupakan proses yang krusial dan terkadang memakan waktu yang lama tergantung tingkat masalah, besarnya lingkup yang diuji dan metode yang digunakan. Seringkali proses pentest malah membuat kerugian dan tidak dapat memperbaiki masalah dikarenakan berbagai banyak faktor. Berikut berbagai kesalahan yang sering terjadi di dalam pentest dan bagaimana cara menghindarinya.
Tidak Menentukan Lingkup Uji
Penentuan scope atau lingkup pengujian merupakan hal yang sangat penting untuk menentukan batasan-batasan yang boleh dan tidak boleh diuji. Ketika scope atau batasan tidak ditentukan diawal akan berisiko membuang-buang waktu, target tidak tercapai, melanggar batasan legal atau etis, tidak mempunyai izin terhadap sistem yang iduji, dsb.
Terlalu Bergantung Dengan Alat
Alat-alat automasi pentest terbukti membantu dalam proses pengujian, mempermudah tugas dari penguji tanpa melakukan sesuatu yang sifatnya repetitif dan bisa dilakukan oleh alat pentest. Nmap untuk melakukan pengintaian, melakukan scanning dengan Burpsuite, Metasploit framework untuk exploit dan mengetest celah pada sistem.
Tentunya mengetahui cara kerja alat-alat ini sangat bermanfaat bagi penguji namun yang lebih penting untuk diketahui bagi seorang pentester ialah mengetahui apa yang harus diuji, metode apa yang digunakan dan objektif dari pentest itu sendiri dapat dipenuhi.
Skill Ketinggalan Zaman
Dengan semakin meningkatnya penggunaan teknologi seperti internet dan sosial media dan mudahnya akses terhadap ilmu-ilmu hacking, sekarang modus-modus atau ancaman serangan siber sangat bervariasi dan berbeda dengan ancaman pada saat 10 tahun yang lalu, jaman sekarang lebih banyak ancaman seperti social engineering, autentikasi scam melalui link–link mencurigakan menjadi strategi hacker yang paling sering dilakukan.
Maka dari itu penguji harus terus mengupdate skill dan tren mengenai arah perkembangan hacking yang terus berubah. Ini dapat membantu penguji dalam melakukan pentest dan menambah tingkat keamanan sebuah organisasi.
Penulisan Laporan Yang Buruk dan Tidak Informatif
Terkadang seorang penguji hanya fokus dengan masalah teknikal seperti mencari kelemahan sistem, mendeteksi ancaman-ancaman pemrograman tapi tidak diikuti dengan penyusunan laporan yang komprehensif.
Laporan yang baik atau komprehensif terkait temuan-temuan pengujian akan membantu klien atau organisasi untuk mengikuti saran-saran dari hasil pengujian yang dilakukan untuk membantu meningkatkan keamanan. Mengkatalogkan aktivitas-aktivitas yang telah diuji atau dilakukan akan sangat membantu dalam pendokumentasian hasil kerja pentest.
Jarang Melakukan Pengujian
Pentest optimalnya dilakukan setahun dua kali atau setiap 6 bulan sekali. Pengujian secara berkala biasanya menjadi keperluan untuk memenuhi regulasi atau aturan standar yang sudah ditetapkan. Memenuhi standar ini tentunya menjadi sebuah upaya yang dilakukan sebuah organisasi untuk mengikuti aturan dan menjaga keamanan data atau informasi konsumen yang dimiliki oleh perusahaan.
Pengujian secara berkala juga akan membantu dalam menemukan vulnerability atau celah-celah yang kemungkinan terlewatkan atau tidak terlihat sebelumnya.
Untuk informasi lebih lanjut tentang layanan penetration testing dari Widya Security, silakan kunjungi website kami atau hubungi kami di sini. Dengan Widya Security, keamanan data perusahaan Anda berada di tangan yang tepat.
