5 Metode Pengujian Tentang Security
Sebelum kita menjelaskan 5 metode pengujian tentang security, kita harus mengetahui terlebih dahulu apa itu security testing
Pengertian Security Testing
Security testing merupakan jenis pengujian software yang dilakukan untuk mengidentifikasi kerentanan serta memastikan bahwa data dan sumber daya sistem di dalamnya sudah terlindungi dengan baik dari para peretas. Pada setiap pengujian pasti memiliki tujuan, maka tujuan dari pengujian ini untuk menemukan semua celah dan kelemahan sistem yang dapat mengakibatkan hilangnya informasi atau reputasi.
Dalam security testing khususnya yang dilakukan pada situs website dan aplikasi, akan ada empat area utama yang akan diperhatikan adalah:
- Network security: Pengujian ini dilakukan untuk mencari kerentanan dalam infrastruktur jaringan.
- System software security: Pengujian untuk menilai bagaimana tingkat kelemahan berbagai perangkat lunak tempat aplikasi bekerja seperti operating system, database system.
- Client-side application security: pengujian ini dapat memastikan bahwa sisi klien seperti browser tidak dapat dimanipulasi.
- Server-side application security: pengujian untuk memastikan bahwa sisi server memiliki keamanan yang kuat dan dapat memblokir beragam gangguan.
5 Metode Pengujian Tentang Security
1. Security Scanning
Pemindaian keamanan adalah awal yang baik untuk memeriksa status keamanan. Selama pemindaian, memeriksa risiko keamanan apa yang harus ditangani dalam infrastruktur TI tertentu. Ini adalah pemeriksaan cepat untuk potensi kebocoran keamanan, risiko jaringan, dan masalah keamanan. Security scanning dilakukan untuk menyingkirkan ancaman dunia maya untuk selamanya. Dengan melakukan pemindaian keamanan, bisnis dapat melindungi diri mereka sendiri dari ancaman serangan dunia maya yang terus berkembang.
2. Security Auditing
Audit keamanan jaringan adalah penilaian atau evaluasi teknis yang sistematis dan terukur mengenai keamanan komputer dan aplikasinya. Audit keamanan jaringan ini terdiri dari dua bagian, yaitu:
- Penilaian otomatis : berkaitan dengan pembuatan laporan audit yang dijalankan oleh suatu perangkat lunak terhadap perubahan status file dalam komputer: create, modify, delete.
- Penilaian non-otomatis : berhubungan dengan kegiatan wawancara kepada staff yang menangani komputer, evaluasi kerawanan dan keamanan komputer, pengamatan terhadap semua akses ke sistem operasi dan software aplikasinya, serta analisis semua akses fisik terhadap sistem komputer secara menyeluruh.
Tahapan dilakukan scanning network dengan memanfaatkan berbagai tools network scanning dan vulnerability scanner online. Tujuan yang ingin dicapai adalah memperoleh informasi vulnerability network tersebut, misal daftar port yang terbuka, bug pada aplikasi server, dan lain-lain yang biasanya fase ini disebut sebagai passive attack.
4. Risk Assesment
Penilaian risiko adalah pandangan menyeluruh untuk mengidentifikasi hal-hal, situasi, proses, dll. yang dapat menyebabkan kerugian, terutama bagi orang-orang. Setelah identifikasi dibuat, selanjutnya lakukan analisis dan evaluasi seberapa besar kemungkinan dan seberapa parah risikonya. Ketika keputusan telah dibuat maka selanjutnya dapat memutuskan tindakan apa yang harus dilakukan untuk secara efektif menghilangkan atau mengendalikan kerusakan yang terjadi. Penilaian risiko bisa juga dibilang sebagai istilah yang digunakan untuk menggambarkan keseluruhan proses atau metode di mana:
- Identifikasi bahaya dan faktor risiko yang berpotensi menyebabkan bahaya (identifikasi bahaya).
- Menganalisis dan mengevaluasi risiko yang terkait dengan bahaya itu (analisis risiko, dan evaluasi risiko).
- Tentukan cara yang tepat untuk menghilangkan bahaya, atau kendalikan risiko bila bahaya tidak dapat dihilangkan (pengendalian risiko).
5. Penetration Testing
Penetration Testing atau Pen Testing adalah jenis pengujian keamanan yang digunakan untuk mengungkap kerentanan, ancaman, dan risiko yang dapat dieksploitasi oleh penyerang dalam aplikasi perangkat lunak, jaringan, atau aplikasi web. Tujuan pengujian penetrasi adalah untuk mengidentifikasi dan menguji semua kemungkinan kerentanan keamanan yang ada dalam aplikasi perangkat lunak. Pengujian penetrasi juga disebut Pen Test. Penetrasi sangat penting dalam suatu perusahaan karena:
- Sektor keuangan seperti Bank, Perbankan Investasi, Bursa Perdagangan Saham ingin datanya diamankan, dan pengujian penetrasi sangat penting untuk memastikan keamanan.
- Jika sistem perangkat lunak sudah diretas dan organisasi ingin menentukan apakah masih ada ancaman dalam sistem untuk menghindari peretasan di masa mendatang.
- Pengujian Penetrasi Proaktif adalah perlindungan terbaik terhadap peretas.
- Black box testing: penguji tidak memiliki pengetahuan tentang sistem yang akan diuji. Dia bertanggung jawab untuk mengumpulkan informasi tentang jaringan atau sistem target.
- White box testing: penguji biasanya diberikan informasi lengkap tentang jaringan atau sistem yang akan diuji termasuk skema alamat IP, kode sumber, detail OS, dll. Ini dapat dianggap sebagai simulasi serangan oleh siapapun. Sumber internal (Karyawan Organisasi).
- Grey box testing: penguji diberikan pengetahuan parsial tentang sistem. Ini dapat dianggap sebagai serangan oleh peretas eksternal yang telah memperoleh akses tidak sah ke dokumen infrastruktur jaringan organisasi.
Sumber :
Tidak ada komentar:
Posting Komentar