Seperti yang telah kita bahas pada blog sebelumnya, penetration testing merupakan simulasi serangan siber untuk menilai dan menentukan postur keamanan di sistem suatu Perusahaan, baik dalam bentuk website, maupun server jaringan. Jika dilakukan dengan benar, maka kelemahan sistem akan terungkap.
Dalam dunia penetration testing, ada beberapa pendekatan yang umum digunakan, yaitu Black Box, White Box dan Gray Box. Masing-masing pendekatan ini memiliki metodenya sendiri dalam menemukan kerentanan di sebuah environment. Mari kita bahas!
1. Black Box Pentesting
Black Box Pentesting adalah metode dimana pentester tidak memiliki informasi apapun tentang target yang akan diuji baik tentang sistem, sistem operasi atau jenis operasi. Ini mencerminkan situasi dimana seorang attacker tidak memiliki pengetahuan internal tentang sistem yang akan diserang. Pentester harus menggunakan alat dan teknik yang sama dengan yang digunakan attacker untuk menyerang sistem.
Metode Black Box ini adalah metode pentest yang paling menantang karena membutuhkan keterampilan tingkat tinggi dan mengakses sumber daya yang sama dengan yang dimiliki oleh attacker yang sesungguhnya.
Kelebihan:
- Menggambarkan situasi serangan yang sesungguhnya, sehingga dapat mengidentifikasi kerentanan sistem yang sama dengan yang mungkin akan dihadapi oleh sistem dalam kondisi nyata.
- Menguji respon dan kemampuan cepat tanggap dari tim keamanan siber.
- Dapat digunakan untuk menggungkapkan kerentanan yang tidak diketahui dalam sistem.
Kelemahan:
- Membutuhkan waktu yang lama untuk mengidentifikasi kerentanan karena harus mencoba berbagai macam serangan agar menemukan kerentanan yang mungkin ada.
- Informasi yang didapat mungkin saja lebih terbatas, sehingga tidak memberikan gambaran yang lengkap mengenai keamanan sistem.
- Pentester mungkin gagal mengeksplorasi seluruh sistem karena tidak ada informasi tentang struktur dan konfigurasi sistem yang tersedia.
2. White Box Pentesting
Berbeda dengan Black Box, White Box Pentesting melibatkan pengetahuan dan informasi penuh tentang target yang akan diuji. Pentester tersebut akan memiliki akses ke document teknis, kode sumber, dan akses hak istimewa ke sistem target, sehingga pentester dapat mengetahui cara kerja sistem secara detail.
Metode ini mencerminkan situasi di mana pentester adalah anggota internal tim keamanan siber atau orang yang memiliki pengetahuan internal penuh tentang sistem. Metode ini juga berfokus pada pemahaman cara kerja aplikasi, kemudian mencoba membobol aplikasi melalui pengetahuan yang telah dimiliki.
Kelebihan:
- Memberikan laporan paling komprehensif terkait dengan pemahaman kerentanan kompleks, seperti kesalahan logika dan injeksi second order.
- Dapat mengidentifikasi kerentanan yang tidak terlihat di fungsi backend batch job yang membutuhkan pemenuhan beberapa kondisi agar bisa dieksploitasi.
- Dapat memberikan gambaran yang lengkap mengenai kerentanan yang mungkin ada pada sistem target.
- Dapat memberikan informasi yang lebih terperinci mengenai struktur dan konfigurasi sistem target.
Kelemahan:
- Biaya dan waktu yang dibutuhkan lebih banyak dibandingkan metode lainnya karena pentester harus memiliki akses hak istimewa dan informasi terperinci mengenai sistem target.
- Kerentanan yang diungkap mungkin tidak sesuai dengan kondisi nyata sistem, karena Pentester sudah memiliki informasi terperinci mengenai struktur dan konfigurasi sistem.
3. Gray Box Pentesting
Gray Box Penetesting berada ditengah-tengah black box dan white box, dimana pentester memiliki informasi terbatas mengenai struktur dan konfigurasi sistem serta memiliki akses yang terbatas ke sistem target. Metode ini menggambarkan situasi di mana serangan mungkin datang dari pihak eksternal dengan sedikit informasi awal tentang sistem.
Metode Gray Box biasanya dilakukan pada tahap awal program untuk menilai jenis kerentanan apa yang mungkin ada dan berapa banyak informasi yang berpotensi diterima oleh penyerang. Metode ini juga biasanya digunakan oleh perusahaan yang ingin mengukur keamanan sistem mereka di dunia nyata, namun tidak ingin memberikan informasi terperinci mengenai sistem tersebut kepada Pentester.
Kelebihan:
- Memungkinkan pentester untuk melakukan simulasi serangan yang lebih realistis, di mana Pentester tidak memiliki akses hak istimewa atau informasi terperinci mengenai sistem target, sehingga memberikan gambaran yang lebih akurat mengenai keamanan sistem target di dunia nyata.
- Memudahkan Pentester dalam menentukan fokus uji dan memfokuskan usaha pada kerentanan yang paling mungkin terdapat pada sistem target.
- Memungkinkan Pentester untuk memperoleh informasi terbatas mengenai sistem target, sehingga memudahkan Pentester dalam menentukan fokus uji dan memfokuskan usaha pada kerentanan yang paling mungkin terdapat pada sistem target.
Kelemahan:
- Biasanya membutuhkan waktu yang lebih lama dibandingkan Black Box Testing atau White Box Testing, karena Pentester harus memperoleh informasi terbatas mengenai sistem target dan kemudian menggunakan informasi tersebut untuk mengidentifikasi kerentanan yang mungkin terdapat pada sistem tersebut.
- Walaupun Gray Box memberikan gambaran yang lebih realistis mengenai keamanan sistem target, hasil dari uji tersebut tidak selalu akurat, karena Pentester tidak memiliki informasi terperinci mengenai sistem tersebut.
Pemilihan pendekatan penetration testing, baik itu Black Box, White Box, atau Grey Box, harus didasarkan pada tujuan, sumber daya yang tersedia, dan konteks organisasi. Tidak ada pendekatan yang "satu ukuran cocok untuk semua," dan seringkali perusahaan menggunakan campuran dari ketiga pendekatan ini untuk memastikan bahwa mereka mengidentifikasi dan mengatasi kerentanan dengan efisien dan efektif. Dalam dunia yang terus berubah di ranah keamanan siber, penggunaan yang bijaksana dari berbagai pendekatan ini dapat membantu organisasi menjaga kerentanannya tetap minim dan melindungi aset digital mereka.
Jika kamu tertarik untuk melakukan Penetration Testing pada sistem kamu, jangan ragu untuk menghubungi Minpri ya. Minpri siap membantu kamu menentukan jenis Pentesting yang paling sesuai dengan kebutuhan bisnis kamu dan memberikan solusi terbaik untuk meningkatkan keamanan sistem kamu. Hubungi Minpri sekarang juga ya untuk mendapatkan saran dan solusi terbaik. Minpri tunggu