Kali Linux: Perencanaan Pengujian Penetrasi Sasaran Jaringan

From OnnoWiki
Jump to navigation Jump to search

Dalam tulisan ini, kita akan membahas lingkungan pengujian dan bagaimana kita memilih platform yang dipilih. Disini kita akan membahas hal berikut:

  • Pengantar pengujian penetrasi lanjutan.
  • Bagaimana cara agar sukses dalam pengujian Anda?
  • Apa yang perlu disiapkan sebelum pengujian
  • Menetapkan batas - tidak ada yang bertahan selamanya.
  • Merencanakan tindakan.

Pengantar Pengujian Penetrasi Lanjut

Pengujian penetrasi diperlukan untuk mengetahui foot print serangan yang sebenarnya dari lingkungan kita. Mungkin sering dikelirukan dengan penilaian kerentanan, dan oleh karena itu, penting bahwa perbedaan tersebut sepenuhnya dijelaskan kepada klien anda.

Menilai Kerentanan

Penilaian kerentanan diperlukan untuk menemukan potensi kerentanan di seluruh lingkungan. Ada banyak tool yang tersedia yang dapat mengotomasi proses ini sehingga bahkan profesional keamanan yang tidak berpengalaman atau administrator jaringan dapat secara efektif menentukan postur keamanan lingkungan mereka. Bergantung pada cakupan, pengujian manual tambahan mungkin juga diperlukan. Eksploitasi penuh terhadap sistem dan layanan umumnya tidak dalam lingkup penilaian kerentanan yang normal dilakukan.

Dalam melakukan penilaian kerentanan, sistem biasanya dicacah dan dievaluasi untuk kerentanan, dan pengujian sering dapat dilakukan dengan atau tanpa otentikasi. Sebagian besar solusi pengelolaan dan pemindaian kerentanan memberikan laporan yang dapat ditindaklanjuti sebagai referensi kepada penguji yang merinci strategi mitigasi seperti penerapan patch yang hilang, atau koreksi konfigurasi sistem yang tidak aman. Karena itu, penguji akan melakukan analisis sendiri dan membuat rekomendasi berdasarkan hal tersebut.

Pengujian Penetrasi

Pengujian penetrasi dapat meluas pada upaya penilaian kerentanan dengan melakukan eksploitasi ke dalam lingkungan sasaran.

Pengujian penetrasi memungkinkan sebuah perusahaan memahami apakah strategi mitigasi yang digunakan benar-benar bekerja seperti yang diharapkan; Ini pada dasarnya menguji rencana yang ada. Penguji penetrasi diharapkan dapat meniru tindakan yang akan dilakukan penyerang, dan akan ditantang untuk membuktikan bahwa mereka dapat mengkompromikan sistem critical yang ditargetkan. Uji penetrasi yang paling berhasil menghasilkan penguji penetrasi yang dapat membuktikan tanpa keraguan bahwa kerentanan yang ditemukan akan menyebabkan hilangnya pendapatan atau dampak bisnis yang signifikan kecuali jika ditangani dengan benar. Bayangkan kerugian / kerugian reputasi yang akan di derita jika anda dapat membuktikan kepada klien bahwa pada kenyataannya siapa pun di dunia ini memiliki akses mudah terhadap informasi mereka yang paling rahasia!

Pengujian penetrasi membutuhkan pengetahuan yang lebih dalam dan lebih luas daripada yang dibutuhkan untuk analisis kerentanan. Ini umumnya berarti bahwa harga pengujian penetrasi akan jauh lebih tinggi daripada analisis kerentanan. Jika anda tidak dapat menembus jaringan, anda akan meyakinkan klien anda bahwa sistem mereka aman sejauh pengetahuan anda. Ini harus ditunjukkan tidak hanya oleh ketidakmampuan anda untuk menembus jaringan mereka, tetapi juga dengan menampilkan apa yang anda coba dan tunjukkan bahwa hal itu tidak berhasil karena mitigasinya. Jika anda ingin bisa tidur nyenyak di malam hari, maka disarankan anda untuk bisa bekerja jauh di atas dan lebih dari sekedar memverifikasi keamanan klien anda. Pengujian penetrasi tingkat lanjut

Beberapa lingkungan akan lebih aman dibanding yang lain. Anda mungkin dihadapkan dengan lingkungan yang menggunakan:

  • Prosedur pengelolaan patch yang efektif.
  • Kebijakan pengetesan konfigurasi sistem terkelola.
  • Multi-layered DMZs.
  • Pengelolaan log keamanan terpusat.
  • Kontrol keamanan berbasis host.
  • Deteksi intrusi jaringan atau sistem pencegahan.
  • Deteksi intrusi nirkabel atau sistem pencegahan.
  • Sistem deteksi intrusi atau pencegahan aplikasi web.
  • Keamanan pengguna akhir, keamanan eksekutif, dan insider threat

Penggunaan kontrol yang efektif akan meningkatkan tingkat kesulitan pengujian penetrasi secara signifikan. Klien harus memiliki keyakinan penuh bahwa mekanisme dan prosedur keamanan yang digunakan dapat melindungi integritas, kerahasiaan, dan ketersediaan sistem mereka. Mereka juga perlu memahami bahwa kadang-kadang alasan penyerang dapat membobol sistem karena kesalahan konfigurasi, rancangan buruk dari arsitektur TI, dan memberikan kesempatan pada target social engineering.

Tidak ada yang namanya obat mujarab dalam keamanan. Sebagai penguji penetrasi, adalah tugas kita untuk melihat masalah dari semua sudut dan membuat klien sadar segala kemungkinan yang akan di ambil penyerang untuk mempengaruhi usaha mereka.

Pengujian penetrasi lanjutan melampaui pengujian penetrasi biasa / standar dengan memanfaatkan metode penelitian dan eksploitasi keamanan terbaru yang tersedia. Tujuannya adalah untuk membuktikan bahwa data dan sistem yang sensitif terlindungi bahkan dari serangan yang ditargetkan dan, jika bukan itu masalahnya, untuk memastikan bahwa klien memperoleh masukan yang tepat tentang apa yang perlu diubah dan menyadari pentingnya mempertahankan program respon insiden yang solid, karena selalu ada kemungkinan pelanggaran.

Pengujian penetrasi merupakan snapshot dari postur keamanan saat ini. Pengujian penetrasi harus dilakukan secara terus menerus.

Banyak metode eksploitasi membutuhkan penguji penetrasi terlatih yang haus untuk terus belajar, dan memerlukan pengalaman langsung untuk melakukan eksekusi secara efektif dan efisien. Hanya melalui dedikasi, usaha, latihan, dan kemauan untuk menjelajahi daerah yang tidak diketahui, para penguji penetrasi dapat meniru jenis serangan yang ditargetkan yang akan dilakukan oleh peretas jahat di luar sana.

Seringkali, anda akan diminta untuk mengerjakan pengujian penetrasi sebagai bagian dari tim, dan perlu mengetahui bagaimana menggunakan alat yang tersedia agar proses ini lebih bertahan lama dan efisien. Ini adalah tantangan lain yang dihadapi para pentester hari ini. Bekerja dalam silo bukanlah pilihan ketika ruang lingkup anda membatasi anda pada waktu pengujian yang sangat terbatas.

Dalam beberapa situasi, perusahaan mungkin menggunakan metode yang tidak standar untuk menjamin keamanan data mereka, yang membuat pekerjaan anda menjadi lebih sulit. Kompleksitas keamanan sistem mereka yang bekerja secara bersamaan satu sama lain mungkin merupakan link terlemah strategi keamanan mereka.

Kemungkinan menemukan kerentanan yang dapat dieksploitasi berbanding lurus dengan kompleksitas lingkungan yang diuji.

Sebelum Melakukan Pengujian

Sebelum kita memulai pengujian penetrasi, ada persyaratan yang harus dipertimbangkan. Anda perlu menentukan ruang lingkup yang tepat dari pengujian, jangka waktu, batasan, jenis pengujian (kotak putih / white box, kotak hitam / black box), dan bagaimana menangani peralatan pihak ketiga dan wilayah IP.

Sebelum anda dapat menentukan ruang lingkup pengujian secara akurat, anda perlu mengumpulkan sebanyak mungkin informasi. Penting agar poin-poin berikut sepenuhnya dipahami sebelum memulai prosedur pengujian:

  • Siapa yang berwenang memberikan ijin pengujian?
  • Apa tujuan dari pengujian?
  • Berapa jangka waktu yang diusulkan untuk pengujian Adakah batasan kapan pengujian bisa dilakukan?
  • Apakah klien anda memahami perbedaan antara evaluasi kerentanan dengan pengujian penetrasi?
  • Apakah anda akan melakukan pengujian dengan, atau tanpa kerja sama dengan tim operasional keamanan TI? Apakah anda menguji keefektifannya?
  • Apakah rekayasa sosial diizinkan? Bagaimana dengan serangan denial-of-service?
  • Apakah anda dapat menguji tindakan pengamanan fisik yang digunakan untuk mengamankan server, sangat penting penyimpanan data, atau hal lain yang membutuhkan akses fisik? Sebagai contoh, menguji akses masuk / pintu, meniru karyawan untuk masuk ke gedung, atau hanya berjalan ke area bagi orang umum.
  • Apakah anda diperbolehkan untuk melihat dokumentasi jaringan atau diberitahu tentang arsitektur jaringan sebelum pengujian untuk mempercepat semuanya? (Belum tentu disarankan, karena hal ini dapat menimbulkan keraguan tentang nilai temuan anda. Sebagian besar perusahaan / institusi tidak berharap ini menjadi informasi yang mudah untuk ditemukan anda).
  • Berapa rentang IP yang diizinkan untuk diuji? Ada hukum terhadap sistem pemindaian dan pengujian tanpa izin yang benar. Berhati-hatilah saat memastikan bahwa perangkat dan rentang ini sebenarnya milik klien anda, atau anda mungkin dalam bahaya menghadapi konsekuensi hukum.
  • Dimana lokasi fisik perusahaan? Ini lebih berharga bagi anda penguji jika rekayasa sosial diizinkan karena ini memastikan anda berada di gedung yang disetujui saat melakukan pengujian. Jika waktu memungkinkan, anda harus memberitahu klien anda apakah anda dapat mengakses informasi ini secara publik dalam kasus mereka mempunyai kesan bahwa lokasi mereka adalah rahasia atau sulit untuk ditemukan.
  • Apa yang harus dilakukan jika ada masalah atau jika tujuan awal pengujian telah dilakukan dan tercapai? Akankah anda terus menguji untuk menemukan lebih banyak entri, atau pengujian selesai? Bagian ini sangat penting dan terkait dengan pertanyaan mengapa klien menginginkan sebuah pengujian penetrasi.
  • Adakah implikasi hukum yang perlu anda sadari, seperti sistem yang berada di negara yang berbeda dan sebagainya? Tidak semua negara memiliki hal yang sama hukum dalam hal pengujian penetrasi.
  • Akan ada izin tambahan setelah kerentanan terjadi dieksploitasi? Hal ini penting saat melakukan pengujian pada jaringan tersegmentasi. Klien mungkin tidak sadar bahwa anda bisa menggunakan sistem internal sebagai kanal untuk menggali lebih dalam jaringan mereka.
  • Bagaimana database ditangani? Apakah anda diperbolehkan menambahkan catatan, pengguna, dan seterusnya?

Daftar ini belum semuanya dan anda kemungkinan perlu menambahkan pertanyaan ke dalam daftar tergantung pada persyaratan klien anda. Sebagian besar data ini bisa dikumpulkan langsung dari klien, tapi beberapa akan harus ditangani oleh tim anda sendiri.

Jika ada masalah hukum, disarankan agar anda mencari penasihat hukum untuk memastikan anda benar-benar memahami implikasi pengujian anda. Lebih baik memiliki terlalu banyak informasi daripada tidak cukup begitu saatnya tiba untuk memulai pengujian. Bagaimanapun, anda harus selalu memverifikasi sendiri bahwa keakuratan informasi yang anda berikan. Anda tidak ingin menemukan bahwa sistem yang anda akses sebetulnya tidak berada di bawah otoritas klien anda!

Sangat penting untuk mendapatkan otorisasi yang tepat secara tertulis sebelum mengakses sistem klien anda. Kegagalan untuk melakukannya dapat mengakibatkan tindakan hukum dan mungkin penjara. Gunakan penilaian yang tepat! Anda juga perlu mempertimbangkan penggunaan asuransi bahwa asuransi sebagai suatu keharusan saat melakukan pengujian penetrasi.

Menetapkan batas - tidak ada yang abadi.

Menetapkan batasan yang tepat sangat penting jika anda ingin sukses dalam melakukan pengujian penetrasi. Klien anda perlu memahami konsekuensi penuh yang terjadi, dan harus diberi tahu tentang biaya tambahan yang dikeluarkan jika layanan tambahan di luar yang tercantum dalam kontrak diperlukan.

Pastikan untuk menentukan tanggal mulai dan berakhir dengan jelas untuk layanan Anda. Tentukan dengan jelas Rules of Engagement sertakan rentang IP, bangunan, jam, dan sebagainya yang mungkin perlu diuji. Jika tidak ada dalam dokumentasi Rules of Engagement anda, jangan sampai diuji. Meeting harus ditetapkan sebelum dimulainya pengujian, dan klien harus tahu persis deliverable yang akan anda berikan.


Pranala Menarik