Workflow Pengintaian Serangan dari Hacker
Pengintaian akan efektif jika dilakukan secara terstruktur / prosedural. Secara umum, ada tiga tahap utama yang harus diikuti saat melakukan pengintaian:
- Tahap 1: Information Gathering: Mencari semua hal yang berkaitan dengan perusahaan sasaran dan pegawainya. Informasi yang di peroleh bisa berupa berbagai dokumen dari perusahaan tersebut, pegawai penting / kunci, nama jabatan, nomor telepon, gambar, situs web, informasi IP, dan semua informasi yang bisa digunakan untuk melakukan serangan social engineering dan penerobosan keamanan secara fisik maupun logik.
- Tahap 2: Korelasi, Verifikasi dan Prioritas: Buang semua data yang salah dan misleading; buang semua hal yang tidak dibutuhkan, mengkategorisasi dan memprioritaskan yang ditemukan.
- Tahap 3: Membuat Informasi menjadi Berguna: Menggunakan informasi yang kita peroleh untuk membuat rencana serangan.
Sebagai contoh bagaimana alur kerja ini bisa digunakan, mari kita berpura-pura kita mengerjakan pengujian penetrasi yang melibatkan perusahaan rekaan. Perusahaan ini memiliki informasi yang tersedia untuk publik mengenai router yang menghadap ke luar.
- Tahap 1: Kita dapat memvalidasi rentang IP yang diberikan kepada kita dalam tahap perencanaan awal memang milik klien kami.
- Tahap 2: Saat menyaring data, kami menemukan beberapa router dikonfigurasi default, dan username & password logon tidak pernah diubah. Kita akan memverifikasi keakuratan informasinya dan kita bisa berlanjut ke fase berikutnya.
- Tahap 3: Berdasarkan informasi yang telah divalidasi, kita bisa menentukan metoda terbaik untuk bisa masuk ke jaringan adalah menjebol eksternal router dan bekerja masuk ke dalam dari sana.
Disini didemonstrasikan contoh sederhana bagaimana alur kerja ini dapat digunakan. Di dunia nyata, akan ada banyak variabel yang akan mempengaruhi keputusan anda mengenai sistem mana yang akan ditargetkan. Informasi yang anda kumpulkan selama tahap pengintaian pengujian anda akan menjadi faktor penentu keberhasilan uji tuntas menyeluruh anda.