Macam-Macam Penetration Testing (pentest)
Pentest banyak macamnya, kamu mau yang mana?
"Penetration testing" (pentest) adalah proses mengevaluasi keamanan sistem, jaringan, atau aplikasi dengan mensimulasikan serangan dari pengguna jahat atau peretas.
Berikut ini adalah pentest menurut jenisnya:
1. Black Box Testing
Dalam pendekatan ini, penester tidak memiliki informasi awal tentang sistem yang akan diuji. Mereka harus mulai dari awal, serupa dengan peretas eksternal, untuk menemukan celah keamanan.
2. White Box Testing
Berlawanan dengan black box testing, di sini penester diberikan semua informasi yang relevan tentang sistem, termasuk kode sumber, skema jaringan, dan sebagainya. Ini memungkinkan penester untuk melakukan pemeriksaan yang lebih mendalam.
3. Gray Box Testing
Pendekatan ini adalah kombinasi dari black box dan white box testing. Penester mendapat beberapa informasi tentang sistem, tetapi tidak selengkap dalam white box testing.
Berikut ini berdasarkan lokasi/node pelaksanaannya:
1. External Penetration Testing
Penetration test ini fokus pada aset perusahaan yang terlihat dari luar, seperti situs web, server email, dan server DNS.
2. Internal Penetration Testing
Dalam uji ini, penester berpura-pura menjadi pengguna atau perangkat internal dan mencoba menemukan kerentanan dari dalam jaringan.
Berikut ini pentest berdasarkan target/sasarannya:
1. Social Engineering Testing
Uji ini melibatkan teknik manipulasi untuk meyakinkan individu atau karyawan untuk memberikan informasi rahasia atau akses ke sistem.
2. Physical Penetration Testing
Penester mencoba untuk mendapatkan akses fisik ke fasilitas atau data perusahaan untuk menemukan celah keamanan.
3. Wireless Penetration Testing
Penyerang menargetkan jaringan nirkabel untuk menemukan kerentanan, seperti kelemahan dalam enkripsi atau otentikasi.
4. Application Penetration Testing
Fokus pada aplikasi untuk menemukan kerentanan seperti injeksi SQL, Cross-Site Scripting, dan kerentanan lain dalam kode aplikasi.
5. Network Penetration Testing
Menargetkan infrastruktur jaringan perusahaan untuk mengidentifikasi celah keamanan pada perangkat jaringan, firewall, router, switch, dan lainnya.
6. Cloud Penetration Testing
Khusus untuk mengevaluasi keamanan layanan dan infrastruktur berbasis cloud, seperti AWS, Azure, atau Google Cloud.
Berikut ini Pentest berdasarkan tim/kelompoknya:
1. Red Team
Simulasi serangan yang lebih kompleks di mana tim 'Red Team' berusaha menembus keamanan perusahaan.
2. Blue Team
Bertugas untuk mendeteksi dan merespons serangan tersebut.
Masing-masing jenis pentest ini memiliki tujuannya sendiri dan dapat dipilih berdasarkan kebutuhan organisasi dan sumber daya yang tersedia. Pentest penting dilakukan secara berkala untuk memastikan keamanan sistem dan data yang terus berubah seiring waktu.