VallepuGraphics/Shutterstock.comPengujian penetrasi adalah cara bagi pakar keamanan siber untuk menguji sistem dengan mensimulasikan serangan. Ini melibatkan upaya sengaja untuk melewati keamanan yang ada, dan ini dapat membantu perusahaan mengetahui apakah sistem mereka dapat menahan peretasan. Jika Anda membaca tentang keamanan dunia maya, istilah pengujian penetrasi akan muncul sebagai cara untuk melihat apakah sistem aman. Apa itu pengujian penetrasi, dan bagaimana cara kerjanya? Orang seperti apa yang melakukan tes ini?

Apa itu Pen Testing?

Penetration testing, sering disebut sebagai pen testing, adalah bentuk peretasan etis di mana profesional keamanan siber menyerang sistem untuk melihat apakah mereka dapat melewati pertahanannya, maka “penetrasi. ” Jika serangan berhasil, penguji pena melaporkan kepada pemilik situs bahwa mereka menemukan masalah yang dapat dieksploitasi oleh penyerang jahat. Karena peretasan itu etis, orang yang melakukan peretasan tidak bermaksud mencuri atau merusak apa pun. Namun, penting untuk dipahami bahwa selain niat, tes pena adalah serangan. Penguji pena akan menggunakan setiap trik kotor dalam buku ini untuk masuk ke sistem. Lagi pula, itu tidak akan menjadi ujian besar jika mereka tidak menggunakan setiap senjata yang akan digunakan oleh penyerang sebenarnya. Menurut perusahaan keamanan siber Secmentis dalam sebuah email, penilaian kerentanan adalah pemindaian otomatis dari pertahanan sistem yang menyoroti potensi kelemahan dalam penyiapan sistem. Tes pena A benar-benar akan mencoba dan melihat apakah potensi masalah dapat dibuat menjadi masalah nyata yang dapat dieksploitasi . Dengan demikian, penilaian kerentanan adalah bagian penting dari setiap strategi pengujian pena, tetapi tidak menawarkan kepastian yang disediakan oleh tes pena yang sebenarnya. Siapa yang Melakukan Tes Pena? sistem. Akibatnya, banyak orang yang bekerja dalam pengujian penetrasi adalah peretas topi hitam yang direformasi sendiri. Ovidiu Valea, insinyur keamanan siber senior di firma keamanan siber CT Defense yang berbasis di Rumania, memperkirakan mantan topi hitam bisa mencapai sebanyak 70 persen dari orang yang bekerja di bidangnya. Menurut Valea, yang merupakan mantan topi hitam, keuntungan dari mempekerjakan orang seperti dia untuk memerangi peretas jahat berarti mereka "tahu cara berpikir seperti mereka". Dengan mampu memasuki pikiran penyerang, mereka dapat lebih mudah “mengikuti langkah mereka dan menemukan kerentanan, tetapi kami melaporkannya ke perusahaan sebelum peretas jahat mengeksploitasinya.” Dalam kasus Valea dan CT Defense, mereka sering disewa oleh perusahaan untuk membantu memperbaiki masalah apa pun. Mereka bekerja dengan sepengetahuan dan persetujuan perusahaan untuk meretas sistem mereka. Namun, ada juga bentuk pengujian pena yang dilakukan oleh pekerja lepas yang akan keluar dan menyerang sistem dengan motif terbaik, tetapi tidak selalu dengan sepengetahuan orang yang menjalankan sistem tersebut. One? Para freelancer ini sering menghasilkan uang dengan mengumpulkan apa yang disebut hadiah melalui platform seperti Hacker One. Beberapa perusahaan—banyak dari VPN terbaik, misalnya—memposting bounty untuk setiap kerentanan yang ditemukan. Temukan masalah, laporkan, dapatkan bayaran. Beberapa pekerja lepas bahkan akan menyerang perusahaan yang belum mendaftar dan berharap laporan mereka dibayar. Valea memperingatkan bahwa ini bukan cara untuk semua orang. “Anda dapat bekerja selama beberapa bulan dan tidak menemukan apa pun. Anda tidak akan punya uang untuk menyewa.” Menurutnya, Anda tidak hanya benar-benar harus pandai menemukan kerentanan, dengan munculnya skrip otomatis, tidak banyak yang tersisa. Bagaimana Cara Kerja Tes Penetrasi? bug yang luar biasa mengingatkan sedikit petualangan digital petualang, realitas sehari-hari sedikit lebih membumi. Itu tidak berarti itu tidak mengasyikkan. Untuk setiap jenis perangkat, ada serangkaian pengujian yang digunakan untuk melihat apakah perangkat tersebut tahan terhadap serangan. Dalam setiap kasus, pen tester akan mencoba dan memecahkan sistem dengan semua yang dapat mereka pikirkan. Valea menekankan bahwa penguji pena yang baik menghabiskan banyak waktunya hanya dengan membaca laporan penguji lain tidak hanya untuk tetap mengikuti perkembangan kompetisi, tetapi juga untuk mendapatkan beberapa inspirasi untuk kejahatan mereka sendiri. Namun, mendapatkan akses ke sistem hanyalah bagian dari persamaan. Begitu masuk, penguji pena akan, dalam kata-kata Valea, "mencoba untuk melihat apa yang bisa dilakukan aktor jahat dengan itu." Misalnya, seorang peretas akan melihat apakah ada file yang tidak terenkripsi untuk dicuri. Jika itu bukan pilihan, penguji pena yang baik akan mencoba dan melihat apakah mereka dapat mencegat permintaan atau bahkan merekayasa balik kerentanan dan mungkin mendapatkan akses yang lebih besar. Nbsp Meskipun ini bukan kesimpulan sebelumnya, faktanya adalah bahwa begitu masuk, tidak banyak Anda dapat dilakukan untuk menghentikan penyerang. Mereka memiliki akses, dan mereka dapat mencuri file dan merusak operasi. Menurut Valea, "perusahaan tidak menyadari dampak yang dapat ditimbulkan oleh pelanggaran, hal itu dapat menghancurkan perusahaan." lakukan agar tetap aman sebagai konsumen sehari-hari? Serangan yang ditargetkan dapat melukai Anda, meskipun dengan cara yang berbeda dari yang diderita perusahaan. Sebuah perusahaan yang datanya bocor adalah berita buruk, tentu saja, tetapi jika itu terjadi pada orang, itu dapat menghancurkan kehidupan. Meskipun pena menguji komputer Anda sendiri mungkin di luar jangkauan kebanyakan orang — dan mungkin tidak perlu — ada beberapa keamanan siber yang hebat dan mudah tips yang harus Anda ikuti untuk memastikan Anda tidak menjadi korban peretas. Pertama-tama, Anda mungkin harus menguji tautan yang mencurigakan sebelum mengekliknya, karena tampaknya itu adalah cara yang sangat umum dilakukan peretas untuk menyerang sistem Anda. Dan tentu saja, perangkat lunak antivirus yang baik akan memindai malware.