Penetration testing, atau yang sering disebut pentest, adalah proses uji penetrasi yang dirancang untuk mengidentifikasi kerentanan dalam sistem komputer dan jaringan dengan mensimulasikan serangan siber. Dalam proses ini, ada beberapa istilah penting yang perlu dipahami. Berikut beberapa istilah umum dalam proses penetration testing:
Penetration Tester (Pentester): Seseorang atau tim yang melakukan uji penetrasi. Mereka adalah profesional keamanan siber yang terlatih untuk mengidentifikasi kerentanan dan menjalankan serangan siber simulasi.
Keamanan Aplikasi Web (Web Application Security): adalah cabang keamanan siber yang fokus pada melindungi aplikasi web dari berbagai ancaman, kerentanan, dan serangan siber. Aplikasi web termasuk situs web, portal berbasis web, platform e-commerce, aplikasi online, dan banyak lagi yang beroperasi melalui browser web.
-
Offensive Security: adalah pendekatan dalam keamanan siber yang bertujuan untuk mengidentifikasi dan mengeksploitasi kerentanan dalam sistem dan jaringan guna meningkatkan keamanan.
Defensive Security (Keamanan Bertahan): adalah pendekatan dalam keamanan siber yang berfokus pada upaya untuk melindungi sistem komputer, jaringan, data, dan infrastruktur dari ancaman siber dengan mencegah, mendeteksi, dan merespons serangan siber dengan cara yang meminimalkan dampak negatif yang mungkin ditimbulkan.
Digital Forensics (Forensik Digital): adalah bidang ilmu dan praktik yang berkaitan dengan pengumpulan, analisis, dan interpretasi bukti digital (data elektronik) dalam rangka penyelidikan kejahatan atau masalah hukum.
Reverse Engineering (Rekayasa Balik): adalah proses di mana seseorang menganalisis suatu produk, perangkat lunak, atau sistem dengan cara memecahkan atau memahami bagaimana hal tersebut bekerja atau dibangun, biasanya dengan menguraikan atau menganalisis komponen atau kode yang ada.Â
Ethical Hacking: adalah praktik di mana individu atau profesional keamanan siber (yang disebut sebagai "ethical hacker" atau "white hat hacker") secara legal dan etis mencoba mengeksploitasi sistem komputer atau jaringan untuk mengidentifikasi kerentanan keamanan.
Malware Analysis: adalah proses mendalam untuk memeriksa, menganalisis, dan memahami malware (perangkat lunak berbahaya) dengan tujuan mengidentifikasi cara kerjanya, tujuan, serta potensi kerusakan yang dapat ditimbulkan. Malware adalah perangkat lunak yang dirancang untuk merusak, mencuri data, atau melakukan tindakan jahat lainnya pada sistem komputer, jaringan, atau perangkat.
Target of Evaluation (TOE): TOE adalah sistem, jaringan, aplikasi, atau entitas lain yang akan diuji penetrasi. Ini adalah subjek dari pengujian.
Scope (Lingkup): Lingkup menentukan apa yang akan diuji dan apa yang tidak. Ini mencakup sistem atau aplikasi mana yang akan diperiksa dan metode serangan yang dapat digunakan.
Black-Box Testing: Black-box testing adalah jenis pengujian di mana pentester tidak memiliki pengetahuan sebelumnya tentang target sistem. Mereka mencoba untuk mengeksploitasi kerentanan tanpa pengetahuan internal.
White-Box Testing: White-box testing adalah jenis pengujian di mana pentester memiliki pengetahuan penuh tentang target sistem. Ini sering digunakan untuk menguji sistem yang rumit di mana pengetahuan internal sangat penting.
Gray-Box Testing: Gray-box testing adalah campuran antara black-box dan white-box testing. Pentester memiliki sebagian pengetahuan tentang target sistem.
Exploitation: Proses dimana pentester mencoba mengeksploitasi kerentanan yang ditemukan untuk mendapatkan akses yang tidak sah ke sistem atau aplikasi.
Payload: Sebuah perangkat lunak atau kode yang dimasukkan ke dalam sistem untuk mengeksploitasi kerentanan. Payload dapat digunakan untuk mendapatkan akses, mencuri data, atau melakukan tindakan yang tidak sah lainnya.
Vulnerability Assessment: Proses identifikasi kerentanan yang ada dalam sistem, tetapi tidak mencoba mengeksploitasi kerentanan tersebut. Kerentanan adalah celah atau kelemahan dalam sistem yang dapat dieksploitasi oleh penyerang. Ini adalah fokus utama dalam uji penetrasi.
Report: Setelah pengujian penetrasi selesai, pentester menyusun laporan yang merinci temuan, risiko, dan rekomendasi perbaikan. Laporan ini memberikan panduan kepada pemilik sistem tentang tindakan yang harus diambil. Laporan mengidentifikasi kerentanan yang ditemukan, tingkat risiko, dan rekomendasi perbaikan.
Pentest Methodology: Metode yang diikuti dalam pengujian penetrasi. Metodologi ini mencakup langkah-langkah yang harus diambil, alat yang digunakan, dan proses evaluasi yang harus diikuti.
Social Engineering: Pendekatan yang melibatkan manipulasi psikologis untuk memanipulasi orang agar mengungkapkan informasi rahasia atau menjalankan tindakan yang tidak aman.
Risk Assessment (Penilaian Risiko): Proses menilai tingkat risiko yang terkait dengan kerentanan yang ditemukan. Ini membantu dalam menentukan prioritas perbaikan.
Zero-Day Vulnerability: Kerentanan yang belum ditemukan atau diperbaiki oleh pengembang perangkat lunak. Zero-day vulnerabilities biasanya sangat berharga bagi penyerang.
Firewall: Alat keamanan yang digunakan untuk memblokir akses yang tidak sah ke jaringan atau sistem.
Intrusion Detection System (IDS): Sistem yang digunakan untuk mendeteksi aktivitas yang mencurigakan atau potensial serangan siber dalam jaringan.
Intrusion Prevention System (IPS): Sistem yang digunakan untuk menghentikan serangan siber secara otomatis atau dengan intervensi manusia.
False Positive: Kesalahan yang mengidentifikasi kerentanan yang sebenarnya tidak ada. Ini bisa mengganggu dan membuang waktu jika tidak terkelola.
False Negative: Kesalahan yang gagal mengidentifikasi kerentanan yang sebenarnya ada. Ini dapat meninggalkan kerentanan yang belum ditemukan.
Proof of Concept (PoC): Bukti yang menunjukkan bahwa kerentanan dapat dieksploitasi. Ini dapat mencakup bukti bahwa penyerang dapat mengambil alih sistem.
CWE (Common Weakness Enumeration): Kumpulan kerentanan umum yang diidentifikasi dan diurutkan berdasarkan jenisnya. Ini adalah referensi penting dalam pengujian penetrasi.
Pemahaman istilah-istilah ini sangat penting dalam proses penetration testing, karena membantu dalam komunikasi antara pentester dan pemilik sistem, serta dalam analisis hasil dan pelaporan kerentanan. Selain itu, mereka membantu dalam merencanakan dan menjalankan pengujian dengan efisien dan efektif. Komunikasi yang jelas antara semua pihak yang terlibat dalam pengujian, sehingga pemilik sistem dapat mengambil tindakan yang tepat untuk meningkatkan keamanan sistem mereka.
