Mulai sekarang Keamanan dalam teknologi informasi bukan hanya sekedar mengamankan perangkat atau infrastruktur TI dari pencurian secara fisik, namun juga keamanan terhadap segala aspek yang dapat mengakibatkan berpindahnya atau diketahuinya informasi yang terkandung di dalamnya termasuk keamanan terhadap akses dari orang yang tidak memiliki hak atau otorisasi, hacker, cracker, carder, spammer dan dari berbagai kemungkinan yang dapat merusak availability dari system informasi seperti virus, malware, worm dan masih banyak lagi yang terus berkembang. Penetration Testing (Pentest) ini merupakan proses mencoba untuk mendapatkan dan memperkuat akses ke sumber daya tanpa pengetahuan tentang username, password dan cara akses normal lainnya. Jika fokusnya adalah pada sumber daya komputer, maka contoh dari penetration testing yang sukses akan memperoleh atau memalsukan dokumen rahasia, pricelists, database dan informasi lain yang dilindungi.
Para Pentester atau Orang yang melakukan penetration bertujuan untuk melakukan penetrasi terhadap system yaitu untuk menguji keamanan system informasi dan memeriksa apakah terdapat celah yang dapat di masuki hacker, dan segala kemungkinan yang dapat dilakukan oleh hacker seperti mengakses system informasi, mendapatkan informasi, dan mengedit informasi secara illegal, dan memberikan seluruh informasi tersebut kepada pemilik system informasi dan memberikan rekomendasi untuk meningkatkan keamanan system informasi tersebut. Pentester sebelum melakukan penetration terhadap system, harus telah miliki izin dari pemilik system dan izin tersebut berkekuatan hukum. Penetration testing juga memiliki aturan seperti:
- Pentester harus mendapatkan informasi mengenai ruang lingkup dan batasan yang jelas terhadap system informasi yang akan di tes dan semua informasi disediakan harus benar dan akurat.
- Pentester harus mengumpulkan semua informasi yang diperlukan untuk pengujian hanya dalam batas-batas yang ditentukan dari tes dan semua informasi harus dilaporkan
- Pentester harus menyepakati batas waktu tes yang dilakukan.
- Penetrasi tester harus bertanggung jawab atas semua kerusakan yang terjadi akibat kerusakan yang terjadi bukan dikarenakan kesalahan dari tes adalah tanggung jawab dari pemilik system.
- Pemilik System dan pentester harus menyimpan semua informasi dari tes, termasuk kontrak sebagai rahasia .
- Penyedia dapat menetapkan atau sub-kontrak seluruh atau sebagian dari hak dan kewajiban di bawah kontrak kepada pihak ketiga tanpa pemilik system sebelum ditulis.
- Pentester dan Pemilik System secara berkala memberikan setiap informasi rahasia tertentu.
- Masing-masing pihak harus menggunakan informasi rahasia tersebut hanya untuk keperluan tes dan bahwa hal itu tidak harus diungkapkan langsung atau tidak langsung kepada pihak ketiga .
- Setelah selesai pengujian dan pelaporan penyedia tidak memiliki hak untuk informasi atau data dari Pemilik System , kecuali disetujui oleh Pemilik System .
- Pentester tidak bertanggung jawab atas kerugian dan / atau kerusakan yang terjadi dalam kasus jika terjadi serangan yang sebenarnya / dari pihak lain selama periode pengujian.
Dalam melakukan penetration testing, terdapat beberapa metode yang dapat digunakan, yaitu black box, grey box, dan white box
Black Box
Dalam metode black box, pentester tidak dibekali informasi apapun mengenai sistem yang akan diuji, baik itu infrastruktur atau source code yang digunakan. Pentester diposisikan seperti seorang hacker yang harus mengeksploitasi sistem untuk mencari celah keamanan yang dapat diretas. Pentester yang menggunakan metode black box harus familiar dengan alat pemindaian otomatis dan metodologi pentest manual. Mereka juga harus memiliki kemampuan untuk membuat map dari system yang diuji berdasarkan observasi yang telah dilakukan. Durasi pengujian tergantung dari kemampuan penguji untuk menemukan dan mengeksploitasi system. Jika penguji tidak memiliki kemampuan yang baik maka kerentanan system belum bisa ditemukan dan diperbaiki.
Grey Box
Pentester mengunakan metode Grey Box memposisikan penguji sebagai pengguna. Dalam metode ini, pentester memiliki akses dan informasi hanya sebatas sebagai pengguna. Fungsi dari metode grey box adalah untuk memberikan penilaian keamanan yang lebih efisien daripada black box. Dengan memiliki sejumlah informasi, mereka dapat menguji sistem keamanan dan mensimulasikan serangan. Metode grey box juga memungkinkan penguji dapat melakukan pengujian secara lebih fokus untuk mengeksploitasi kerentanan dengan resiko yang lebih besar
White Box
Metode white box dilakukan ketika pemilik System ingin mendeteksi kerentanan sekecil apapun di dalam sistem. Hal ini yang membuat pengujian dengan metode white box membutuhkan waktu yang cukup lama. Dalam proses testing, penguji memiliki akses ke semua informasi yang dibutuhkan. Hal ini membuat penguji dapat memeriksa sistem secara menyeluruh dan mencapai tahap yang mungkin belum dapat terakses dengan metode black box atau grey box.
Idealnya, suatu pemilik system mesti melakukan Pentest secara teratur setahun sekali untuk memastikan keamanan dan manajemen Teknologi Informasi yang lebih konsisten dan terarah