Dhasar Peretasan Etika

Posting blog iki minangka perkenalan Tes Penetrasi lan Peretasan Etika. Kita bakal nutupi dhasar-dhasar tes Pen lan nerangake sebabe tes penetrasi penting kanggo organisasi.

Kita uga bakal nutupi tahapan tes penetrasi lan nerangake apa sing kedadeyan ing saben tahap.

Pungkasan, kita bakal mriksa sawetara alat sing umum digunakake ing Tes Penetrasi.




Tes Penetrasi - Dasar Hacking Etika

Apa hacking Etika?

Nalika mikir babagan Peretasan, kita asring nggandhengake karo kegiatan ilegal utawa kriminal. Nalika peretas nyerang sistem, dheweke nindakake tanpa ngerti lan idin saka pemilik sistem kasebut. Sacara sederhana, iku kaya mlebu ing omah wong tanpa idin lengkap lan persetujuan sadurunge.

Peretasan etika, ing tangan liyane, isih diretas. Iki kalebu nglumpukake informasi babagan sistem, golek cidro lan entuk akses. Nanging, ing hacking etika, tester pena wis_ idin lengkap lan ijin _ saka pamilik sistem. Mula, kegiyatane dadi etis, yaiku ditindakake kanthi tujuwan sing apik.


Pelanggan nggunakake peretas etika kanggo nambah keamanan.

Apa sing Diuji Penetrasi?

Tes penetrasi kalebu simulasi serangan nyata kanggo netepake risiko sing ana gandhengane karo pelanggaran keamanan potensial.

Sajrone tes pena, panguji nggunakake macem-macem alat lan metodologi kanggo nemokake kerentanan. Banjur bakal nyoba ngeksploitasi kerentanan kanggo netepake apa sing bisa dipikolehi para panyerang sawise eksploitasi sing sukses.

Napa Tes Penetrasi Perlu Diprelu?

Sajrone pirang-pirang taun, terus ana pirang-pirang ancaman cyber lan kegiatan kriminal sing ana gandhengane karo Teknologi Informasi. Bisnis kudu nganakake penilaian kerentanan kanthi rutin lan tes penetrasi kanggo ngenali kelemahane sistem kasebut. Banjur bisa nggunakake langkah efektif kanggo nglindhungi sistem saka peretas angkoro.


Sapa sing Nindakake Tes Pena?

Peretas etika yaiku wong sing biasane nindakake Tes Penetrasi.

Kanggo nyekel maling, sampeyan kudu mikir kaya ngono.

Semono uga ing peretasan Etika.

Kanggo nemokake lan ndandani bolongan keamanan ing sistem komputer, sampeyan kudu mikir kaya peretas angkoro. Sampeyan bakal nggunakake taktik, alat, lan proses sing padha sing bisa digunakake.


Peretas etika nggunakake alat lan teknik sing padha sing bisa digunakake penjahat. Nanging dheweke nindakake kanthi dhukungan lan persetujuan pelanggan kanthi lengkap, supaya bisa ngamanake jaringan utawa sistem.

Tes Penetrasi vs Penilaian Kerentanan

Penilaian kerentanan mriksa aset sing kapapar (jaringan, server, aplikasi) kanggo kerentanan. Kelemahan scan kerentanan yaiku asring nyatakake positip palsu. Positif sing salah bisa uga nuduhake yen kontrol sing ana saiki durung efektif.

Pengujian penetrasi luwih cepet lan ndeleng kerentanan lan bakal nyoba lan ngeksploitasi.



Jinis Tes Penetrasi

Pangujian penetrasi Kothak Ireng

Ing pengujian penetrasi kothak ireng, panguji ora ngerti sadurunge babagan target. Iki kanthi simulasi serangan ing kasunyatan lan nyuda positip sing salah.


Jinis pangujian iki mbutuhake riset lan informasi lengkap babagan sistem target / jaringan. Biasane nggunakake luwih akeh wektu, gaweyan, lan biaya kanggo nindakake tes penetrasi kothak ireng.

Pangujian penetrasi Gray-Box

Ing pengujian penetrasi kothak abu-abu, panguji duwe ilmu winates utawa sebagean babagan infrastruktur target. Dheweke duwe sawetara pengetahuan babagan mekanisme keamanan.

Iki minangka simulasi serangan dening wong njero utawa peretas eksternal sing ngalami sawetara ilmu utawa hak istimewa ing sistem target.

Tes Penetrasi Kothak Putih

Ing uji coba penetrasi kothak putih, panguji duwe pengetahuan lengkap babagan infrastruktur target. Dheweke ngerti babagan mekanisme keamanan sing ana. Iki nggawe tes luwih cepet, gampang, lan luwih murah.


Iki minangka simulasi serangan sing bisa ditindakake dening wong njero sing duwe pengetahuan lan hak istimewa ing sistem target.

Pengujian sing Diumumake

Ing jinis tes iki, kabeh wong ngerti kapan tes bakal diwiwiti. Staf TI tim jaringan, lan tim manajemen kabeh wis ngerti babagan kegiatan tes pena.

Pengujian sing Ora Diumumake

Ing jinis uji coba iki, staf TI lan tim dhukungan ora duwe pengetahuan sadurunge babagan kegiatan tes pena.

Mung manajemen puncak sing ngerti jadwal tes. Tes kasebut mbantu nemtokake respons TI lan staf pendukung yen ana serangan keamanan.

Tes Penetrasi Otomatis

Amarga tes penetrasi kalebu akeh tugas lan wilayah permukaan serangan uga kompleks, kadhang kala perlu nggunakake alat kanggo ngotomatisasi akeh tugas.

Alat kasebut bakal nglawan infrastruktur kanthi interval rutin lan banjur nuduhake laporan karo tim prihatin kanggo ngatasi masalah kasebut.

Kerugian nggunakake alat otomatis yaiku mung bakal mriksa kerentanan sing wis ditemtokake mula nglaporake positip sing salah.

Uga ora bisa mriksa arsitektur lan integrasi sistem saka perspektif keamanan. Nanging, cocog kanggo mindhai sawetara target kanthi bola-bali lan kanggo nglengkapi tes manual.

Tes Penetrasi Manual

Ing tes manual, panguji nggunakake keahlian lan katrampilan dhewe supaya bisa nembus sistem target. Penguji uga bisa nindakake tinjauan arsitektur lan aspek prosedural liyane kanthi konsultasi karo tim masing-masing. Kanggo pangujian keamanan sakabehe, luwih becik nggunakake kombinasi tes otomatis lan manual.



Tahap Tes Penetrasi

Tes pena diwiwiti karo tahap pra-pertunangan. Iki kalebu ngomong karo klien babagan target tes pena lan pemetaan ruang lingkup tes.

Klien lan pena tester minangka pitakon lan nemtokake ekspektasi.

Sawetara klien menehi watesan babagan ruang lingkup kegiatan.

Contone, klien menehi idin menyang panguji kanggo nemokake kerentanan database, nanging ora kanggo njupuk data sensitif.

Tahap pra-keterlibatan uga nyakup rincian liyane, kayata jendela pengujian, informasi kontak, lan istilah pembayaran.

Ngumpulake Informasi

Ing tahap nglumpukake informasi, panguji pena nggoleki informasi sing kasedhiya ing publik babagan klien lan ngenali cara potensial kanggo nyambung menyang sistem klien.

Penguji wiwit nggunakake alat kayata scanner port kanggo ngerti babagan sistem sing ana ing jaringan internal uga piranti lunak sing lagi mlaku.

Modeling Ancaman

Ing tahap pemodelan ancaman, panguji nggunakake informasi sing diklumpukake ing tahap sadurunge kanggo nemtokake regane saben panemuan lan pengaruh marang klien yen panemuan kasebut ngidini panyerang mlebu sistem.

Evaluasi iki ngidini pentester nggawe rencana aksi lan cara nyerang.

Analisis Kerentanan

Sadurunge Penguji Pen bisa miwiti nyerang sistem, dheweke nindakake analisis kerentanan. Ing kene, Pen Testers nyoba nemokake kelemahane sistem sing bisa dimanfaatake ing tahap sabanjure.

Operasi

Ing tahap eksploitasi, Pen Testers miwiti eksploitasi marang sistem target. Dheweke nggunakake kerentanan sing sadurunge ditemokake ing upaya ngakses sistem klien. Dheweke bakal nyoba macem-macem alat lan metode kanggo nembus sistem.

Pasang Eksploitasi

Ing pasca-eksploitasi, panguji ngevaluasi kerusakan sing bisa ditindakake liwat eksploitasi tartamtu. Kanthi tembung liyane, dheweke mbiji risiko.

Contone, sajrone tes pena, panguji kompromi sistem klien. Apa intrusi kasebut pancen ana artine kanggo klien?

Yen sampeyan mlebu sistem sing ora mbukak informasi penting sing penting kanggo panyerang, mula kepiye? Risiko kerentanan kasebut luwih murah tinimbang yen sampeyan bisa ngeksploitasi sistem pangembangan klien.

Nglaporake

Tahap pungkasan tes penetrasi yaiku nglaporake. Ing tahap iki, Pen Testers ngirimake temuan kasebut marang para pelanggan kanthi cara sing migunani. Laporan kasebut ngandhani klien babagan apa sing ditindakake kanthi bener lan ing endi kebutuhan kanggo nambah postur keamanan.

Laporan kasebut bisa uga ngemot rincian saben eksploitasi lan langkah-langkah kanggo mbenerake.



Piranti Umum Digunakake kanggo Tes Penetrasi

Rong alat sing paling umum digunakake nalika tes pena yaiku Nmap lan Metasploit .

Kaloro alat kasebut bisa nyedhiyakake akeh informasi babagan sistem target.

Kali Linux saka keamanan nyerang kalebu liyane alat digunakake ing macem-macem tahapan pengujian.