Pengembangan website/aplikasi adalah keputusan tepat yang dibuat oleh organisasi/perusahaan dalam mendukung proses operasional bisnis yang mereka jalankan. Setiap pengembangan/pembuatan website organisasi/perusahaan harus selalu memperhatikan sisi keamanan dari website/aplikasi yang akan dikembangkan, jika tidak maka sistem yang dikembangkan akan membawa kerugian terhadap perusahaan/organisasi serta pelanggan atau pihak lainnya.
Keamanan yang diterapkan di dalam proses operasional bisnis pada umumnya adalah untuk melindungi data-data dan informasi penting di dalam sistem agar tidak diakses oleh pihak yang tidak sah (pihak yang tidak memiliki otoritas). Jika sistem yang dibuat keamananya berhasil ditembus, maka oleh pihak-pihak yang tidak memiliki otoritas, maka yang akan menjadi korban adalah reputasi dan kepercayaan pelanggan terhadap organisasi/perusahaan.
Untuk menanggulangi permasalahan keamanan terhadap data dan informasi, maka dibutuhkan pengujian keamanan di setiap aplikasi, website, maupun sistem yang akan dikembangkan oleh perusahaan/organisasi.
Pengertian Security Testing
Pengujian Keamanan (Security Testing) merupakan jenis pengujian yang bertujuan untuk mengetahui kerentanan keamanan dari sistem yang dikembangkan. Tidak hanya itu pengujian keamanan juga memastikan bahwa data dan infromasi serta sumber daya yang berada di dalam sistem telah memiliki perlindungan yang baik dari pada penyusup. Dengan menemukan semua celah dan keamanan dari sistem yang diterapkan/sedang dikembangkan, perusahaan/organisasi dapat mencegah akan hilangnya data dan informasi yang penting serta kerugian lainnya seperti hilangnya reputasi perusahaan/organisasi.
Pengujian keamanan terhadap sistem operasional bisnis harus dilakukan setiap ada perubahan pada sistem yang dikembangkan. Meski begitu, perusahaan/organisasi harus melakukan pengujian secara berkala karena setiap tahunnya serangan keamanan informasi terus meningkat secara pesat. Dengan melakukan pengujian keamanan secara rutin maka perusahaan/organisasi dapat menjamin bahwa sistem yang digunakan dan diterpakan dalam proses operasional bisnis mereka memiliki tingkat keamanan yang baik.
Terdapat 4 area utama akan dilakukan tes keamanan pada website/aplikasi, Keempat area tersebut adalah :
Tipe-tipe Pengujian Keamanan
Vulnerability Scanning
Vulnerability scanning atau biasa disebut dengan vuln scan merupakan pengujian keamanan yang dilakukan melalui software otomatis untuk mencari kerentanan keamanan yang berada di dalam sistem. Kerentanan keamanan tersebut antara lain seperti pembuatan SQL Injection, Cross site Scripting, dan konfigurasi server lainnya yang dapat mengancam keamanan.
Vuln scan sering digunakan di seluruh jaringan perusahaan/organisasi. Penting untuk diketahui Vuln scan berada di bawah pengawasan standar industri dan peraturan pemerintah yang berlaku untuk meningkatkan struktur keamanan di dalam sistem yang diterapkan pada suatu perusahaan/organisasi.
Vulnerability Scanning memiliki beberapa jenis pemindaian, yaitu sebagai berikut.
Security Scanning
Security Testing atau Pemindaian keamanan adalah pemindaian yang dilakukan untuk menemukan kerentanan dan mengidentifikasi modifikasi file yang tidak diinginkan dalam aplikasi berbasi web, situs web, jaringan, dan sistem file. Pemindaian yang dilakukan akan memebrikan suatu insight yang mendalam dan menyediakan suatu rekomendasi solusi untuk memperbaiki masalah yang ditemukan.
Security Scanning dapat dilakukan dengan satu kali pemeriksaan atau one-time check. Meski demikian, pada perusahaan pengembang perangkat lunak lebih memilih pemindaian keamanan secara teratur dan terjdawal untuk memastikan sistem yang dikembangkan benar-benar memiliki tingkat keamanan yang baik.
Penetration Testing
Penetration testing merupakan pengujian yang dilakukan dengan cara men-simulasikan terjadinya serangan cyber terhadap sistem yang diuji. Pengujian ini dilakukan oleh pentester professional yang memiliki sertifikat pengujian pentest dan menggunakan beragam pentest tools dan teknik. Penetration Testing harus dilakukan secara rutin untuk mencegah penembusan sistem keamanan yang disebabkan adanya celah atau kerentanan keamanan pada sistem.
Proses pengujian ini dilakukan seperti ketika perusahaan/organisasi memperkerjakan seseorang untuk menembus sistem keamanan yang telah diterapkan pada aplikasi atau website perusahaan/organisasi. Jika orang tersebut berhasil masuk dan melewati sistem keamanan yang ada, maka terdapat celah atau kerentanan keamanan pada sistem. Dengan informasi tersebut, perusahaan/organisasi dapat terus meningkatkan kualitas sistem keamanan mereka pada software, website, maupun aplikasi lainnya yang sedang dikembangkan.
Risk Assessment
Risk assessment dilakukan dengan menklasifikasikan atau mengelompokkan risiko yang akan dihadapi oleh aplikasi, software, dan jaringan. Melalui analisa dan identifikasi risiko, maka perusahaan/organisasi akan mengetahui risiko mana yang dapat mengancam keamanan sistem. Risiko keamanan tersebut akan diklasifikasikan ke beberapa kelompok sesuai dengan tingkat ancaman yang perlu diprioritaskan penangannya seperti kelompok dengan prioritas tinggi, sedang, dan rendah. Penilaian ini dapat membantu perusahaan/organisasi dalam menilai tingkat kesesuaian kontrol keamanan yang diterapkan dengan risiko keamanan yang telah ditetapkan sebelumnya.
Risk Assessment pada umumnya dilakukan oleh tim IT Audit internal perusahaan/organisasi. Tim tersebut harus benar-benar memahami infrastruktur digital dan jaringan agar identifikasi dan analisa risiko keamanan dapat dilakukan secara maksimal.
Security Auditing
Security Auditing adalah metode terstruktur yang digunakan untuk menilai dan mengevaluasi langkah-langkah keamanan yang telah diterapkan pada perusahaan/organisasi. Dengan melakukan audit secara rutin, perusahaan/organisasi dapat mengetahui dimana titik lemah dan kerentanan dalam infrastruktur IT, menverifikasi tingkat kesesuaian kontrol keamanan dengan standard an peraturan yang berlaku, memastikan kepatuhan terhadap peraturan dan persyaratan keamanan yang telah ditetapkan, dan masih banyak lagi.
Meski sekilas terlihat sama dengan risk assessment, akan tetapi kedua tipe pengujian keamanan tersebut tetap berbeda. Audit adalah proses pengujian yang lebih formal daripada Risk Assessment. Selain itu Audit juga harus dilakukan oleh pihak ketiga yang independen dan memiliki sertifikasi pada bidang audit tertentu (dalam kasus ini keamanan informasi).
Ethical Hacking
Meski pengujian ini sangat erat dengan penetration testing, akan tetapi ethical hacking memiliki cakupan yang lebih luas.
Ethical hacking adalah pengujian keamanan yang dilakukan dengan menggunakan semua teknik dan metode peretasan serta teknik serangan komputer lain yang tersedia. Proses pengujian ini dilakukan oleh seorang ethical hacker yang telah memiliki izin untuk menjelajahi IT perusahaan/organisasi secara luas. Pengujian yang dilakukan bertujuan untuk menguji seberapa baik dan tahannya tingkat keamanan yang diterapkan terhadap gangguan sistem yang dilakukan dengan berbagai vector, jenis, dan teknik serangan.
Pengujian Ethical Hacker mendukung perusahaan/organisasi dalam mengidentifikasi kerentanan dan kelemahan keamanan pada Infrastruktur TI secaa luas.
Posture Assessment
Posture assessment dilakukan untuk meningkatkan kemampuan manajemen risiko pada perusahaan/organisasi. Peniliaian ini merupakan langkah yang sangat penting dalam mengetahui kondisi keamanan pada perusahaan/organisasi serta persuhaan/organisasi mampu dalam mengidentifikasi ancaman keamanan yang mungkin terjadi.
Atribut Pengujian Keamanan
Agar keamanan informasi dapat diterpakan secara menyeluruh, maka perusahaan/organisasi harus menerapakan atribut-atribut yang berada dalam penerapan pengujian keamanan yang akan dijelaskan sebagai berikut.
Otentikasi
Pada Atribut ini, identitas digital pengguna di periksa. Sistem akan meneydiakan akses kepada orang yang tepat atau orang yang dapat memberikan suatu otentikasi seperti kata sandi yang tepat atau jawaban dari suatu pertanyaan rahasia.
Pengujian Keamanan perlu dilakukan jika perusahaan/organisasi inging tetap terlindungi dari segala ancaman dan serangan keamanan. Dalam mengidentifikasi kerentanan keamanan sebaiknya dilakukan sejak dini daripada dilakukan ketika sistem sudah rusak atau diretas oleh pihak yang tidak bertanggung jawab.
Pengujian keamanan juga membantu perusahaan/organisasi dalam menghemat biaya dikarenakan proses perbaikan, denda, dan memperbaiki reputasi perusahaan dengan biaya besar disebabkan oleh dampak serangan keamanan pada sistem yang digunakan.
Otorisasi
Atribut ini akan muncul hanya ketika atribut Otentikasi dilewati. Otorisasi dan Otentikasi memiliki perbedaan yang sangat kecil. Perbedaan kedua atribut tersebut yaitu, Otentikasi memberikan suatu akses ke pengguna yang tepat, sedangkan Otorisasi memberikan suatu hak/kewenangan khusus kepada pengguna, serta setiap pengguna dapat diautentikasi, akan tetapi tidak setiap pengguna diberikan suatu otorisasi.
Otorisasi bertindak sebagai kontrol akses pengguna yang memberikan perizinan atau pembatasan dari hak khusus mereka. Hak khusus tersebut ditentukan berdasarkan peran pengguna yang telah ditetapkan sebelumnya.
Kerahasiaan
Atribut ini bertugas untuk memastikan pengguna yang tidak memiliki akses/otorisasi tidak dapat mengakses sistem dan sumber daya yang hanya dapat diakses oleh pengguna yang memiliki hak istimewa. Pemeriksaaan ini bertujuan untuk memeriksa perlindungan informasi pada setiap tahap pemrosesan, penyimpanan, tampilan agar pengguna yang tidak memiliki akses hanya akan menerima informasi berbentuk enkripsi.
Ketersediaan
Atribut ini memastikan sistem selalu aktif ketika pengguna ingin mengakses informasi dimanapun dan kapanpun. Tidak hanya informasi akan tetapi ketersediaan sumber daya dan layanan juga harus tersedia pada saat pengguna membutuhkannya.
Dengan atribut ini perusahaan/organisasi akan selalu waspada terhadap kegagalan perangkat keras yang dapat mempengaruhi keamanan dan dapat selalu meningkatkan ketersediaan sistem yang diterapkan dalam proses bisnis mereka.
Integritas
Dalam atribut ini, pengguna akan diperiksa/diverifikasi menurut grup pengguna, hak istimewa, dan batasan mereka untuk memeriksa integritas data informasi mereka. Jika keamanan sistem menemukan informasi yang berbeda selama transit atau disengaja maka para bagian yang terlibat dalam keamanan informasi akan segera melakukan tindakan.
Non-repudiation
Atribut ini bertugas untuk melacak pihak yang aksesnya ditolak. Pelacakan tersebut bertujuan untuk mengetahui permintaan yang ditolak tersebut tidak mengancam keamanan informasi perusahaan/organisasi.
Ketahanan
Sebelum menyelesaikan atribut-atribut yang telah dijelaskan sebelumnya, sistem harus diperiksa tingkat ketahanannya terhadap serangan internal maupun eksternal.
Pada Atribut ini dilengkapi dengan penerapan One Time Password (OTP), token kunci enkripsi RSA, otentikasi dua lapis, atau penerpan enkripsi dua lapis pada sistem.
Refrensi
https://www.logique.co.id/blog/2021/03/02/security-testing/
https://frontend.turing.edu/lessons/module-4/client-side-security.html
https://testinggenez.com/security-testing-fundamentals/
Ingin tahu informasi menarik lainnya, silahkan kunjungi website kami yang lain di :
Dan jangan lupa follow media sosial kami yang lain
Instagram : fittechinova
linkedin : https://www.linkedin.com/company/fti-global
Facebook : Fit Tech Inova Global