Siapa yang akan memenangkan pertempuran bajak laut dan ninja? Saya tahu, Anda berpikir: "Apa hubungannya ini dengan keamanan?" Baca terus untuk mengetahui, tetapi pertama-tama pilih: Bajak Laut atau Ninja?
Sebelum membuat pilihan seperti itu, Anda perlu mengetahui kekuatan dan kelemahan mereka:
Bajak laut |
|---|
| Kekuatan | Kelemahan |
| Kuat | Keras |
| Bagus dalam serangan brute force | Mabuk (beberapa orang berpikir ini mungkin keuntungan) |
| Bagus dalam perampokan | Mungkin ceroboh |
| Jarak jauh | |
Ninja |
|---|
| Kekuatan | Kelemahan |
| Cepat | Tanpa baju besi |
| Rahasia | Kecil |
| Dipanggil untuk mengajar | |
| Melee Masters | |
Itu semua bermuara pada apa yang lebih berguna dalam situasi tertentu. Jika Anda mencari harta karun di pulau yang hilang dan berisiko menabrak Armada Yang Mulia, Anda mungkin tidak akan membutuhkan ninja. Jika Anda sedang mempersiapkan upaya, maka perompak bukanlah yang bisa Anda andalkan.
Kisah yang sama dengan terpendam dan merah. Kedua pendekatan memiliki kekuatan dan kelemahan, yang membuat salah satu dari mereka lebih disukai tergantung pada kondisinya. Untuk mendapatkan yang terbaik dari itu, Anda perlu mengidentifikasi tujuan, dan kemudian memutuskan mana yang terbaik untuk mereka.
Pengujian penetrasi
Pentest biasanya bingung dengan metode penilaian keamanan lainnya: pencarian kerentanan dan rediting. Tetapi meskipun pendekatan ini memiliki komponen umum, mereka masih berbeda dan harus digunakan dalam konteks yang berbeda.
Bahkan, pentest ini adalah untuk mengidentifikasi jumlah kerentanan dan kesalahan konfigurasi maksimum dalam waktu yang ditentukan, serta operasinya untuk menentukan tingkat risiko. Ini tidak harus menyertakan pencarian untuk petani biji-bijian, paling sering itu adalah pencarian kerentanan terbuka yang diketahui. Seperti dalam kasus pencarian kerentanan, pentest dirancang untuk mengidentifikasi kerentanan dan memeriksa kesalahan jenis pertama (false positive).
Namun, selama pentest, pemeriksa melangkah lebih jauh, mencoba mengeksploitasi kerentanan. Ini dapat dilakukan dengan banyak cara, dan ketika kerentanan dieksploitasi, pentester yang baik tidak berhenti. Dia terus mencari dan mengeksploitasi kerentanan lain, menggabungkan serangan untuk mencapai tujuan. Semua organisasi menetapkan tujuan ini dengan cara yang berbeda, tetapi biasanya mereka memasukkan akses ke data pribadi, informasi medis, dan rahasia dagang. Kadang-kadang ini memerlukan akses di tingkat administrator domain, tetapi seringkali Anda dapat melakukannya tanpa itu, atau bahkan akses pada tingkat ini tidak cukup.
Siapa yang butuh pentest? Beberapa lembaga pemerintah menuntutnya, tetapi organisasi yang sudah melakukan audit internal rutin, pelatihan, dan pemantauan keamanan biasanya siap untuk pengujian semacam itu.
Penilaian tim merah
Redtimeing seperti pentest, tetapi lebih fokus. Tujuan dari tim merah bukanlah untuk menemukan jumlah kerentanan maksimum. Tujuannya adalah untuk menguji kemampuan organisasi untuk mendeteksi dan mencegah intrusi. Penyerang mendapatkan akses ke informasi sensitif dengan cara apa pun yang mungkin, berusaha tidak diketahui. Mereka meniru serangan yang ditargetkan oleh penyerang yang mirip dengan
APT . Selain itu, redtime, pada umumnya, lebih panjang dari pada pentest. Pentest biasanya memakan waktu 1-2 minggu, sementara redtime bisa bertahan 3-4 minggu atau lebih, melibatkan beberapa orang.
Selama redtime, tumpukan kerentanan tidak dicari, tetapi hanya mereka yang diperlukan untuk mencapai tujuan. Sasaran biasanya sama dengan pentest. Selama pengurangan, metode yang digunakan seperti rekayasa sosial (fisik dan elektronik), serangan pada jaringan nirkabel, aset eksternal, dll. Pengujian semacam itu tidak untuk semua orang, tetapi hanya untuk organisasi dengan tingkat keamanan informasi yang matang. Organisasi semacam itu biasanya sudah melewati uji coba, menambal sebagian besar kerentanan dan sudah memiliki pengalaman dalam berhasil menentang tes penetrasi.
Redtimeting dapat terjadi sebagai berikut:
Seorang anggota tim merah dengan kedok tukang pos memasuki gedung. Begitu di dalam, itu menghubungkan perangkat ke jaringan internal organisasi untuk akses jarak jauh. Perangkat membuat terowongan jaringan menggunakan salah satu port yang diperbolehkan: 80, 443 atau 53 (HTTP, HTTPS atau DNS), menyediakan saluran C2 untuk perintah merah. Anggota tim lainnya, menggunakan saluran ini, mulai bergerak maju melalui infrastruktur jaringan, menggunakan, misalnya, printer yang tidak dilindungi atau perangkat lain yang akan membantu menyembunyikan titik penetrasi ke dalam jaringan. Dengan demikian, tim merah mengeksplorasi jaringan internal hingga mencapai tujuannya, berusaha untuk tetap di bawah radar.
Ini hanyalah salah satu dari banyak metode yang dapat digunakan tim merah, tetapi ini adalah contoh yang bagus dari beberapa tes yang kami lakukan.
Jadi ... Bajak Laut atau Ninja?
Mari kita kembali ke bajak laut melawan ninja. Jika Anda berasumsi bahwa pentester adalah bajak laut dan redimers adalah ninja, Anda dapat menebaknya. Mana yang lebih baik? Seringkali ini adalah orang yang sama menggunakan metode dan teknik yang berbeda untuk ujian yang berbeda. Jawaban sebenarnya dalam menemukan yang terbaik adalah sama dengan dalam kasus perompak dan ninja: belum tentu seseorang yang lebih baik. Masing-masing lebih berguna dalam situasi tertentu. Anda tidak perlu bajak laut untuk operasi rahasia, atau ninja untuk membajak laut mencari harta karun. Juga tidak layak menggunakan pentest untuk mengevaluasi respons insiden dan waktu redaman untuk menemukan kerentanan.