Dengan kejahatan dunia maya yang terus menjadi ancaman besar di seluruh dunia, bisnis di mana pun meningkatkan pengeluaran mereka untuk solusi keamanan informasi dan pengujian keamanan reguler untuk menemukan kerentanan sebelum penjahat dapat mengeksploitasinya. Namun, dengan penelitian terbaru yang menunjukkan lebih dari 40 persen serangan dunia maya tahun lalu sebenarnya adalah eksploitasi zero-day yang memanfaatkan kerentanan yang terlewatkan oleh pengujian pena tradisional, jelas bahwa masih banyak yang harus dilakukan.
Karena alasan ini, semakin banyak organisasi beralih ke apa yang disebut ‘peretas etis’ atau topi abu-abu, yang menggunakan keahlian mereka untuk menemukan kerentanan yang tidak dapat dilakukan oleh organisasi pengujian penetrasi tradisional. Namun, meskipun layanan yang ditawarkan bisa sangat efektif, ide peretasan masih cenderung membawa (kebanyakan) konotasi negatif, yang seringkali membuat bisnis tidak yakin untuk menemukan layanan peretasan etis yang dapat mereka percayai. Bagi mereka yang ingin mengeksplorasi ide peretasan etis lebih lanjut, berikut adalah sejumlah pedoman praktik terbaik untuk melakukannya:
Selalu periksa kredensial dan kualifikasi
Sebelum menggunakan layanan peretas etis mana pun, bisnis harus selalu memeriksa dan memverifikasi kredensial dan kualifikasi mereka. Kualifikasi yang paling banyak diterima adalah sertifikasi Certified Ethical Hacker (C|EH), yang dikeluarkan oleh The International Council of Electronic Commerce Consultants (EC-Council). Pengalaman kerja sebelumnya juga merupakan cara yang bagus untuk mengukur keterampilan dan etos kerja seseorang, serta di mana letak keterampilan khusus mereka (dan jika mereka selaras dengan kebutuhan keamanan bisnis). Berbicara dengan pemberi kerja sebelumnya dan/atau meminta studi kasus dari proyek sebelumnya dapat menjadi cara yang berharga untuk membangun kepercayaan pada tahap awal ini.
Berhati-hatilah terhadap peretas etis dengan masa lalu yang dipertanyakan
Salah satu poin pembicaraan terbesar dalam dunia peretasan etis adalah apakah bisnis harus mempertimbangkan untuk mempekerjakan peretas etis dengan keyakinan kriminal masa lalu. Tentu saja, orang / bisnis yang berbeda akan memiliki pendapat yang berbeda tentang hal ini. Tidak diragukan lagi ada banyak individu yang sangat terampil di luar sana yang telah mengubah arah hidup mereka dan sekarang menggunakan keterampilan mereka untuk tujuan yang positif. Namun, banyak bisnis kemungkinan akan lebih memilih untuk bertahan dengan profesional yang rekam jejaknya menunjukkan niat baik yang konsisten.
Tetapkan tujuan dan hasil yang jelas sejak awal
Setelah bisnis mengidentifikasi penguji keamanan yang bersertifikat dan tepercaya, tugas selanjutnya adalah menetapkan pengarahan untuk dilawan. Untuk memaksimalkan peluang sukses, sangat penting bahwa brief berisi tujuan yang jelas dan titik buta yang teridentifikasi dengan benar. Misalnya, jika perhatian utama tim keamanan internal terkait dengan eksekutif senior yang masuk melalui jaringan WiFi publik yang tidak aman, ini harus menjadi dasar utama dari arahan tersebut. Sama pentingnya untuk memastikan hasil yang diinginkan dinyatakan dalam ringkasan jika memungkinkan, apakah itu mencoba mengakses aplikasi bisnis inti tertentu atau mengekstraksi data sensitif.
Pastikan operasi bisnis sehari-hari tidak terganggu (kecuali karena desain)
Peretasan etis sering kali melibatkan pengaksesan sistem kritis, tetapi seharusnya tidak mengganggu operasi sehari-hari kecuali jika dirancang secara khusus. Di banyak bisnis, bahkan kehilangan data kecil atau waktu henti yang tidak direncanakan dalam waktu singkat dapat berdampak buruk. Tentu saja, beberapa perusahaan akan terlibat dengan peretas etis secara khusus untuk menguji apakah sistem mereka dapat bertahan dari serangan DDOS besar, misalnya, tetapi pengujian semacam ini harus dilakukan di lingkungan terkendali yang tidak akan memengaruhi kelangsungan bisnis.
Perlindungan data adalah bidang utama lain yang tunduk pada segala macam batasan hukum dan tidak boleh dikompromikan. Dalam skenario apa pun yang dirancang untuk menguji keamanan data, penguji keamanan hanya boleh menunjukkan bahwa mereka dapat mengakses file yang dimaksud, bukan menghapus atau mengubah salah satunya. Dokumen hukum juga terlarang selama ujian apa pun.
Buat tenggat waktu yang tegas ke dalam setiap brief
Sangat penting untuk membuat tenggat waktu yang jelas dalam setiap brief. Dengan waktu dan sumber daya yang cukup, penyerang yang terampil pada akhirnya akan dapat menyusup ke sebagian besar sistem. Namun, ini tidak mewakili dunia nyata di mana waktu adalah uang dan penjahat dunia maya cenderung mencari jalan yang paling tidak tahan. Tolok ukur yang baik untuk tes penetrasi semacam ini adalah satu minggu. Jika jaringan membutuhkan waktu lebih lama dari itu untuk dibobol, sebagian besar penjahat dunia maya oportunistik kemungkinan besar akan menyerah dan beralih ke target yang lebih mudah saat itu, menjadikannya kerangka waktu yang realistis untuk uji peretasan etis juga.
Ketika dilakukan dengan benar, peretasan etis dapat mendukung hampir semua pertahanan keamanan dunia maya. Namun, memberikan pihak luar akses ke data dan sistem penting bukanlah sesuatu yang mudah dilakukan. Untuk alasan ini, bisnis apa pun yang berpikir untuk menggunakan layanan peretas etis harus mengerjakan pekerjaan rumahnya terlebih dahulu dan mengelola prosesnya dengan hati-hati dari awal hingga akhir. Sementara sebagian besar peretas etis di luar sana sangat etis dan profesional, tidak ada salahnya untuk melangkah dengan hati-hati.
Kredit gambar: denisismagilov/depositphotos.com
Matt Rider adalah Wakil Presiden Teknik Keamanan EMEA di Exabeam.
