Pernahkah Anda membayangkan bagaimana seorang pakar keamanan siber menguji kekuatan sebuah sistem? Mereka tidak bekerja dengan cara menebak-nebak atau sekadar mencoba-coba secara acak. Agar hasilnya akurat dan profesional, mereka menggunakan panduan yang disebut PTES (Penetration Testing Execution Standard).
Bayangkan PTES sebagai sebuah “resep masakan” yang memastikan setiap tahap pengujian dilakukan dengan benar, aman, dan tidak merusak. Mari kita bedah 7 langkah utama dalam metodologi PTES dengan bahasa yang sederhana.
1. Perencanaan: Menentukan Batas Permainan (Pre-engagement)
Sebelum memulai, pentester dan pemilik sistem harus duduk bersama untuk menentukan aturan main.
Apa saja yang boleh diuji?
Jam berapa pengujian dilakukan agar tidak mengganggu operasional?
Siapa yang harus dihubungi jika terjadi keadaan darurat? Tanpa tahap ini, pentest bisa dianggap sebagai serangan ilegal. Legalitas adalah kunci utama yang membedakan pentester profesional dengan hacker jahat.
Di tahap ini, pentester berperan seperti detektif. Mereka mencari informasi sebanyak mungkin tentang target tanpa menyentuh sistemnya secara langsung. Mulai dari mencari nama domain, alamat IP, hingga email karyawan yang tersedia di internet. Semakin banyak informasi yang didapat, semakin mudah menemukan pintu masuk yang lemah.
3. Pemodelan Ancaman: Berpikir Seperti Penjahat (Threat Modeling)
Setelah mengenal target, pentester akan mulai menyusun strategi. Mereka akan bertanya: “Jika saya adalah penyerang, bagian mana yang paling ingin saya curi?” atau “Mana aset paling berharga di perusahaan ini?”. Dengan memahami profil ancaman, pengujian jadi lebih fokus pada area yang paling berisiko.
4. Analisis Celah: Mencari Pintu yang Tidak Terkunci (Vulnerability Analysis)
Sekarang saatnya mencari kelemahan teknis. Pentester menggunakan alat pemindai otomatis dan pengecekan manual untuk mencari celah, seperti perangkat lunak yang belum diperbarui atau konfigurasi yang salah. Intinya, tahap ini adalah proses mencatat semua “pintu” dan “jendela” yang terbuka atau mudah dibobol.
5. Eksploitasi: Membuktikan Celah (Exploitation)
Inilah tahap yang paling seru. Setelah menemukan celah, pentester akan mencoba “masuk”. Tujuannya bukan untuk merusak, melainkan membuktikan bahwa celah tersebut memang nyata dan bisa ditembus. Jika berhasil masuk, berarti sistem tersebut benar-benar dalam bahaya.
6. Pasca-Eksploitasi: Seberapa Jauh Bisa Melangkah? (Post-Exploitation)
Setelah berhasil masuk ke satu komputer, apa lagi yang bisa dilakukan? Di tahap ini, pentester mencoba melihat apakah mereka bisa naik pangkat menjadi Administrator (hak akses tertinggi) atau berpindah ke komputer lain di dalam jaringan yang sama (pivoting). Tahap ini menunjukkan seberapa besar dampak kerusakan yang bisa ditimbulkan oleh penyerang sungguhan.
7. Pelaporan: Memberikan Solusi (Reporting)
Ini adalah tahap paling penting. Semua temuan dirangkum dalam laporan yang rapi.
Untuk Bos: Penjelasan singkat tentang risiko bisnisnya.
Untuk Tim IT: Langkah-langkah teknis dan cara memperbaiki celah tersebut agar tidak bisa ditembus lagi. Pentest yang sukses bukan hanya tentang bisa “membobol”, tapi tentang bagaimana memberikan solusi agar sistem menjadi lebih kuat.
Kesimpulan
Metodologi PTES memastikan bahwa pengujian keamanan dilakukan secara menyeluruh dan tidak ada bagian yang terlewat. Dengan mengikuti standar ini, pemilik sistem akan mendapatkan gambaran nyata tentang keamanan digital mereka dan tahu persis apa yang harus diperbaiki.
Seorang Akademisi, Peneliti dan Praktisi TI, mengajar di beberapa perguruan tinggi, Authorized Training Center dan Lembaga Pengembangan SDM TI. Aktif berbagi di komunitas melalui event webinar & sharing session. aktifitas sehari-hari di isi dengan mengajar, menulis di blog, jurnal, media massa, buku dan juga membuat video tutorial. bidang ilmu yang didalami adalah cybersecurity, system administrator, programming, networking, linux, cloud computing, blockchain, data science, artificial intelligence. visit me at sulkiflysaid.com
