Isi
- White Hat Professionals
- Tanpa Bug, Tanpa Stres - Panduan Langkah Demi Langkah Anda untuk Membuat Perangkat Lunak yang Mengubah Hidup Tanpa Menghancurkan Kehidupan Anda
- Peretas Etis dan Pengujian Penetrasi
- Peretas Etis, Teknik Sosial dan Kesadaran Pengguna
- Kualifikasi untuk Peretas Etis
Sumber: Daniil Peshkov / Dreamstime.com
Bawa pulang:
Peretas etis melakukan pekerjaan penting bagi pengusaha dengan mensimulasikan serangan dan mencoba mencari cara untuk menggagalkan peretas topi hitam.
Dalam dunia IT perusahaan, istilah "peretas etis" dengan cepat mendapatkan landasan. Tapi apa yang dilakukan para profesional ini? Seperti apa hari dalam kehidupan seorang hacker etis?
Pada tingkat yang sangat dasar, peretas etis adalah para profesional yang membobol sistem perusahaan untuk menemukan kelemahan dan kerentanan.
"Peretas etis pada dasarnya adalah pakar keamanan TI, yang menggunakan pengetahuan mereka untuk meretas ke dalam sistem, seperti server dan komputer karyawan untuk menemukan kelemahan dalam keamanan yang dimiliki majikan mereka," kata Ryan Jones, eksekutif pemasaran digital di Imaginaire Digital. "Mereka kemudian akan membuat laporan tentang kelemahan yang mereka temukan dan memberi saran tindakan terbaik."
"Seorang hacker etis atau penguji penetrasi adalah orang yang menguji perangkat komputer dan jaringan yang mencari kerentanan," tambah Nathan House, CEO dan pendiri perusahaan cybersecurity StationX. "Daripada melakukan ini dengan niat jahat atau kriminal, mereka melakukannya untuk melaporkan kerentanan sehingga mereka dapat diperbaiki." (Untuk mempelajari lebih lanjut apa yang dapat dilakukan peretas etis untuk organisasi, lihat Bagaimana Organisasi Anda Dapat Memperoleh Manfaat dari Peretasan Etis.)
White Hat Professionals
Istilah lain untuk peretas etis adalah "topi putih." Berbeda dengan peretas topi hitam, peretas topi putih adalah seperti perampok sopan di internet - mereka melakukan beberapa hal yang sama seperti yang dilakukan peretas topi hitam, tetapi tidak dengan alasan destruktif.
"Agar benar-benar yakin seseorang dilindungi, serangan nyata harus terjadi pada sistem dari luar untuk mensimulasikan ancaman nyata, dan karenanya dapat mengenali dan memperbaikinya sesegera mungkin," kata Kaiss Bouali, mitra pelaksana dan CTO di Iodeed. “Ada perusahaan yang berspesialisasi dalam White Hat Hacking, di mana mereka memiliki tim peretas khusus yang (mengerjakan pengujian pena) dan memberi Anda kebocoran keamanan, langkah-langkah yang diperlukan untuk memperbaikinya, dan biaya yang akan mereka kenakan untuk memperbaiki mereka untukmu. "
Kata "simulasikan" penting di sini.
Untuk kembali ke analogi pencuri, jika Anda memiliki banyak barang mahal dan mewah di rumah Anda, Anda dapat berinvestasi dalam kunci, atau, untuk mendapatkan tingkat keamanan tambahan, Anda dapat mempekerjakan seseorang untuk mensimulasikan pencurian. Mereka mungkin menemukan jendela terbuka di ruang bawah tanah atau ruang perayapan yang memungkinkan mereka masuk ke rumah dan mencuri apa yang Anda miliki. Tetapi ketika Anda berinvestasi dalam perampokan simulasi sebelumnya, Anda tahu apa yang harus diperbaiki untuk membuat semakin sulit bagi pihak yang tidak berwenang untuk mendapatkan akses.
Tanpa Bug, Tanpa Stres - Panduan Langkah Demi Langkah Anda untuk Membuat Perangkat Lunak yang Mengubah Hidup Tanpa Menghancurkan Kehidupan Anda
Anda tidak dapat meningkatkan keterampilan pemrograman Anda ketika tidak ada yang peduli dengan kualitas perangkat lunak.
Singkatnya, itulah peretasan etika. Ini bermain-main dengan sistem untuk mencari tahu di mana titik lemahnya - sehingga klien dapat memperbaikinya dan mencegah peretasan nyata dari sistem yang pernah terjadi atau merusak.
Peretas Etis dan Pengujian Penetrasi
Salah satu pekerjaan utama seorang hacker etis adalah melakukan apa yang disebut "tes penetrasi" atau "tes pena."
"(Peretas etis) menggunakan pengujian penetrasi sebagai bagian dari arsenal mereka dalam melindungi sistem klien mereka dari kejahatan dunia maya," kata Karen Franse dari Communication Strategy Group, berbicara tentang bagaimana sebuah perusahaan bernama SRC Technologies menggunakan perusahaan bernama Synack untuk melakukan outsourcing peretasan etis.
Pikirkan ini - perusahaan memiliki spektrum luas alat otomasi untuk membantu mereka menangkap kerentanan dalam suatu sistem. Alat digital mungkin memindai titik akses jaringan terbuka, masalah dengan API, sistem kata sandi yang lemah, atau sejumlah masalah potensial lainnya. Tetapi mereka melakukan ini secara otomatis. Tanpa peretas etis di kursi kapten, tidak ada pengawasan manusia.
Peretas etis menambahkan unsur manusia itu. Dia duduk di titik keputusan, dan alat keamanan baru yang rapi yang ditawarkan vendor perangkat lunak bertindak sebagai perangkat lunak pendukung keputusan. Anda dapat berpikir tentang peretas etis sebagai perancang semua alat otomatis ini, melihat keberhasilan dan kegagalan mereka dengan mata yang tajam.
Namun, salah satu bagian paling mendasar dari pengujian penetrasi adalah pelaporan yang terjadi sesudahnya.
Peretas etis akan kembali ke klien dan menunjukkan kepada mereka apa yang terjadi selama tes penetrasi. Jika ada pelanggaran atau penetrasi, kerentanan itu diperbaiki. Ini benar-benar memperketat perimeter, menipis permukaan serangan, dan melindungi perusahaan dari bahaya.
Peretas Etis, Teknik Sosial dan Kesadaran Pengguna
Inilah bagian besar lain dari apa yang dilakukan peretas etis.
Istilah "rekayasa sosial" telah digunakan untuk merujuk pada semua upaya peretasan yang mencoba untuk mendapatkan akses dengan menipu pengguna akhir.
Serangan spoofing itu? Rekayasa sosial.
Spear-phishing adalah bentuk lain dari rekayasa sosial di mana pihak jahat menyamar sebagai orang dalam atau menggunakan cara lain untuk mencoba memikat pengguna akhir untuk menyerahkan data berharga atau kredensial akses jaringan. Dalam beberapa kasus, mereka hanya menipu jendela penggajian dan membuat karyawan menyerahkan informasi keuangan mereka.
Semua ini biasanya sangat merusak - sehingga perusahaan mempekerjakan peretas etis untuk mensimulasikan jenis serangan ini, dan kemudian menemukan titik lemah dan melaporkan kembali. Namun langkah selanjutnya dan terakhir adalah pelatihan kesadaran pengguna. Perusahaan berinvestasi dalam menunjukkan kepada setiap karyawan apa yang harus diwaspadai, dan mereka menumbuhkan basis karyawan yang lebih cerdas, tenaga kerja yang bukan merupakan tanda bagi semua peretas topi hitam yang tidak bermoral ini. (Bisakah peretas etis mendapat masalah hukum saat melakukan pekerjaan mereka? Pelajari lebih lanjut di Apakah Peretas Etis Memerlukan Perlindungan Hukum?)
Kualifikasi untuk Peretas Etis
Bahkan, kualifikasi berlimpah di dunia peretasan etis. Perusahaan ingin tahu bahwa profesional berpengalaman dan berlisensi untuk melakukan tes penetrasi dan melakukan pekerjaan keamanan topi putih lainnya.
Satu hal yang sering diminta perusahaan adalah bahwa peretas etis harus terampil dalam tiga bagian penting dari internet: web permukaan, web dalam, dan web gelap. Bagian Medium ini menunjukkan bagaimana ketiga bagian web ini berbeda dan apa artinya bagi para profesional keamanan.
Ada juga Teknik dan Prosedur Taktik atau TTP, sebuah protokol untuk kredensial peretasan etis, serta sertifikasi Open Source Intelligence (OSINT).
Kualifikasi lain termasuk:
- Peretas Etis Bersertifikat (CEH)
- Handler Insiden Bersertifikat GIAC (GCIH)
- GIAC Cyber Threat Intelligence (GCTI)
Peretas etis bekerja pada garda depan pengondisian keamanan untuk perusahaan, dan dalam skema besar hal-hal itu dapat menjadi vital dalam melindungi organisasi dari ancaman.