Asher de Metz berjalan melewati pintu depan sebuah supermarket. Menggantung di sampingnya, sebagai pengganti tas belanja yang dapat digunakan kembali, adalah tas laptop terpisah. De Metz tidak berbelanja bahan makanan — ini adalah pembobolan. Tetapi baik pembeli yang memeriksa alpukat maupun kasir yang menggesek kartu kredit tidak menyadari bahwa mereka sedang diserang.
De Metz berjalan melewati toko dan menemukan sebuah ruangan yang dipenuhi orang-orang di depan komputer. Itu adalah sesi pelatihan. Tempat sempurna untuk berbaur. Jadi, dia duduk dan membajak sebuah mesin .
"Saya baru saja masuk dan mencabut kabel dari bagian belakang salah satu mesin dan menyambungkannya ke laptop saya," kata de Metz. "Saya meretas untuk sementara waktu dan mendapatkan akses ke sistem dan database cukup cepat dari ruangan itu."
Dalam Pengejaran Panas dari 'Peretas'
Segera setelah itu, pelatih mendekati de Metz. Dia sopan tapi tidak yakin tentang dia. "Saya dari kantor pusat," de Metz menjelaskan, untuk menginstal beberapa pembaruan, katanya. Cerita itu menenangkannya selama beberapa menit, tetapi dia memutuskan untuk menghubungi supervisornya.
Saat itulah de Metz berpikir sudah waktunya untuk pergi. "Saya menutup semuanya dan mulai pergi," kenang de Metz, tetapi pelatih itu panas di ekornya. "Saya mengambil tangga dan sayangnya, ketika saya mendorong pintu terbuka, alarm berbunyi."
Pengejaran berlanjut dengan suara alarm keamanan yang menggelegar dan jeritan crescendo terakhir saat pelatih meraung di seberang toko, "Itu dia! Itu orangnya!" Karyawan supermarket lain mendekati de Metz, tetapi de Metz sudah siap. Dia memiliki folder manila dengan perintah kerja yang dibuat-buat.
Dia memberi tahu mereka bahwa dia berasal dari perusahaan dan telah terjadi peretasan serius pada sistem toko. "Tahukah Anda bahwa ada pelanggaran di jaringan Anda tadi malam? Jutaan dicuri." "Tidak," kata pengawas itu. "Aku tidak tahu." Pasangan itu setuju untuk menelepon sore itu, untuk menghindari keributan karena pelanggaran keamanan siber yang serius.
Sebagian dari cerita de Metz kepada manajer supermarket itu benar; dia dipekerjakan untuk berada di supermarket — oleh pimpinan supermarket. Namun, satu-satunya peretasan yang terjadi adalah yang dilakukan de Metz sendiri, dan dia tidak mencuri sepeser pun. Dia dipekerjakan untuk melihat seberapa jauh dia bisa meretas sistem supermarket. Dan dalam hal ini, dia menjadi jauh. Sekarang dia memiliki beberapa informasi bermanfaat untuk dibagikan dengan tim kepemimpinan tentang cara membuat keamanan mereka lebih efektif dan lebih aman bagi karyawan dan pelanggan.
Mengapa Bisnis Membayar untuk Diretas
De Metz adalah manajer senior konsultan keamanan di Sungard Availability Services , sebuah perusahaan manajemen layanan TI global. Dia memiliki lebih dari 20 tahun pengalaman sebagai penguji penetrasi — itulah sebutan mereka — dan telah memberikan nasihat berharga kepada beberapa perusahaan terbesar dunia di seluruh Inggris, Eropa, Timur Tengah, dan Amerika Utara.
"Alasan mengapa perusahaan melakukan pengujian penetrasi," kata de Metz, "adalah karena mereka tidak tahu apa yang tidak mereka ketahui. Anda dapat memiliki tim TI atau keamanan internal yang hebat yang menginstal paket dan mencoba mengamankan sistem, tetapi sampai Anda mendapatkan seorang peretas di sana yang menggali dan melakukan hal-hal yang seharusnya tidak dapat mereka lakukan, untuk menemukan risiko yang terlewatkan oleh orang-orang, perusahaan tidak tahu apa risikonya."
Tujuan De Metz adalah untuk menemukan kerentanan sebelum orang jahat — ancaman yang meningkat untuk bisnis dari semua ukuran. Menurut Studi Pelanggaran Biaya Data 2017 yang disponsori oleh keamanan IBM, 60 persen usaha kecil dan menengah diserang setiap tahun. Yang lebih buruk adalah bisnis tersebut, 60 persen menutup pintu mereka dalam waktu enam bulan setelah serangan. Biaya global rata-rata dari satu pelanggaran adalah $3,62 juta.
Tapi beritanya semakin buruk. Dalam enam bulan pertama tahun 2021, jumlah bisnis yang terpengaruh oleh serangan ransomware — bisnis di mana perangkat lunak berbahaya diinstal yang memblokir akses ke jaringan hingga “tebusan” dibayarkan — lebih dari dua kali lipat dibandingkan dengan tahun 2020, menurut penelitian oleh Check Point Software Technologies . Dan laporan Mandiant M-Trends 2021 FireEye menemukan 800 upaya pemerasan di mana data perusahaan telah dicuri antara 1 Oktober 2019, dan 30 September 2020.
Taruhannya Sangat Tinggi
Itulah mengapa semakin banyak organisasi yang mempekerjakan penguji penetrasi, juga dikenal sebagai peretas topi putih (sebuah tip literal untuk simbolisme film Barat pertengahan abad ke-20), seperti de Metz untuk membobol sistem mereka dengan sengaja.
"Ini seperti polis asuransi. Jika perusahaan membelanjakan uang sekarang untuk keamanan, itu menyelamatkan mereka dari $10 atau $100 juta yang akan mereka tanggung jika dilanggar," de Metz menjelaskan. "Jika mereka mendapatkan ransomware mereka dinilai dan mereka menyuntik diri mereka sendiri, misalnya, itu menyelamatkan perusahaan dari sakit kepala berbulan-bulan dan kehilangan pendapatan karena tidak dapat melakukan bisnis."
Alasan lain mengapa organisasi membayar untuk diretas adalah untuk memastikan mereka memenuhi standar peraturan yang lebih kuat. Layanan kesehatan, organisasi keuangan, dan lembaga pemerintah, antara lain, harus memenuhi peraturan keamanan siber federal, negara bagian, dan industri , karena peretasan menjadi lebih umum dan lebih mahal.
Keamanan Siber Bersifat Fisik dan Teknis
Ketika orang berpikir tentang peretasan, mereka biasanya memikirkan seorang penjaga tunggal yang menyerang data pribadi perusahaan dari keamanan ruang bawah tanah ibu mereka yang gelap. Namun, penguji penetrasi melihat aspek fisik dan teknis dari program keamanan organisasi, sehingga mereka meretas dari dalam organisasi itu sendiri.
"Perusahaan tidak ingin meninggalkan apa pun di atas meja, yang bisa menjadi bagian dari kelemahan postur," kata de Metz. "Kami menguji kontrol fisik; bisakah kami mendapatkan akses ke gedung, melewati keamanan, melewati pintu belakang? Bisakah kami mendapatkan akses ke file fisik? Bisakah kami masuk ke area tempat perusahaan mencetak kartu kredit atau kartu hadiah?" Ini adalah hal-hal fisik yang kritis yang ditunjukkan de Metz, selain dari sisi teknis, seperti mengakses jaringan atau data sensitif.
Dia juga memberikan saran, seperti rekomendasi untuk program pelatihan karyawan sehingga orang-orang seperti supervisor yang dia temui tahu bagaimana memverifikasi orang-orang yang seharusnya berada di gedung itu. Atau, apa yang harus dilakukan jika mereka tidak mengenali seseorang (daripada memulai pengejaran di seluruh toko meskipun itu membuat cerita yang bagus). "Kami bersenang-senang melakukan ini, tetapi kami juga memberikan banyak nilai kepada klien."
Bagaimana Pengujian Penetrasi Bekerja
Penguji penetrasi harus memiliki pengetahuan rinci tentang teknologi, dan itu datang dengan pengalaman, bukan hanya alat mewah. "Pengujian penetrasi adalah memahami dan berinteraksi dengan teknologi — mengetahui cara teknologi seharusnya bekerja. Ini adalah metodologi dan mungkin menyelaraskan alat ke arah itu, tetapi ini bukan hanya tentang skrip atau alat."
Setelah de Metz berada di dalam sistem, dia mencari tiga hal: di mana dia bisa masuk, versi perangkat lunak apa yang digunakan dan apakah sistem dikonfigurasi dengan benar. "Bisakah kami menebak kata sandi? Bisakah kami menemukan cara lain untuk mengakses login? Mungkin perangkat lunaknya sudah kedaluwarsa dan ada eksploitasi, jadi kami mencoba dan mengeksploitasi beberapa kode ransomware untuk mencoba dan mendapatkan akses ke sistem," dia berkata. "Beberapa hal dapat ditemukan dalam audit, tetapi kami juga menemukan hal-hal yang [organisasi] tidak pikirkan."
Menembus lebih dalam dari audit jaringan, dan itu perbedaan penting. Audit bertanya, apakah program keamanan diikuti? Pengujian penetrasi bertanya, apakah programnya berfungsi?
Penguji penetrasi melihatnya dari pandangan mata burung tentang strategi keamanan. Masalahnya mungkin tidak sesederhana perangkat lunak yang kedaluwarsa, tetapi seluruh strategi keamanan yang perlu ditingkatkan. Itulah yang de Metz temukan.
Banyak usaha kecil dan menengah berjuang untuk mendanai infrastruktur keamanan yang kuat. Namun, peretasan topi putih menjadi lebih populer dengan organisasi yang bertanggung jawab atas data pribadi, seperti Facebook, yang dikenal karena memberi insentif kepada peretas topi putih melalui Program Bug Bounty mereka, untuk menemukan kerentanan dalam sistem mereka.
De Metz juga berbicara di podcast dengan beberapa kisah paling dramatis tentang pengujian penetrasi. Tujuannya ada dua: untuk menghibur pendengar dengan cerita-cerita liar, tetapi yang lebih penting, untuk menyoroti nilai pengujian penetrasi — dan apa yang dipertaruhkan jika perusahaan tidak melakukannya. Anda mungkin tidak pernah melihatnya, tidak pernah tahu mereka ada di sana, tetapi penguji penetrasi membantu menjaga bisnis tetap aman, dan pelanggan, seperti Anda, juga lebih aman.
Sekarang Itu Menarik
Peretas topi hitam dan putih bukan satu-satunya yang meretas sistem bisnis. Peretas "topi abu-abu" mengaburkan batas antara peretasan "baik dan buruk" dengan membobol sistem untuk mengungkapkan kerentanan tanpa izin, dan terkadang meminta sedikit biaya untuk memperbaiki masalah.
