Penting bagi semua perusahaan yang menggunakan kartu kredit sebagai alat pembayaran untuk mematuhi PCI DSS . Terutama karena standar ini dirancang untuk melindungi data pemegang kartu yang sangat sensitif dan pribadi.
Memahami PCI DSS untuk Pengujian Penetrasi
PCI DSS untuk pengujian penetrasi dilakukan dengan cara melakukan simulasi serangan pada sistem dan jaringan untuk menguji dan melihat keamanannya. Hal ini dilakukan untuk menemukan kerentanan yang dapat disalahgunakan oleh para peretas yang dapat menyebabkan kebocoran data yang sangat berbahaya bagi perusahaan.
Uji penetrasi dilakukan secara manual oleh pentester ahli sehingga dapat lebih mendalam daripada menggunakan alat pemindaian kerentanan untuk melakukan pemindaian otomatis. Penguji akan mencari secara khusus masalah yang tidak dapat diidentifikasi oleh alat pemindaian otomatis dan mencoba mengeksploitasi kerentanan yang ditemukannya.
Dengan demikian, mereka dapat mempelajari risiko dan dampaknya yang kemudian akan menjadi data yang digunakan untuk membuat solusi guna mengurangi risiko yang dapat membantu membuat sistem dan jaringan lebih aman. Pengujian ini sejatinya merupakan salah satu syarat pelengkap yang perlu dilakukan secara berkala untuk menguji proses dan sistem proteksi sekaligus pengecekan sistem internal dan eksternal.
Pengujian itu sendiri harus dilakukan berdasarkan lingkungan CDE serta struktur lain yang mungkin memiliki efek perlindungan CDE. Jika sistem terisolasi dari lingkungan lain yang digunakan untuk menyimpan data pemegang kartu, maka hal itu tidak termasuk dalam cakupan.
Perusahaan Anda dapat mencoba mengisolasi jaringan dengan menggunakan firewall ketat yang dapat membantu membatasi dampak pengujian. Dengan melakukan metode ini, hal tersebut dapat membantu menghilangkan positif palsu pada tahap awal sekaligus mengurangi biaya uji penetrasi karena pengujiannya lebih kecil.
Persyaratan PCI DSS
PCI SSC membuat persyaratan teknis dan operasional yang harus dipenuhi perusahaan Anda untuk melindungi data pemegang kartu. Persyaratan yang harus diterapkan oleh perusahaan Anda untuk mematuhi PCI DSS adalah sebagai berikut:
· Memasang dan memelihara firewall dengan konfigurasi yang benar yang dapat digunakan untuk melindungi data pemegang kartu.
· Anda tidak dapat menggunakan kata sandi default yang disediakan oleh vendor untuk kata sandi yang digunakan pada sistem serta berbagai parameter keamanan yang diterapkan dalam sistem.
· Anda perlu melindungi data pemegang kartu yang disimpan di sistem Anda.
· Anda perlu menerapkan enkripsi saat mengirimkan data pemegang kartu melalui jaringan publik atau terbuka.
· Anda perlu menerapkan program dan perangkat lunak anti-virus serta melakukan pembaruan rutin terhadapnya.
· Anda perlu mengembangkan sekaligus memelihara aplikasi dan sistem yang aman.
· Anda perlu menerapkan pembatasan akses untuk data pemegang kartu dengan menggunakan dasar perlu tahu.
· Anda perlu menggunakan ID unik yang ditetapkan kepada individu yang memiliki akses komputer.
· Anda perlu menerapkan pembatasan akses secara fisik untuk data pemegang kartu.
· Anda perlu memantau dan melacak semua akses ke data pemegang kartu dan sumber daya jaringan.
· Anda perlu melakukan pengujian rutin pada keamanan proses dan sistem.
· Anda perlu mempertahankan kebijakan yang dibuat untuk menangani keamanan informasi semua personel.
Mengapa Perusahaan Anda Harus Melakukan Uji Penetrasi?
Sebagian besar perencanaan, pembuatan, dan pemeliharaan sistem dilakukan oleh karyawan yang memiliki sedikit atau bahkan tidak memiliki pengalaman profesional dalam bidang keamanan. Sementara itu, pengujian penetrasi sendiri dilakukan oleh pakar keamanan.
Para ahli tersebut telah menerima pelatihan profesional untuk mengidentifikasi dan mendeteksi masalah dalam sistem Anda. Dengan demikian, laporan yang mereka buat akan membantu Anda memperbaiki masalah keamanan yang mereka temukan sebelum serangan sebenarnya terjadi dan memanfaatkan kerentanannya.
Selanjutnya, menurut PCI DSS, Anda perlu melakukan penilaian keamanan serta uji segmentasi secara berkala setiap 6 bulan sekali untuk mematuhi standar. Anda juga harus melakukan tinjauan kontrol tambahan setiap kali Anda membuat perubahan signifikan pada sistem Anda.
Itulah sebabnya penting bagi perusahaan Anda untuk melakukan uji penetrasi karena membantu mematuhi peraturan sekaligus membantu memperkuat jaringan.
Jenis Uji Penetrasi yang Dapat Anda Gunakan
Uji penetrasi dilakukan pada sistem yang Anda pilih untuk menemukan kerentanan. Sementara itu, kerentanan itu sendiri dapat berasal dari desain yang salah atau tidak memadai, cacat perangkat lunak dan perangkat keras yang tidak diketahui atau diketahui serta kekurangan dalam penanggulangan teknologi atau proses. Berikut adalah jenis uji penetrasi yang dapat Anda gunakan:
· Uji penetrasi jaringan
Uji penetrasi ini dilakukan untuk mengidentifikasi masalah keamanan di dalam stasiun kerja, server, dan implementasi, pemeliharaan, serta desain layanan jaringan. Uji ini dapat digunakan untuk menemukan kesalahan konfigurasi, OS dan perangkat lunak lama, serta protokol yang tidak aman di dalam sistem Anda.
· Uji kontrol segmentasi
Pengujian ini dilakukan untuk mengetahui apakah kesalahan konfigurasi firewall akan memungkinkan akses tidak sah ke jaringan perusahaan. Pengujian ini dapat digunakan untuk menemukan koneksi ke TCP yang diizinkan tetapi tidak diizinkan, serta melakukan ping yang tidak diizinkan.
· Uji penetrasi aplikasi
Aplikasi tidak dapat dikembangkan dengan sempurna sehingga terdapat potensi kerentanan di dalam aplikasi yang digunakan perusahaan Anda. Kegagalan dalam mengautentikasi aplikasi serta pengkodean yang buruk dapat menimbulkan kerentanan pada perangkat lunak yang digunakan perusahaan Anda. Oleh karena itu, pengujian ini dilakukan untuk memastikan bahwa tidak ada kerentanan pada aplikasi yang digunakan perusahaan Anda.
Lebih jauh lagi, meskipun Anda terus melakukan perlindungan, perbaikan, dan pembaruan aplikasi, para peretas juga akan terus meningkatkan metode peretasan mereka untuk menemukan kerentanan baru dalam sistem. Itulah mengapa penting bagi Anda untuk terus menguji aplikasi Anda sehingga Anda dapat menghindari bahaya yang terkait dengan kerentanan aplikasi.
· Wireless Network Test
Pengujian ini dilakukan untuk menemukan kesalahan konfigurasi pada jaringan nirkabel yang telah diizinkan untuk terhubung dengan sistem serta menemukan titik akses yang tidak diizinkan untuk terhubung ke sistem. Anda juga dapat menemukan metode enkripsi yang lemah, teknologi jaringan yang tidak didukung, enkripsi yang tidak aman, dan titik akses yang tidak diizinkan.
Langkah demi Langkah Melakukan Tes Penetrasi
· Scoping
Langkah pertama yang dapat Anda lakukan untuk uji penetrasi adalah menentukan cakupan pengujian. Untuk melakukannya, penguji penetrasi akan melihat persyaratan penilaian perusahaan untuk kepatuhan PCI DSS .
· Discovery
Hal berikutnya yang akan dilakukan oleh uji penetrasi adalah mengidentifikasi semua aset di dalam jaringan dalam cakupan yang telah ditentukan menggunakan langkah sebelumnya. Uji ini diperlukan untuk menemukan semua informasi yang dibutuhkan untuk melakukan serangan yang akan dilakukan pada langkah berikutnya. Anda dapat memberikan beberapa informasi kepada penguji penetrasi untuk mengurangi waktu yang dibutuhkan untuk melakukan langkah ini.
· Evaluating
Setelah semua detail ditemukan, maka penguji penetrasi akan mulai menguji aplikasi, jaringan, dan sistem. Uji penetrasi ini dilakukan untuk menemukan kerentanan dalam lingkungan yang mungkin menimbulkan masalah di masa mendatang.
Pengujian penetrasi berbeda dengan serangan sebenarnya karena pentester akan masuk lebih dalam ke lingkungan yang dapat memakan banyak waktu. Jadi, Anda perlu memutuskan di mana lokasi tempat penguji penetrasi akan menghabiskan sebagian besar waktunya.
Selain itu, informasi yang Anda berikan kepada mereka juga akan memengaruhi lamanya waktu yang mereka perlukan untuk melakukan pengujian. Ada 3 jenis metodologi yang dapat digunakan untuk melakukan pengujian penetrasi, yaitu:
- Whitebox
Dalam pengujian ini, penguji penetrasi akan diberikan informasi terperinci mengenai lingkungan yang perlu mereka uji sebelum pengujian dilakukan.
- Greybox
Dalam pengujian ini penguji penetrasi tidak diberikan informasi apa pun mengenai lingkungan yang perlu mereka uji.
- Blackbox
Dalam pengujian ini penguji penetrasi akan diberikan informasi terbatas mengenai lingkungan yang perlu mereka uji sebelum pengujian dilakukan.
Anda dapat menentukan metodologi mana yang digunakan sesuai dengan area lingkungan yang akan menjadi fokus pengujian.
· Pelaporan
Setelah pengujian selesai, hasilnya akan dievaluasi oleh penguji penetrasi. Kemudian mereka akan membuat laporan lengkap yang menjelaskan semua metodologi yang digunakan pada pengujian penetrasi serta hasil yang mereka temukan dari pengujian tersebut. Dengan demikian, Anda dapat melihat alur dan setiap tahapan pengujian penetrasi dengan jelas. Laporan ini juga diperlukan untuk digunakan sebagai bukti yang dapat Anda sampaikan kepada pemangku kepentingan atau QSA yang ditugaskan.
· Pengujian ulang
Pengujian penetrasi tidak berhenti di situ karena Anda masih perlu memastikan bahwa solusi yang diterapkan pada lingkungan yang diuji untuk mengatasi kerentanan berfungsi sebagaimana mestinya. Itulah sebabnya, pengujian ulang diperlukan yang juga perlu dilakukan secara berkala untuk menemukan kerentanan baru karena perubahan konstan diterapkan di lingkungan tersebut.
Kesimpulan
Penting bagi perusahaan Anda untuk mematuhi PCI DSS yang dapat membantu Anda melindungi data pemegang kartu dan mengamankan lingkungan Anda. Salah satu persyaratan yang perlu Anda lakukan untuk mematuhinya adalah melakukan pengujian penetrasi pada sistem dan lingkungan yang Anda gunakan.
