Di era transformasi digital, lanskap proses bisnis bukan satu-satunya aspek yang mengalami perubahan signifikan; sisi gelap kehidupan juga mengalami metamorfosis digital. Interkoneksi digital yang luas yang mendorong proses bisnis global telah menjadi target menjanjikan bagi para penjahat siber. Insiden keamanan siber yang mempengaruhi organisasi dan perusahaan sering kali disebabkan oleh kerentanan dalam infrastruktur dan sistem teknologi informasi mereka.
Untuk mengatasi kerentanan ini, organisasi harus terus memperbarui dan mengevaluasi postur keamanan mereka. Penguatan postur ini hanya mungkin dilakukan ketika kerentanan dalam sistem teridentifikasi. Proses menemukan kerentanan keamanan ini dapat dicapai melalui metode pengujian keamanan yang dikenal sebagai penetration testing (Pentesting) atau ethical hacking. Namun, tantangannya terletak pada fakta bahwa proses pentesting memakan waktu dan melibatkan beberapa tahap, termasuk pengumpulan informasi, pemindaian jaringan, enumerasi, riset kerentanan, eksploitasi, dan pelaporan hasil. Kompleksitas ini sering kali memerlukan keterlibatan ahli keamanan siber.
Mengingat tantangan ini, pendekatan otomatis untuk penetration testing muncul sebagai solusi yang layak. Solusi ini berupa kerangka perangkat lunak yang dirancang untuk mengotomatiskan proses penetration testing. Metodologi pentesting didasarkan pada eksploitasi spesifik dari Common Vulnerabilities and Exposures (CVE) yang telah terbukti efektif. Kerangka perangkat lunak yang sedang dikembangkan menerapkan pola desain yang memberikan fleksibilitas dalam memperkaya modul pentesting berbasis CVE.
Penelitian yang dilakukan di Lab. Teknologi dan Aplikasi Jaringan Departemen Teknik Elektro dan Informatika Sekolah Vokasi UGM bertujuan untuk menyederhanakan proses penetration testing, sehingga dapat diakses bahkan oleh mereka yang tidak memiliki keahlian keamanan siber yang luas. Dengan mengotomatiskan proses pentesting, organisasi dapat secara signifikan mengurangi waktu dan biaya yang terkait dengan penyewaan pentester profesional. Inovasi ini sejalan dengan Tujuan Pembangunan Berkelanjutan (SDGs), khususnya dalam meningkatkan infrastruktur ICT dan mempromosikan industrialisasi yang berkelanjutan.
Desain kerangka ini memungkinkan integrasi modul baru dengan mudah, memastikan bahwa ia tetap mutakhir dengan CVE terbaru. Adaptabilitas ini sangat penting dalam lanskap digital yang berkembang pesat di mana kerentanan baru terus muncul. Selain itu, sistem otomatis dapat memberikan wawasan yang tepat waktu kepada organisasi tentang postur keamanan mereka, memungkinkan mereka untuk mengatasi kerentanan sebelum dapat dieksploitasi oleh aktor jahat.
Seiring dengan kemajuan proyek ini, tim di Sekolah Vokasi UGM terus berusaha bekerja sama dengan mitra industri untuk memastikan bahwa kerangka pengembangan autopentesting ini memenuhi kebutuhan dunia nyata. Kolaborasi ini tidak hanya meningkatkan relevansinya tetapi juga memberikan wawasan berharga tentang tantangan yang dihadapi organisasi dalam mempertahankan langkah-langkah keamanan siber yang kuat.
Sebagai kesimpulan, pengembangan kerangka autopentesting berbasis CVE merupakan langkah maju yang signifikan di bidang keamanan siber. Dengan memanfaatkan otomatisasi, organisasi dapat meningkatkan postur keamanan mereka, mengurangi biaya, dan pada akhirnya berkontribusi pada lingkungan digital yang lebih aman. Seiring kita melangkah lebih jauh ke era digital, inovasi semacam ini akan sangat penting dalam memerangi ancaman yang terus berkembang yang ditimbulkan oleh para penjahat siber.
