eryk budi pratama

eryk budi pratama
Home » , , , » Pengalaman Security Assessment (Penetration Testing) di Ernst&Young (EY)

Pengalaman Security Assessment (Penetration Testing) di Ernst&Young (EY)


Sudah hampir setahun saya meniti karier di salah satu perusahaan jasa professional di bdiang audit and consulting ini. Dalam perjalanan yang tentunya tidak mudah ini cukup banyak ilmu dan pengalaman yang saya dapatkan dari Ernst&Young Indonesia (EYI). Bisa dibilang layanan Information Security di EY termasuk yang muda diantara layanan-layanan EY yang lain khususnya di Advisory. Masih berkaitan dengan dua tulisan saya sebelumnya tentang profil EY dan persiapan final review, hampir setahun ini saya sudah banyak belajar tentang layanan-layanan EY yang terkait dengan IT, mulai dari yang jadi pekerjaan rutin saya di bidang Information Security, sampai dengan bidang-bidang konsultansi IT lainnya seperti IT Risk Management, IT Audit, IT Governance & Strategy, Business Continuity/Disaster Recovery, IT effectiveness, IT Process Improvement and Maturity, Enterprise Architecture, dan beberapa hal lainnya.

Pada tulisan kali ini saya coba menceritakan sedikit pengalaman saya di bidang Information Security. Pada sebagian besar project, saya terlibat untuk mengerjakan pengujian keamanaan (security assessment) khususnya penetration testing (pentest). Bagi rekan-rekan yang awam, pentest itu semacam aktivitas untuk melakukan eksploitasi terhadap sistem berdasarkan hasil dari vulnerability assessment  (VA). Kalau VA sendiri ibaratnya pengujian keamanan juga tapi sampai tahap mengidentifikasi kerentanan-kerentanan yang ditemukan pada sistem. Nah, pentest itu tahap setelah VA, yaitu mengeksploitasi  kelemahan-kelemahan yang ditemukan saat VA tadi. Dalam hampir setahun ini, sudah banyak project pentest yang saya kerjakan dan ke depan bakal ngantri project untuk pentestnya :D

Sebelum mengerjakan project pentest saya yang pertama, saya belajar melakukan IT General Control (ITGC). ITGC adalah bagian dari IT audit untuk melakukan pengecekan terhadap kontrol-kontrol pada sebuah sistem. ITGC sendiri terdiri dari tiga bagian. Tapi dalam pentest saya hanya menggunakan bagian logical access (LA) yang secara umum dikenal sebagai configuraion check untuk melengkapi hasil pentest amaupun VA. Beberapa platform OS dan dabatase yang pernah saya uji adalah:
  • Operating System (OS400/IBM i, AIX, Red Hat Enterprise Linux, Fedora Core, CentOS, Windows Server 2008&2012)
  • Database (SQL Server 2008, Oracle 10g &11g, PostgreSQL)
Untuk pentest, project banyak datang dari bank. Ada juga dari salah satu perusahaan penyedia DC dan aplikasi core banking. Industri perbankan dan keuangan memang lahan yang bagus untuk para praktisi di bidang IT security. Project pertama saya adalah melakukan pentest terhadap salah satu aplikasi yang menjadi core business application di sebuah bank besar di Indonesia. Karena waktu itu saya masih pemanasan, jadi tidak banyak finding yang bisa saya temukan. Berikutnya saya mendapatkan project untuk pentest di platform mobile enterprise. Platform ini nantinya akan digunakan sebagai pusat bagi project-project mobile services berikutnya bagi bank tersebut.

Selanjutnya saya mendapatkan project yang bisa dibilang sangat besar, yaitu Bank Wide. Jadi saya dan tim melakukan pentest terhadap seluruh aset yang dimiliki oleh bank. Kebayang kan berapa banyak server yang harus di-pentest karena bank ini termasuk kategori bank besar yang hampir setara dengan 4 besar bank BUMN yang mungkin pembaca sudah tahu.

Sambil jalan project Bank Wide, saya mendapatkan project terkait Delivery Channel (E-banking) audit. Saya hanya fokus di pentest karena sudah ada tim lain yang menangani bagian compliance. Untuk project yang ini juga lumayan besar karena scopenya tidak hanya server dan aplikasi Internet Banking, tapi juga ATM system dan mobile banking application. Pada project inilah saya pemanasan untuk pentest ATM. Saya sangat bersyukur karena project ini menambah portfolio pentest saya sehingga saya sudah melakukan pentest untuk beberapa jenis platform. Sebenernya ada satu yang saya masih penasaran yaitu pentest SCADA system. EY di negara lain pernah melakukannya. Untuk di Indonesia sendiri sepertinya belum ada. Semoga suatu saat ada dan saya bisa dapet project tersebut.

Berikutnya saya melakukan pentest terhadap ATM system di salah satu bank terbesar di dunia. Project ini cukup unik karena hampir semua sistem entah itu core banking maupun ATM didevelop secara in-house alias bikin sendiri. Setahu saya ini satu-satunya bank yang berani develop hampir seluruh sistemnya secara in-house. Berbekal pengalaman pentest ATM di bank sebelumnya, saya melakukan beberapa penambahan pengujian pada sistem ATM ini karena memang fokus dari project ini ada di sistem ATMnya. Pengujian yang saya lakukan sampai ke tahap reverse engineering baik menggunakan static maupun dynamic analysis. Sistem di dalam mesin ATM itu sendiri cukup kompleks. Lumayan lah susahnya hehehe. Selain dari mesin ATM, saya juga melakukan pengujian terhadap ATM switching dan beberapa server terkait baik itu dari sisi server-server itu sendiri maupun transmisi/transaksi data. Seru deh pokoknya. Selain itu saya juga melakukan PBI compliance untuk Data Center.

Setelah project ATM, datang silih berganti project-project untuk pentest web application dan mobile application. Seperti biasa, selain dari sisi mobile application, pengujian juga dilakukan terhadap sisi infrastructure (server) dan aplikasi (web-based application).  Saya juga masih melakukan PBI compliance terhadap data center di salah satu perusahaan penyedia DC. Pada salah satu project, ada pengalaman yang unik ketika saya dan tim melakukan pentest di ruang server dan di dalam data center. Iya, DI DALAM DATA CENTER. Kebayang kan betapa dingin dan bisingnya di dalam DC. Selain melawan sistem yang ingin di-pentest, saya harus melawan dingin dan kepala yang makin lama terasa beku. Bayangkan berada di dalam data center selama berjam-jam. Beruntung saat keluar dari DC tidak jadi es batu haha.

Saya masih mengerjakan juga project Bank Wide untuk bank lain. Bedanya kali ini saya melakukan pentest juga terhadap core banking system karena masuk dalam scope. Masih ada beberapa project lain yang mungkin tidak saya tulis di sini. Menjelang lebaran pun masih ada project pentest. Setelah lebaran juga. Berdasarkan informasi juga dalam setahun ke depan masih banyak project pentest yang dikerjakan. Kebayang kan serunya bisa banyak melakukan pentest. Ibaratnya tentara, latihan perang selama masih di akademi tidak sia-sia karena sering dipakai dan skill semakin terasah.

Mungkin ini yang bisa saya share untuk para pembaca. Jika saya tulis detil mungkin bisa jadi sangat panjang tulisan ini hehe. Inti dari tulisan saya adalah bahwa saya ingin menunjukkan kalau bidang information security ini "kue"nya juga banyak. Selama ini mahasiswa IT yang paling banyak pasti ke bidang software development/programming, infrasturcture, dan network. Jika dibandingkan denga  bidang IT yang lain, mungkin jumlah praktisi di bidang information security ini jauh lebih sedikit.

Semoga tulisan saya ini bermanfaat. Semangat !! :)



Eryk Budi Pratama, S.Kom, CEH
IT Advisory Consultant, Ernst & Young Indonesia (EY)
Jika Anda menyukai Artikel di blog ini, Silahkan klik disini untuk berlangganan gratis via email, dengan begitu Anda akan mendapat kiriman artikel setiap ada artikel yang terbit di Creating Website

0 komentar:

Posting Komentar

Labels

400 education adsl2+ advisory apec as400 auditor bakrie telecom bakrieland bakrieland goes to campus big 4 bisnis BLOG BTEL bts building relationship ccna ceh certified ethical hacker changi chevron CHIP cloud cloud computing collaboration comptia corporate affairs daily social db2 diskusi panel drupal edugate elektro emart ericsson indonesia ernst&young erp eryk budi pratama event report ey fo gaji game developer game development game programmer goes to school gpon gratis harapan hipnosis hipnoterapi i-Community iArmy IBM IBM i ibm indonesia ibm technology iCommunity ict award iFestival ilmu inaicta INDC international islamic university malaysia internship inti college IT IT consultant it risk assurance jaringan komputer kampus karier kebersamaan klcc komunikasi konsultan konsultan IT kuala lumpur kuliah larkin liburan linkedin magang makan malaysia mandiri young technopreneur membangun relasi microsoft mimpi MNC modem money matters moonson academy mrtg MUGI NET network nilai noc nokia noqc opera software paper pengalaman petronas php presentasi proferyk project management proposal proxmox queen street relasi relationship robotika rynet s40 web apps salary sap sap01 sekolah selina limman seminar seremban sharing session sidang singapore sitroges sixma technology skripsi ss robotika statistika struktur data system i talkshow tandif teknik informatika telekomunikasi telepati telkom time tugas akhir tulisan uas ub UGM unilever universitas bakrie urbanesia usaha venture web hosting wirausaha muda mandiri workshop cloud computing young on top
 
Support : Creating Website | Johny Template | Mas Template
Copyright © 2011. Eryk Budi Pratama - All Rights Reserved
Template Modify by Creating Website
Proudly powered by Blogger