a) Persiapan
Pada tahapan ini akan dilakukan persiapan, mobilisasi personil, dan peralatan
untuk keperluan kegiatan Uji Keamanan dan Monitoring Aplikasi di
Lingkungan Kementerian Agraria dan Tata Ruang / Badan Pertanahan
Nasional. Selain itu juga diperlukan assesment terhadap aplikasi melalui
penetration testing, mendapatkan informasi pengguna, serta arsitektur bisnis
proses pada aplikasi atau database. Kemudian melakukan identifikasi aktifitas
dan penyusunan jadwal pekerjaan.
b) Network Scanning, Analisis Arsitektur Aplikasi atau Database
Tahapan ini dilakukan network survey untuk mengumpulkan informasi domain,
server, layanan yang ada, ip address, dll. Dilakukan pengumpulan informasi
mengenai posisi fisik server, jenis jaringan yang digunakan, perangkat yang
digunakan dan berbagai informasi yang berkaitan dengan server yang
digunakan oleh aplikasi di Kementerian Agraria dan Tata Ruang / Badan
Pertanahan Nasional. Kemudian dilakukan pemahaman tentang aplikasi,
struktur data, serta proses bisnis.
c) Vulnerability Scanning
Tahapan ini dilakukan untuk mengidentifikasi kelemahan dan celah keamanan
yang mungkin dapat dimanfaatkan untuk melakukan eksploitasi. Setiap
kelemahan akan di kategorikan berdasarkan tingkat kerentanan, untuk
selanjutnya di buktikan melalui proses selanjutnya. Identifikasi jenis serangan
pada aplikasi ini dapat dilakukan dengan SQL Injection, Cross Site Scripting,
Remote file inclusion, Local file inclusion, dan lainnya.
d) Penetration Testing & Stress Test Aplikasi
Tahapan ini dilakukan melaui eksploitasi aplikasi dengan memanfaatkan celah
keamanan yang ditemukan, yakni percobaan penyerangan (penetration
attempt). Pada proses ini dilakukan penentuan target, pemilihan tools dan
exploit yang tepat, kemampuan password cracking, social engineering dan
pengujian physical security, juga stress test dari sistem. Pada tahapan ini juga
dilakukan penyesuaian penyajian data dengan proses bisnis aplikasi untuk
kemudian dilakukan analisa langkah perbaikan kelemahan dan celah keamanan.
Seluruh proses ini akan di dokumentasikan untuk kemudian diberikan
rekomendasi perbaikan dan solusi perbaikan celah keamanan.
e) Uji coba terhadap Perbaikan Celah Keamanan Aplikasi.
Dalam tahapan ini, hasil dari penetration testing akan dilaporkan ke bagian
terkait, untuk di perbaiki. Dilakukan pengujian dan perbaikan temuan celah
keamanan. Kemudian akan dilakukan kembali penetration testing untuk
memastikan bahwa sudah tidak ada celah keamanan pada aplikasi. Reporting/
laporan berisi langkah kerja yang dilakukan, celah keamanan yang ditemukan
serta usulan perbaikan dan best practices untuk selanjutnya dilakukan tindak
lanjut untuk memperbaiki sistem.
f) Operasional dan Reproduksi Laporan
• Laporan Awal
Diserahkan kepada pemberi pekerjaan setelah penyelesaian pekerjaan
mencapai 30%, dibuat dalam 2 (dua) rangkap. Laporan awal berisi latar
belakang dan permasalahan, beserta solusi yang diambil, ruang lingkup
kegiatan, metodologi penyusunan, tahapan kegiatan, hasil yang
diharapkan serta jadwal kegiatan.
• Laporan Tengah
Diserahkan kepada pemberi pekerjaan setelah penyelesaian pekerjaan
mencapai 75%, dibuat dalam 2 (dua) rangkap, Laporan tengah memuat
hasil sementara pelaksanaan pekerjaan.
• Laporan Akhir
Diserahkan kepada pemberi pekerjaan setelah penyelesaian pekerjaan
mencapai 100%, dibuat dalam 3 (tiga) rangkap.