0

Mau Jadi Application Security Engineer? Minimal Bisa Basic Ini Dulu

Share
Teknologi

Kisah inspiratif Bayu Fedra Abdullah (25) asal Solo, yang baru-baru ini menjadi buah bibir di berbagai platform media sosial, telah menyulut semangat banyak anak muda Indonesia. Prestasinya tampil di dua konferensi keamanan siber global paling prestisius, BlackHat MEA dan BlackHat Europe, bukan hanya mengharumkan nama bangsa tetapi juga menunjukkan bahwa talenta muda Indonesia mampu bersaing di kancah internasional. Fedra, sapaan akrabnya, kini menapaki karier gemilang sebagai Application Security Engineer di salah satu perusahaan exchange terkemuka di Singapura, sebuah posisi yang sangat vital di era digital ini.

Perjalanan Fedra, seorang mahasiswa Universitas Muhammadiyah Surakarta (UMS), menjadi bukti nyata bahwa ketekunan dan semangat belajar dapat membuka pintu menuju kesempatan yang luar biasa. Fenomena ini membuat banyak orang bertanya-tanya, apa saja bekal yang diperlukan untuk mengikuti jejaknya? Beruntung, Fedra tidak pelit ilmu. Ia dengan lugas membagikan pondasi dasar yang harus dikuasai bagi siapa pun yang tertarik meniti karier di bidang keamanan aplikasi, sebuah ranah yang semakin krusial di tengah pesatnya perkembangan teknologi dan ancaman siber yang terus meningkat.

Memahami Peran Application Security Engineer

Sebelum menyelami lebih jauh tentang bekal yang dibutuhkan, penting untuk memahami apa sebenarnya peran seorang Application Security Engineer. Dalam lanskap digital modern, aplikasi perangkat lunak menjadi tulang punggung hampir semua bisnis dan layanan. Mulai dari aplikasi perbankan, e-commerce, media sosial, hingga sistem internal perusahaan, semuanya bergantung pada aplikasi. Namun, setiap aplikasi berpotensi memiliki celah keamanan yang bisa dieksploitasi oleh pihak tidak bertanggung jawab. Di sinilah peran Application Security Engineer menjadi sangat vital.

Mereka bertanggung jawab untuk mengidentifikasi, menganalisis, dan memperbaiki kerentanan keamanan dalam siklus pengembangan perangkat lunak (SDLC), mulai dari tahap desain, pengembangan, pengujian, hingga implementasi dan pemeliharaan. Ini melibatkan pemahaman mendalam tentang bagaimana aplikasi bekerja, bagaimana potensi serangan dapat terjadi, dan bagaimana membangun pertahanan yang kokoh. Singkatnya, mereka adalah garda terdepan dalam melindungi data dan fungsionalitas aplikasi dari berbagai ancaman siber.

Pondasi Utama: Menguasai Fundamental yang Kokoh

Menurut Fedra, langkah pertama yang mutlak dan tidak bisa ditawar adalah menguasai fundamental. "Nah, kalau basic-nya sendiri itu tuh, perlu belajar fundamental yaitu programming, sistem operasi, jaringan, kriptografi, lalu CVE/CWE. Wajib banget belajar fundamentalnya," tegasnya. Mari kita bedah satu per satu:

  1. Programming (Pemrograman):
    Pemrograman bukan hanya tentang menulis kode, tetapi juga memahami logika di baliknya. Bagi seorang Application Security Engineer, kemampuan pemrograman sangat krusial karena memungkinkan mereka untuk:

    • Memahami Kode Sumber: Mengidentifikasi potensi kerentanan langsung dari kode sumber aplikasi (misalnya, injection flaws, cross-site scripting, insecure direct object references).
    • Mengembangkan Alat Keamanan: Membuat skrip atau alat bantu otomatis untuk pengujian keamanan atau proof-of-concept eksploitasi.
    • Membangun Aplikasi Aman: Memberikan rekomendasi praktik terbaik dalam pengembangan perangkat lunak yang aman (secure coding practices).
      Bahasa pemrograman yang sering direkomendasikan antara lain Python (untuk scripting dan otomatisasi), Java, JavaScript, atau C# (karena banyak aplikasi web dan enterprise dibangun dengan bahasa ini).

  2. Sistem Operasi (Operating Systems – OS):
    Memahami cara kerja sistem operasi seperti Linux, Windows, atau macOS adalah kunci. Seorang Application Security Engineer perlu mengetahui:

    • Arsitektur OS: Bagaimana kernel bekerja, manajemen memori, proses, dan thread.
    • Manajemen Hak Akses dan Izin: Bagaimana izin file dan direktori bekerja, serta potensi celah eskalasi privilese.
    • Konfigurasi Keamanan: Mengamankan konfigurasi OS, memahami hardening sistem, dan log sistem untuk deteksi anomali.
      Banyak kerentanan aplikasi seringkali berakar pada miskonfigurasi atau celah pada sistem operasi yang mendasarinya.

  3. Jaringan Komputer (Networking):
    Aplikasi tidak berdiri sendiri; mereka berkomunikasi melalui jaringan. Oleh karena itu, pemahaman mendalam tentang jaringan sangat penting:

    • Model OSI dan TCP/IP: Memahami bagaimana data bergerak di seluruh lapisan jaringan.
    • Protokol Jaringan: HTTP/S, FTP, DNS, SSH, dan lain-lain, serta bagaimana kerentanan dapat muncul dalam implementasinya.
    • Arsitektur Jaringan: Konsep firewall, IDS/IPS (Intrusion Detection/Prevention Systems), VPN, load balancer, dan bagaimana komponen ini memengaruhi keamanan aplikasi.
    • Jenis Serangan Jaringan: DDoS, Man-in-the-Middle (MITM), port scanning, dan bagaimana melindungi aplikasi dari serangan tersebut.

  4. Kriptografi:
    Kriptografi adalah tulang punggung keamanan data dan komunikasi. Fedra menekankan pentingnya belajar fundamental ini:

    • Algoritma Enkripsi: Enkripsi simetris (AES) dan asimetris (RSA), serta kapan dan bagaimana menggunakannya.
    • Fungsi Hash: MD5, SHA-256, dan mengapa penting untuk integritas data dan penyimpanan kata sandi yang aman.
    • Sertifikat Digital dan PKI: Cara kerja sertifikat SSL/TLS untuk komunikasi aman di web.
    • Digital Signature: Memastikan otentikasi dan integritas pesan.
      Pemahaman ini esensial untuk mengamankan data saat transit dan saat disimpan, serta untuk membangun mekanisme otentikasi yang kuat.

  5. CVE/CWE:
    Ini adalah dua standar industri yang sangat penting dalam keamanan siber:

    • CVE (Common Vulnerabilities and Exposures): Sebuah kamus publik yang berisi daftar kerentanan keamanan yang diketahui. Setiap CVE memiliki ID unik dan deskripsi singkat tentang kerentanan yang ditemukan pada perangkat lunak atau hardware tertentu.
    • CWE (Common Weakness Enumeration): Daftar kategori kelemahan perangkat lunak yang umum. CWE menjelaskan akar penyebab kerentanan (misalnya, buffer overflow, SQL injection, cross-site scripting) dan bukan hanya instance spesifik seperti CVE.
      Mempelajari CVE/CWE membantu Application Security Engineer untuk mengenal pola kerentanan umum, memahami bagaimana kerentanan tersebut dieksploitasi, dan bagaimana mencegahnya dalam pengembangan aplikasi.

Praktik Adalah Kunci: Mengasah Kemampuan Lewat Aksi

Setelah menguasai fundamental, Fedra menegaskan bahwa langkah selanjutnya adalah langsung terjun ke praktik. Pengetahuan teoritis saja tidak cukup; pengalaman langsung sangat berharga.

  1. Program Bug Bounty:
    "Ada yang namanya program bug bounty," terang Fedra. Program bug bounty adalah inisiatif di mana perusahaan mengundang para peneliti keamanan siber (atau ethical hackers) untuk menemukan kerentanan (bug) dalam produk atau layanannya. Sebagai imbalannya, peneliti akan diberikan hadiah atau "bounty" jika berhasil menemukan dan melaporkan kerentanan yang valid. Platform seperti HackerOne dan Bugcrowd adalah contoh di mana Anda bisa bergabung. Ini adalah cara fantastis untuk mendapatkan pengalaman dunia nyata, menguji kemampuan Anda, dan bahkan mendapatkan penghasilan.

  2. Banyak-banyak Mengerjakan Labs:
    Fedra juga menyarankan untuk "banyak-banyak ngerjain labs. Di bidang ini tuh ada kayak lab atau platform-platform buat pembelajaran. Bisa belajar di situ juga." Labs atau lingkungan praktik yang aman dan terkontrol adalah tempat terbaik untuk menguji teori dan mengasah skill. Contoh platform yang sangat direkomendasikan antara lain:

    • PortSwigger Web Security Academy: Sangat komprehensif untuk keamanan aplikasi web, dengan banyak modul dan lab interaktif.
    • TryHackMe & Hack The Box: Menawarkan berbagai room dan machine dengan skenario keamanan siber yang realistis, mulai dari tingkat pemula hingga mahir.
    • OWASP Juice Shop: Sebuah aplikasi web yang sengaja dibuat dengan banyak kerentanan untuk tujuan pelatihan.
      Melalui lab ini, Anda bisa mencoba berbagai teknik serangan, memahami dampaknya, dan belajar bagaimana mengamankan sistem.

  3. Ikut Kompetisi Cyber Security (CTF):
    Kompetisi seperti Capture The Flag (CTF) adalah cara yang menarik untuk menguji kemampuan Anda dalam memecahkan masalah keamanan siber dalam lingkungan yang kompetitif. CTF biasanya melibatkan berbagai tantangan, mulai dari kriptografi, forensics, web exploitation, hingga binary exploitation. Ini tidak hanya mengasah skill teknis tetapi juga kemampuan berpikir kritis, problem-solving, dan kerja tim.

Kekuatan Komunitas: Belajar dan Berkembang Bersama

Saran selanjutnya dari Fedra adalah bergabung dengan komunitas. "Saran selanjutnya dari Fedra adalah ikutan komunitas. Di dalam komunitas, biasanya para anggota saling sharing materi untuk pembelajaran. Kalau tidak paham, kamu bisa langsung tanya-tanya dan pasti bakal dijawab anggota lain," jelasnya. Komunitas keamanan siber adalah harta karun pengetahuan dan pengalaman.

  • Jaringan (Networking): Anda bisa bertemu dengan orang-orang yang memiliki minat serupa, dari pemula hingga ahli.
  • Berbagi Pengetahuan: Anggota sering berbagi tutorial, sumber belajar terbaru, exploit yang baru ditemukan, atau tips dan trik.
  • Mentorship: Anda bisa menemukan mentor yang bersedia membimbing atau mendapatkan jawaban atas pertanyaan sulit.
  • Informasi Terkini: Komunitas adalah tempat terbaik untuk tetap up-to-date dengan ancaman siber terbaru, teknik serangan, dan solusi pertahanan.
    "Di situ kita bisa ketemu banyak teman, bisa menambah insight baru," aku Fedra, menekankan nilai tak ternilai dari interaksi ini.

Sumber Belajar: Dari YouTube Hingga Institusi Formal

Di era informasi ini, sumber belajar sangat melimpah. Fedra sendiri mengakui keberadaan banyak tutorial di YouTube. "YouTube ada semua (tutorial — red). Beneran. Tutorial di YouTube itu ada. Cuma sekarang di YouTube mulai banned yang berbau hacking dan cyber security, tapi di YouTube tetap ada banyak tutorialnya," ungkap Fedra. Meskipun ada batasan pada konten yang "berbau hacking," banyak channel yang fokus pada ethical hacking, penetration testing, atau secure coding yang tetap tersedia dan sangat bermanfaat.

Selain YouTube, ada juga sumber belajar formal dan non-formal lainnya:

  • LKS Cyber Security: "Saat ini, sayangnya di sekolah, belum ada yang benar-benar mengajarkan soal hacking. Akan tetapi, sekarang sudah ada yang namanya LKS cyber security," tutur Fedra. Lomba Kompetensi Siswa (LKS) untuk bidang keamanan siber di tingkat SMK menunjukkan bahwa pendidikan formal mulai menyadari pentingnya bidang ini. Ini adalah gerbang awal yang bagus bagi siswa SMK.
  • Kursus Online dan Sertifikasi: Platform seperti Coursera, edX, Udemy, atau Cybrary menawarkan kursus dari tingkat dasar hingga lanjutan. Sertifikasi industri seperti CompTIA Security+, Certified Ethical Hacker (CEH), atau Offensive Security Certified Professional (OSCP) sangat dihargai dan menunjukkan kompetensi yang teruji.
  • Universitas: Semakin banyak universitas yang menawarkan program studi atau konsentrasi di bidang keamanan siber, seperti yang dijalani Fedra di UMS.

Bahasa Inggris: Jembatan Menuju Karier Global

Fedra menyoroti satu aspek yang sering diremehkan tetapi memiliki dampak besar: Bahasa Inggris. "Bahasa Inggris bisa dibilang penting nggak penting, tapi pengaruhnya besar," katanya. "Kalau cuma pengen berkarier di Indonesia aja, ya nggak penting. Nggak terlalu penting kalau memang pengennya di Indonesia aja. Tapi kalau di luar negeri, ya mau nggak mau, harus bisa."

Pengalaman pribadi Fedra menjadi bukti nyata. Ia mengaku baru serius belajar Bahasa Inggris pada tahun 2023. Saat melamar pekerjaan di Singapura, ia hampir tidak diterima. Bukan karena skill teknisnya yang kurang, melainkan karena kendala bahasa. "Aku tuh satu kerjaan sama si Fani Akbar (teman satu timnya dulu). Lead-nya bilang kalau aku secara skill oke banget, cuman Bahasa Inggrisnya yang kurang. Nah, waktu itu aku dibilangin sama si Fani, ‘Aku yang jamin dia pasti bakal belajar Bahasa Inggris dalam waktu cepat’," kenangnya.

Alhasil, Fedra seakan "terpaksa" untuk dapat berbahasa Inggris dengan piawai. Lingkungan kerja yang mengharuskan penggunaan Bahasa Inggris setiap hari mendorongnya untuk cepat beradaptasi. "Jadi terpaksa bisa karena hari-hari dipaksa pakai Bahasa Inggris. Secara singkat, Bahasa Inggris penting banget kalau pengen ngembangin karier. Penting banget kalau pengen punya karier bagus," tandasnya.

Kemampuan berbahasa Inggris tidak hanya membuka pintu ke pasar kerja internasional, tetapi juga memberikan akses ke:

  • Dokumentasi Teknis: Sebagian besar dokumentasi teknis, riset keamanan, dan alat-alat canggih ditulis dalam Bahasa Inggris.
  • Komunitas Global: Berinteraksi dengan peneliti dan praktisi keamanan siber dari seluruh dunia.
  • Konferensi Internasional: Mengikuti dan memahami presentasi di acara seperti BlackHat, DEF CON, atau RSA Conference.

Lebih dari Sekadar Skill Teknis: Mindset dan Etika

Selain semua skill teknis dan bahasa, ada beberapa aspek non-teknis yang tak kalah penting untuk seorang Application Security Engineer:

  • Rasa Ingin Tahu dan Pembelajaran Berkelanjutan: Bidang keamanan siber terus berkembang. Seorang profesional harus selalu haus akan pengetahuan baru dan siap belajar sepanjang waktu.
  • Kemampuan Pemecahan Masalah: Mengidentifikasi dan memecahkan masalah keamanan membutuhkan pola pikir analitis dan kreatif.
  • Etika dan Integritas: Ethical hacking adalah fondasi dari pekerjaan ini. Memiliki etika yang kuat dan integritas tinggi sangat penting untuk menjaga kepercayaan dan menggunakan kemampuan untuk kebaikan.
  • Komunikasi: Kemampuan untuk menjelaskan masalah teknis yang kompleks kepada audiens non-teknis (misalnya, manajemen atau tim pengembang) adalah skill yang sangat berharga.

Masa Depan Cerah bagi Application Security Engineer

Kisah Bayu Fedra Abdullah adalah mercusuar bagi siapa saja yang bercita-cita di bidang keamanan siber. Permintaan akan Application Security Engineer terus melonjak seiring dengan semakin canggihnya ancaman siber dan ketergantungan kita pada aplikasi digital. Perusahaan di seluruh dunia menyadari bahwa mengamankan aplikasi bukan lagi pilihan, melainkan keharusan mutlak.

Dengan mengikuti jejak Fedra, menguasai fundamental, rajin praktik, aktif di komunitas, tidak mengabaikan Bahasa Inggris, serta terus mengasah soft skill dan etika, jalan menuju karier yang cemerlang sebagai Application Security Engineer terbuka lebar. Kesuksesan Fedra bukan hanya tentang keahlian teknis, tetapi juga tentang keberanian untuk bermimpi besar dan kemauan untuk terus belajar dan beradaptasi. Ini adalah inspirasi nyata bagi generasi muda Indonesia untuk tidak takut mengejar impian di panggung global.

Tags:

Rif'an Muazin

Rif'an Muazin adalah Seorang Lelaki, Suami dan Ayah 3 Putra, Lelaki Kelahiran Pati, Tinggal di Bantul Yogyakarta. Hobi membuat Group FB, Channel dan Group Telegram. Coder / Programmer PHP Creator AliSuite, ShopeeSuite, BookSuite, WallSpot, WallSpot Plus, TubeSpot. Seorang Muslim, Madhab Syafi'i bermanhaj Salafy.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *

Rif'an Muazin
Wajib Syukur Ing Allaah Keduwe Mukmin, Kang Pinaringan Iman ing Dalem Bathin, Laku Syukur Tinggal Dosa sabab wirang Ising, Labete Syukur Soyo Wuwuh Ati Yakin. - Syaikhina K.H. Ahmad Rifa'i