KI: Contoh Penggunaan STRIDE dalam Threat Modeling
Jump to navigation
Jump to search
Contoh Penggunaan STRIDE dalam Threat Modeling
Pada sistem akademik:
- Spoofing: akun dosen dipalsukan
- Tampering: nilai diubah
- Repudiation: tidak ada log perubahan
- Information Disclosure: data mahasiswa bocor
- Denial of Service: server KRS down
- Elevation of Privilege: mahasiswa menjadi admin
STRIDE memastikan tidak ada kategori ancaman penting yang terlewat.
STRIDE adalah alat berpikir yang kuat namun sederhana untuk memahami ancaman keamanan. Dengan STRIDE:
- ancaman dapat diidentifikasi secara sistematis,
- diskusi keamanan menjadi terstruktur dan objektif,
- dan analisis risiko menjadi lebih lengkap dan rasional.
STRIDE mengajarkan bahwa keamanan bukan tentang paranoia, tetapi tentang memahami cara sistem bisa gagal sebelum kegagalan itu terjadi.
Contoh Tabel Risk Scoring (Manual)
Skala Penilaian (Disepakati di Awal)
Likelihood (Kemungkinan Terjadi)
1 = Sangat jarang 2 = Jarang 3 = Mungkin terjadi 4 = Sering 5 = Sangat sering
Impact (Dampak Jika Terjadi)
1 = Dampak sangat kecil 2 = Dampak kecil 3 = Dampak sedang 4 = Dampak besar 5 = Dampak sangat besar / kritikal
Rumus sederhana
Risk Score = Likelihood × Impact
| ID Risiko | Aset | Ancaman | Kerentanan | CIA Terdampak | Likelihood (1–5) | Impact (1–5) | Risk Score | Level Risiko | Catatan |
|---|---|---|---|---|---|---|---|---|---|
| R1 | Data nilai mahasiswa | Akun admin bocor | Password lemah | C, I | 3 | 4 | 12 | Tinggi | Perlu MFA |
| R2 | Sistem KRS | Server down | Tidak ada failover | A | 4 | 3 | 12 | Tinggi | Gangguan akademik |
| R3 | Database akademik Ransomware | Backup tidak rutin | C, I, A | 2 | 5 | 10 | Tinggi | Risiko kritikal | |
| R4 | Akun dosen | Phishing | Edukasi rendah | C, I | 4 | 2 | 8 | Sedang | Perlu pelatihan |
| R5 | Website kampus | Deface | Patch terlambat | I | 2 | 2 | 4 | Rendah | Dampak reputasi |
| Risk Score | Level Risiko |
|---|---|
| 1 – 4 | Rendah |
| 5 – 9 | Sedang |
| 5 – 9 | Sedang |
| 10 – 14 | Tinggi |
| 15 – 25 | Sangat Tinggi / Kritikal |
Catatan penting:
Batas level dapat disesuaikan, yang penting konsisten dan logis. Contoh Interpretasi (Untuk Laporan Mahasiswa)
- R1 (Risk Score 12 – Tinggi) - Risiko kebocoran akun admin memiliki dampak besar terhadap integrity nilai mahasiswa dan perlu diprioritaskan.
- R3 (Risk Score 10 – Tinggi) - Walaupun kemungkinan tidak sering, dampak ransomware sangat besar karena melanggar seluruh aspek CIA.
- R5 (Risk Score 4 – Rendah) - Risiko deface website berdampak terbatas dan dapat ditangani setelah risiko kritikal.
Versi Ringkas (Untuk Kelas Non-Teknis) Jika ingin lebih sederhana, gunakan tabel berikut:
| Aset | Ancaman | Likelihood | Impact | Risk | Prioritas |
|---|---|---|---|---|---|
| Data nilai | Akun bocor | Sedang | Tinggi | Tinggi | 1 |
| Sistem KRS | Server down | Tinggi | Sedang | Tinggi | 2 |
| Website | Deface | Rendah | Rendah | Rendah | 4 |
Skill yang Dilatih dengan Tabel Ini
Mahasiswa belajar bahwa:
- Risiko bukan tebakan, tetapi hasil penilaian terstruktur
- Angka membantu diskusi, bukan kebenaran absolut
- Prioritas keamanan harus rasional, bukan emosional
- Keamanan adalah keputusan, bukan sekadar teknologi