Difference between revisions of "KI: Contoh Penggunaan STRIDE dalam Threat Modeling"

From OnnoWiki
Jump to navigation Jump to search
(Created page with "Contoh Penggunaan STRIDE dalam Threat Modeling Pada sistem akademik: Spoofing: akun dosen dipalsukan Tampering: nilai diubah Repudiation: tidak ada log perubahan Information D...")
 
Line 1: Line 1:
Contoh Penggunaan STRIDE dalam Threat Modeling
+
==Contoh Penggunaan STRIDE dalam Threat Modeling==
 
Pada sistem akademik:
 
Pada sistem akademik:
Spoofing: akun dosen dipalsukan
+
* Spoofing: akun dosen dipalsukan
Tampering: nilai diubah
+
* Tampering: nilai diubah
Repudiation: tidak ada log perubahan
+
* Repudiation: tidak ada log perubahan
Information Disclosure: data mahasiswa bocor
+
* Information Disclosure: data mahasiswa bocor
Denial of Service: server KRS down
+
* Denial of Service: server KRS down
Elevation of Privilege: mahasiswa menjadi admin
+
* Elevation of Privilege: mahasiswa menjadi admin
 +
 
 
STRIDE memastikan tidak ada kategori ancaman penting yang terlewat.
 
STRIDE memastikan tidak ada kategori ancaman penting yang terlewat.
 +
 
STRIDE adalah alat berpikir yang kuat namun sederhana untuk memahami ancaman keamanan. Dengan STRIDE:
 
STRIDE adalah alat berpikir yang kuat namun sederhana untuk memahami ancaman keamanan. Dengan STRIDE:
ancaman dapat diidentifikasi secara sistematis,
+
* ancaman dapat diidentifikasi secara sistematis,
diskusi keamanan menjadi terstruktur dan objektif,
+
* diskusi keamanan menjadi terstruktur dan objektif,
dan analisis risiko menjadi lebih lengkap dan rasional.
+
* dan analisis risiko menjadi lebih lengkap dan rasional.
 
STRIDE mengajarkan bahwa keamanan bukan tentang paranoia, tetapi tentang memahami cara sistem bisa gagal sebelum kegagalan itu terjadi.
 
STRIDE mengajarkan bahwa keamanan bukan tentang paranoia, tetapi tentang memahami cara sistem bisa gagal sebelum kegagalan itu terjadi.
Contoh Tabel Risk Scoring (Manual)
+
 
 +
==Contoh Tabel Risk Scoring (Manual)==
 
Skala Penilaian (Disepakati di Awal)
 
Skala Penilaian (Disepakati di Awal)
 +
 
Likelihood (Kemungkinan Terjadi)
 
Likelihood (Kemungkinan Terjadi)
1 = Sangat jarang
+
1 = Sangat jarang
2 = Jarang
+
2 = Jarang
3 = Mungkin terjadi
+
3 = Mungkin terjadi
4 = Sering
+
4 = Sering
5 = Sangat sering
+
5 = Sangat sering
 +
 
 
Impact (Dampak Jika Terjadi)
 
Impact (Dampak Jika Terjadi)
1 = Dampak sangat kecil
+
1 = Dampak sangat kecil
2 = Dampak kecil
+
2 = Dampak kecil
3 = Dampak sedang
+
3 = Dampak sedang
4 = Dampak besar
+
4 = Dampak besar
5 = Dampak sangat besar / kritikal
+
5 = Dampak sangat besar / kritikal
 +
 
 
Rumus sederhana
 
Rumus sederhana
Risk Score = Likelihood × Impact
+
Risk Score = Likelihood × Impact
Tabel Analisis Risiko
 
ID Risiko
 
Aset
 
Ancaman
 
Kerentanan
 
CIA Terdampak
 
Likelihood (1–5)
 
Impact (1–5)
 
Risk Score
 
Level Risiko
 
Catatan
 
R1
 
Data nilai mahasiswa
 
Akun admin bocor
 
Password lemah
 
C, I
 
3
 
4
 
12
 
Tinggi
 
Perlu MFA
 
R2
 
Sistem KRS
 
Server down
 
Tidak ada failover
 
A
 
4
 
3
 
12
 
Tinggi
 
Gangguan akademik
 
R3
 
Database akademik
 
Ransomware
 
Backup tidak rutin
 
C, I, A
 
2
 
5
 
10
 
Tinggi
 
Risiko kritikal
 
R4
 
Akun dosen
 
Phishing
 
Edukasi rendah
 
C, I
 
4
 
2
 
8
 
Sedang
 
Perlu pelatihan
 
R5
 
Website kampus
 
Deface
 
Patch terlambat
 
I
 
2
 
2
 
4
 
Rendah
 
Dampak reputasi
 
  
  
Klasifikasi Level Risiko (Contoh)
+
{| class="wikitable"
Risk Score
+
|+ Tabel Analisis Risiko
Level Risiko
+
|-
1 – 4
+
! ID Risiko !! Aset !! Ancaman !! Kerentanan !! CIA Terdampak !! Likelihood (1–5) !! Impact (1–5) !! Risk Score !! Level Risiko !! Catatan
Rendah
+
|-
5 – 9
+
| R1 || Data nilai mahasiswa || Akun admin bocor || Password lemah || C, I || 3 || 4 || 12 || Tinggi || Perlu MFA
Sedang
+
|-
10 – 14
+
| R2 || Sistem KRS || Server down || Tidak ada failover || A || 4 || 3 || 12 || Tinggi || Gangguan akademik
Tinggi
+
|-
15 – 25
+
| R3 || Database akademik Ransomware || Backup tidak rutin || C, I, A || 2 || 5 || 10 || Tinggi || Risiko kritikal
Sangat Tinggi / Kritikal
+
|-
 +
| R4 || Akun dosen || Phishing || Edukasi rendah || C, I || 4 || 2 || 8 || Sedang || Perlu pelatihan
 +
|-
 +
| R5 || Website kampus || Deface || Patch terlambat || I || 2 || 2 || 4 || Rendah || Dampak reputasi
 +
|}
  
  
Line 108: Line 57:
  
  
 +
{| class="wikitable"
 +
|+ Klasifikasi Level Risiko (Contoh)
 +
|-
 +
! Risk Score !! Level Risiko
 +
|-
 +
| 1 – 4 || Rendah
 +
|-
 +
| 5 – 9 || Sedang
 +
|-
 +
| 5 – 9 || Sedang
 +
|-
 +
| 10 – 14 || Tinggi
 +
|-
 +
| 15 – 25 || Sangat Tinggi / Kritikal
 +
|}
 +
 +
'''Catatan penting:'''
  
Catatan penting:
 
 
Batas level dapat disesuaikan, yang penting konsisten dan logis.
 
Batas level dapat disesuaikan, yang penting konsisten dan logis.
 
Contoh Interpretasi (Untuk Laporan Mahasiswa)
 
Contoh Interpretasi (Untuk Laporan Mahasiswa)
R1 (Risk Score 12 – Tinggi)
+
 
 +
* R1 (Risk Score 12 – Tinggi) -
 
Risiko kebocoran akun admin memiliki dampak besar terhadap integrity nilai mahasiswa dan perlu diprioritaskan.
 
Risiko kebocoran akun admin memiliki dampak besar terhadap integrity nilai mahasiswa dan perlu diprioritaskan.
R3 (Risk Score 10 – Tinggi)
+
* R3 (Risk Score 10 – Tinggi) -
 
Walaupun kemungkinan tidak sering, dampak ransomware sangat besar karena melanggar seluruh aspek CIA.
 
Walaupun kemungkinan tidak sering, dampak ransomware sangat besar karena melanggar seluruh aspek CIA.
R5 (Risk Score 4 – Rendah)
+
* R5 (Risk Score 4 – Rendah) -
 
Risiko deface website berdampak terbatas dan dapat ditangani setelah risiko kritikal.
 
Risiko deface website berdampak terbatas dan dapat ditangani setelah risiko kritikal.
 +
 
Versi Ringkas (Untuk Kelas Non-Teknis)
 
Versi Ringkas (Untuk Kelas Non-Teknis)
 
Jika ingin lebih sederhana, gunakan tabel berikut:
 
Jika ingin lebih sederhana, gunakan tabel berikut:
Aset
 
Ancaman
 
Likelihood
 
Impact
 
Risk
 
Prioritas
 
Data nilai
 
Akun bocor
 
Sedang
 
Tinggi
 
Tinggi
 
1
 
Sistem KRS
 
Server down
 
Tinggi
 
Sedang
 
Tinggi
 
2
 
Website
 
Deface
 
Rendah
 
Rendah
 
Rendah
 
4
 
 
  
 +
{| class="wikitable"
 +
|+ Caption text
 +
|-
 +
! Aset !! Ancaman !! Likelihood !! Impact !! Risk !! Prioritas
 +
|-
 +
| Data nilai || Akun bocor || Sedang || Tinggi || Tinggi || 1
 +
|-
 +
| Sistem KRS || Server down || Tinggi || Sedang || Tinggi || 2
 +
|-
 +
| Website || Deface || Rendah || Rendah || Rendah || 4
 +
|}
  
 +
Skill yang Dilatih dengan Tabel Ini
  
 
Skill yang Dilatih dengan Tabel Ini
 
 
Mahasiswa belajar bahwa:
 
Mahasiswa belajar bahwa:
Risiko bukan tebakan, tetapi hasil penilaian terstruktur
+
* Risiko bukan tebakan, tetapi hasil penilaian terstruktur
Angka membantu diskusi, bukan kebenaran absolut
+
* Angka membantu diskusi, bukan kebenaran absolut
Prioritas keamanan harus rasional, bukan emosional
+
* Prioritas keamanan harus rasional, bukan emosional
Keamanan adalah keputusan, bukan sekadar teknologi
+
* Keamanan adalah keputusan, bukan sekadar teknologi
  
  

Revision as of 07:08, 13 February 2026

Contoh Penggunaan STRIDE dalam Threat Modeling

Pada sistem akademik:

  • Spoofing: akun dosen dipalsukan
  • Tampering: nilai diubah
  • Repudiation: tidak ada log perubahan
  • Information Disclosure: data mahasiswa bocor
  • Denial of Service: server KRS down
  • Elevation of Privilege: mahasiswa menjadi admin

STRIDE memastikan tidak ada kategori ancaman penting yang terlewat.

STRIDE adalah alat berpikir yang kuat namun sederhana untuk memahami ancaman keamanan. Dengan STRIDE:

  • ancaman dapat diidentifikasi secara sistematis,
  • diskusi keamanan menjadi terstruktur dan objektif,
  • dan analisis risiko menjadi lebih lengkap dan rasional.

STRIDE mengajarkan bahwa keamanan bukan tentang paranoia, tetapi tentang memahami cara sistem bisa gagal sebelum kegagalan itu terjadi.

Contoh Tabel Risk Scoring (Manual)

Skala Penilaian (Disepakati di Awal)

Likelihood (Kemungkinan Terjadi) 

1 = Sangat jarang
2 = Jarang
3 = Mungkin terjadi
4 = Sering
5 = Sangat sering

Impact (Dampak Jika Terjadi) 

1 = Dampak sangat kecil
2 = Dampak kecil
3 = Dampak sedang
4 = Dampak besar
5 = Dampak sangat besar / kritikal

Rumus sederhana 

Risk Score = Likelihood × Impact


Tabel Analisis Risiko
ID Risiko Aset Ancaman Kerentanan CIA Terdampak Likelihood (1–5) Impact (1–5) Risk Score Level Risiko Catatan
R1 Data nilai mahasiswa Akun admin bocor Password lemah C, I 3 4 12 Tinggi Perlu MFA
R2 Sistem KRS Server down Tidak ada failover A 4 3 12 Tinggi Gangguan akademik
R3 Database akademik Ransomware Backup tidak rutin C, I, A 2 5 10 Tinggi Risiko kritikal
R4 Akun dosen Phishing Edukasi rendah C, I 4 2 8 Sedang Perlu pelatihan
R5 Website kampus Deface Patch terlambat I 2 2 4 Rendah Dampak reputasi



Klasifikasi Level Risiko (Contoh)
Risk Score Level Risiko
1 – 4 Rendah
5 – 9 Sedang
5 – 9 Sedang
10 – 14 Tinggi
15 – 25 Sangat Tinggi / Kritikal

Catatan penting:

Batas level dapat disesuaikan, yang penting konsisten dan logis. Contoh Interpretasi (Untuk Laporan Mahasiswa)

  • R1 (Risk Score 12 – Tinggi) -

Risiko kebocoran akun admin memiliki dampak besar terhadap integrity nilai mahasiswa dan perlu diprioritaskan.

  • R3 (Risk Score 10 – Tinggi) -

Walaupun kemungkinan tidak sering, dampak ransomware sangat besar karena melanggar seluruh aspek CIA.

  • R5 (Risk Score 4 – Rendah) -

Risiko deface website berdampak terbatas dan dapat ditangani setelah risiko kritikal.

Versi Ringkas (Untuk Kelas Non-Teknis) Jika ingin lebih sederhana, gunakan tabel berikut:

Caption text
Aset Ancaman Likelihood Impact Risk Prioritas
Data nilai Akun bocor Sedang Tinggi Tinggi 1
Sistem KRS Server down Tinggi Sedang Tinggi 2
Website Deface Rendah Rendah Rendah 4

Skill yang Dilatih dengan Tabel Ini

Mahasiswa belajar bahwa:

  • Risiko bukan tebakan, tetapi hasil penilaian terstruktur
  • Angka membantu diskusi, bukan kebenaran absolut
  • Prioritas keamanan harus rasional, bukan emosional
  • Keamanan adalah keputusan, bukan sekadar teknologi


Pranala Menarik

Retrieved from "https://onnocenter.or.id/wiki/index.php?title=KI:_Contoh_Penggunaan_STRIDE_dalam_Threat_Modeling&oldid=73292"