Difference between revisions of "KI: Contoh Penggunaan STRIDE dalam Threat Modeling"
Jump to navigation
Jump to search
Onnowpurbo (talk | contribs) |
Onnowpurbo (talk | contribs) |
||
| Line 78: | Line 78: | ||
Contoh Interpretasi (Untuk Laporan Mahasiswa) | Contoh Interpretasi (Untuk Laporan Mahasiswa) | ||
| − | * R1 (Risk Score 12 – Tinggi) - | + | * R1 (Risk Score 12 – Tinggi) - Risiko kebocoran akun admin memiliki dampak besar terhadap integrity nilai mahasiswa dan perlu diprioritaskan. |
| − | Risiko kebocoran akun admin memiliki dampak besar terhadap integrity nilai mahasiswa dan perlu diprioritaskan. | + | * R3 (Risk Score 10 – Tinggi) - Walaupun kemungkinan tidak sering, dampak ransomware sangat besar karena melanggar seluruh aspek CIA. |
| − | * R3 (Risk Score 10 – Tinggi) - | + | * R5 (Risk Score 4 – Rendah) - Risiko deface website berdampak terbatas dan dapat ditangani setelah risiko kritikal. |
| − | Walaupun kemungkinan tidak sering, dampak ransomware sangat besar karena melanggar seluruh aspek CIA. | ||
| − | * R5 (Risk Score 4 – Rendah) - | ||
| − | Risiko deface website berdampak terbatas dan dapat ditangani setelah risiko kritikal. | ||
Versi Ringkas (Untuk Kelas Non-Teknis) | Versi Ringkas (Untuk Kelas Non-Teknis) | ||
| Line 107: | Line 104: | ||
* Prioritas keamanan harus rasional, bukan emosional | * Prioritas keamanan harus rasional, bukan emosional | ||
* Keamanan adalah keputusan, bukan sekadar teknologi | * Keamanan adalah keputusan, bukan sekadar teknologi | ||
| − | |||
==Pranala Menarik== | ==Pranala Menarik== | ||
* [[Keamanan Informasi: Kuliah]] | * [[Keamanan Informasi: Kuliah]] | ||
Latest revision as of 07:09, 13 February 2026
Contoh Penggunaan STRIDE dalam Threat Modeling
Pada sistem akademik:
- Spoofing: akun dosen dipalsukan
- Tampering: nilai diubah
- Repudiation: tidak ada log perubahan
- Information Disclosure: data mahasiswa bocor
- Denial of Service: server KRS down
- Elevation of Privilege: mahasiswa menjadi admin
STRIDE memastikan tidak ada kategori ancaman penting yang terlewat.
STRIDE adalah alat berpikir yang kuat namun sederhana untuk memahami ancaman keamanan. Dengan STRIDE:
- ancaman dapat diidentifikasi secara sistematis,
- diskusi keamanan menjadi terstruktur dan objektif,
- dan analisis risiko menjadi lebih lengkap dan rasional.
STRIDE mengajarkan bahwa keamanan bukan tentang paranoia, tetapi tentang memahami cara sistem bisa gagal sebelum kegagalan itu terjadi.
Contoh Tabel Risk Scoring (Manual)
Skala Penilaian (Disepakati di Awal)
Likelihood (Kemungkinan Terjadi)
1 = Sangat jarang 2 = Jarang 3 = Mungkin terjadi 4 = Sering 5 = Sangat sering
Impact (Dampak Jika Terjadi)
1 = Dampak sangat kecil 2 = Dampak kecil 3 = Dampak sedang 4 = Dampak besar 5 = Dampak sangat besar / kritikal
Rumus sederhana
Risk Score = Likelihood × Impact
| ID Risiko | Aset | Ancaman | Kerentanan | CIA Terdampak | Likelihood (1–5) | Impact (1–5) | Risk Score | Level Risiko | Catatan |
|---|---|---|---|---|---|---|---|---|---|
| R1 | Data nilai mahasiswa | Akun admin bocor | Password lemah | C, I | 3 | 4 | 12 | Tinggi | Perlu MFA |
| R2 | Sistem KRS | Server down | Tidak ada failover | A | 4 | 3 | 12 | Tinggi | Gangguan akademik |
| R3 | Database akademik Ransomware | Backup tidak rutin | C, I, A | 2 | 5 | 10 | Tinggi | Risiko kritikal | |
| R4 | Akun dosen | Phishing | Edukasi rendah | C, I | 4 | 2 | 8 | Sedang | Perlu pelatihan |
| R5 | Website kampus | Deface | Patch terlambat | I | 2 | 2 | 4 | Rendah | Dampak reputasi |
| Risk Score | Level Risiko |
|---|---|
| 1 – 4 | Rendah |
| 5 – 9 | Sedang |
| 5 – 9 | Sedang |
| 10 – 14 | Tinggi |
| 15 – 25 | Sangat Tinggi / Kritikal |
Catatan penting:
Batas level dapat disesuaikan, yang penting konsisten dan logis. Contoh Interpretasi (Untuk Laporan Mahasiswa)
- R1 (Risk Score 12 – Tinggi) - Risiko kebocoran akun admin memiliki dampak besar terhadap integrity nilai mahasiswa dan perlu diprioritaskan.
- R3 (Risk Score 10 – Tinggi) - Walaupun kemungkinan tidak sering, dampak ransomware sangat besar karena melanggar seluruh aspek CIA.
- R5 (Risk Score 4 – Rendah) - Risiko deface website berdampak terbatas dan dapat ditangani setelah risiko kritikal.
Versi Ringkas (Untuk Kelas Non-Teknis) Jika ingin lebih sederhana, gunakan tabel berikut:
| Aset | Ancaman | Likelihood | Impact | Risk | Prioritas |
|---|---|---|---|---|---|
| Data nilai | Akun bocor | Sedang | Tinggi | Tinggi | 1 |
| Sistem KRS | Server down | Tinggi | Sedang | Tinggi | 2 |
| Website | Deface | Rendah | Rendah | Rendah | 4 |
Skill yang Dilatih dengan Tabel Ini
Mahasiswa belajar bahwa:
- Risiko bukan tebakan, tetapi hasil penilaian terstruktur
- Angka membantu diskusi, bukan kebenaran absolut
- Prioritas keamanan harus rasional, bukan emosional
- Keamanan adalah keputusan, bukan sekadar teknologi