T2

Bab 3. Perangkat lunak, perangkat bantu yang menerapkan konsep tersebut Serangan pohon pemodelan perangkat lunak Beberapa paket komersial, dan setidaknya satu produk open source, tersedia. Seamonster (open source)

Seamonster adalah pemodelan alat keamanan terus dikembangkan oleh komunitas open source memimpin oleh SINTEF. Fitur unik dari Seamonster adalah bahwa ia mendukung notasi dan teknik pemodelan yang ahli keamanan dan analisis sudah akrab dengan, yaitu menyerang pohon dan kasus penyalahgunaan, dan elemen link model umum bersama-sama melalui repositori terpusat (the SHIELDS SVRS). Dalam repositori ini adalah mungkin untuk meng-upload, download dan mencari model Seamonster. Pemodelan Keamanan sering dilakukan dengan menggunakan beberapa alat gambar tujuan umum (atau sementara ditulis di papan tulis terdekat). Tujuan menciptakan Seamonster adalah untuk mengembangkan platform, bebas umum untuk keamanan pemodelan yang dapat digunakan oleh para ahli keamanan serta pengembang dan yang akan memfasilitasi penggunaan kembali model. Tujuan jangka panjang adalah untuk meningkatkan pemahaman umum tentang ancaman / serangan, kerentanan dan kegiatan keamanan, dan mengurangi jumlah waktu yang dibutuhkan untuk model keamanan dengan memfasilitasi pertukaran dan penggunaan kembali model keamanan melalui Seamonster. Seamonster dimulai pada tahun 2007 oleh SINTEF, dan telah dikembangkan bersama-sama dengan mahasiswa di Universitas Norwegia Sains dan Teknologi (NTNU). Dari 2008-2010 itu terus dikembangkan sebagai bagian dari proyek Shields (7 Kerangka Masyarakat Eropa program, hibah ada kesepakatan 215.995). Untuk panduan tentang cara membuat, menggunakan dan menggunakan kembali model ancaman selama pengembangan perangkat lunak, membaca panduan Pendekatan Perisai. Panduan ini juga menjelaskan cara menggunakan pemodelan ancaman sebagai masukan untuk kegiatan lain untuk meningkatkan keamanan perangkat lunak, seperti inspeksi keamanan, analisis statis dan aktif / pasif pengujian. Teknologi Seamonster didasarkan pada Eclipse, yang pada dasarnya merupakan platform aplikasi di mana satu set yang sangat besar plugin dapat ditambahkan sesuai dengan kebutuhan pengguna. Tiga utama kerangka plugin Eclipse Seamonster manfaat dari adalah Kerangka Modeling Graphical (GMF), Kerangka Modeling Eclipse (EMF) dan Kerangka Editing Grafis (GEF). GMF adalah sebuah kerangka kerja untuk mengembangkan editor Eclipse grafis, dan fungsi sebagai jembatan antara EMF dan GEF. AttackTree + dari Isograph

APAKAH SERANGAN ANALISIS POHON? Pohon serangan memungkinkan ancaman terhadap keamanan sistem yang akan dimodelkan secara singkat dalam format grafis. Efektivitas keamanan internet, keamanan jaringan, keamanan sistem perbankan, instalasi dan personil keamanan semua dapat dimodelkan dengan menggunakan pohon serangan. Dengan peningkatan risiko serangan teroris pada keamanan tanah air, serangan hacking pada sistem komputer dan komputer berbasis penipuan pada sistem perbankan, AttackTree + adalah alat yang berharga untuk desainer sistem dan personel keamanan. AttackTree + menyediakan metode untuk model ancaman terhadap sistem dengan cara yang mudah untuk memahami grafis. Jika kita memahami cara-cara di mana sistem bisa diserang, kita dapat mengembangkan tindakan untuk mencegah serangan-serangan mencapai tujuan mereka. Agar serangan berhasil, serangan itu harus dimulai dan berbagai hambatan diatasi oleh penyerang. Mungkin ada cara yang berbeda di mana individu atau tim dapat me-mount serangan pada sistem dan mungkin ada berbagai tingkat pertahanan terhadap berbagai jenis serangan. Serangan pohon memberikan representasi grafis tentang bagaimana serangan mungkin berhasil dan memungkinkan analisis probabilistik yang serangan yang paling mungkin berhasil. Metodologi juga dapat mengungkapkan kerentanan dari sistem anda, di bawah kendala tertentu. Sebagai contoh, apa cara yang paling mungkin di mana serangan akan berhasil dalam tujuannya dengan biaya yang relatif rendah untuk penyerang? MENGGUNAKAN + ATTACKTREE UNTUK MODEL ANCAMAN AttackTree +, melalui penggunaan model pohon serangan, memungkinkan pengguna untuk memodelkan kemungkinan bahwa serangan yang berbeda akan berhasil. AttackTree + juga memungkinkan pengguna untuk menentukan indikator yang mengukur biaya dari serangan, kesulitan operasional pemasangan serangan itu dan setiap tindakan diukur lain yang relevan yang mungkin menarik. Pertanyaan seperti 'yang memiliki serangan probabilitas keberhasilan tertinggi dengan biaya rendah untuk penyerang?' Atau 'yang memiliki probabilitas serangan tertinggi keberhasilan tanpa peralatan khusus yang diperlukan? "Dapat dijawab dengan menggunakan + AttackTree. Dalam AttackTree +, kategori yang berbeda dan tingkat konsekuensi juga dapat ditugaskan untuk node di pohon serangan. Sebuah serangan yang sukses mungkin memiliki keuangan, konsekuensi politik, operasional dan keselamatan. Sebuah serangan sebagian berhasil mungkin memiliki tingkat yang berbeda dari konsekuensi terhadap serangan benar-benar sukses. Semua jenis ukuran konsekuensi dapat dimodelkan dalam AttackTree +. SecurITree dari Amenaza Teknologi

SecurITree ® Serangan Pohon Analisis Perangkat Lunak SecurITree adalah perangkat lunak yang diciptakan tegas untuk menganalisis ancaman yang bermusuhan menggunakan analisis serangan pohon. Hal ini tidak lain berasal dari produk analisis tujuan pohon umum. Desain SecurITree adalah hasil dari lebih dari sepuluh tahun R & D oleh Amenaza Technologies Limited dikombinasikan dengan saran dan komentar dari pelanggan terkemuka di bidang kedirgantaraan, pertahanan dan intelijen. Tidak ada alat yang tersedia secara komersial lain yang menawarkan serangan lebih lengkap fungsi pohon analisis. SecurITree juga menyediakan kemampuan pohon kesalahan analisis dan mampu serangan model yang merupakan kombinasi dari faktor bermusuhan dan acak. SecurITree menggunakan pendekatan, segar baru untuk penilaian ancaman risiko. Menggunakan antarmuka grafis SecurITree itu, analis membuat model yang menggambarkan sistem mereka dan ancaman yang (bermusuhan dan non-bermusuhan). SecurITree mengevaluasi model serangan dan menghasilkan daftar skenario serangan - cara yang berbeda di mana aset dapat diserang. Setiap skenario serangan secara obyektif dinilai menggunakan tiga faktor untuk memperkirakan probabilitas itu akan digunakan oleh musuh: 1. Sifat kerentanan target 2. Musuh kekuatan dan sumber daya 3. Sejauh mana serangan memenuhi tujuan musuh Pendekatan ini menggabungkan "berpikir seperti seorang penyerang" filosofi yang digunakan oleh Tim Merah militer dengan kemampuan analitis model teknik yang digunakan dalam disiplin lain. Hal ini kadang-kadang dikenal sebagai kemampuan berbasis analisis, serangan pohon. Risiko ≡ Probabilitas Insiden × Dampak Insiden Sebagai menunjukkan persamaan definisi risiko, mengetahui bagaimana Anda akan diserang hanya setengah dari persamaan risiko. Analis berikutnya harus memasukkan informasi dampak bisnis yang spesifik ke dalam model pohon serangan. Kombinasi serangan probabilitas dan dampak korban memberikan ukuran yang benar risiko dan memungkinkan baik beralasan, keputusan keamanan dipertahankan harus dibuat. Proses analisis awal mengidentifikasi situasi dan skenario di mana tingkat risiko yang lebih tinggi daripada diterima. Dengan mempelajari skenario disorot analis mengusulkan sejumlah strategi mitigasi risiko yang mungkin. Ini mungkin melibatkan perubahan proses dan prosedur, atau pelaksanaan kontrol keamanan. Sebelum pergi melalui biaya dan upaya menerapkan kontrol terbukti, analis menggabungkan mereka ke dalam model SecurITree dan mengevaluasi ulang risiko. Jika kontrol yang efektif, risiko akan turun secara signifikan. Dengan membandingkan penanggulangan berbeda analis dapat mengidentifikasi orang-orang yang baik efektif dan hemat biaya. Hanya ketika hasilnya diketahui akan kontrol diimplementasikan di dunia nyata. Model SecurITree mudah didistribusikan untuk peer review dalam banyak cara yang sama seperti cetak biru sebuah bangunan yang diperiksa oleh beberapa insinyur. Efektivitas langkah-langkah yang diusulkan dapat ditunjukkan sebelum pelaksanaan, sehingga menjamin penggunaan yang bijaksana dari sumber daya. SecurITree memungkinkan Anda untuk memperkirakan ROI langkah-langkah keamanan yang diusulkan, sehingga menjamin dukungan pengambil keputusan. SecurITree menangkap dan dokumen proses berpikir yang masuk ke proses pengambilan keputusan - bagian penting dari menunjukkan due diligence. Minutes of Meeting (MoM) Tanggal Pertemuan : 11 November 2013 Tempat : Kampus E Gunadarma Pembicaraan : 1. Perangkat lunak bantu yang menerapkan konsep tersebut 2. Pada tanggal 14 November 2013 akan ada pertemuan kembali di WhatsApp Conversation