Threat Tree: Bagaimana Hacker Menyusun Strategi

2025-04-20

threat-modeling

Threat Tree: Bagaimana Hacker Menyusun Strategi

Ilustrasi threat tree hacker

Threat tree itu bukan buat nanem bibit, tapi buat nanem kesadaran. Bahwa serangan siber itu ada polanya. Ada prosesnya. Dan bisa kamu petakan kalau tahu caranya.

Apa Itu Threat Tree?

Threat tree adalah diagram bercabang yang menjelaskan:

  • Tujuan akhir penyerang (root node)
  • Semua jalur yang mungkin ditempuh (branch)
  • Skenario kombinasi serangan (AND/OR)

Bayangin kayak pohon terbalik. Akarnya adalah target serangan, dan cabangnya adalah cara-cara menuju ke sana.

Kenapa Threat Tree Berguna?

Karena membantu kamu:

  • Melihat semua kemungkinan serangan dari berbagai sudut
  • Prioritaskan mitigasi berdasarkan jalur termudah
  • Komunikasikan risiko ke tim dev/non-dev dengan visual sederhana

Threat tree bikin diskusi security gak lagi penuh jargon. Tapi jelas dan masuk akal.

Contoh Sederhana: Akses Database Tanpa Izin

Tujuan penyerang: akses database tanpa login valid

Cabang kemungkinan:

  • Login sebagai admin (via credential leak)
  • Bypass auth endpoint (logic flaw)
  • SQL Injection
  • Gunakan API key bocor

Dan tiap cabang itu bisa kamu breakdown lagi jadi langkah-langkah lebih kecil.

AND vs OR di Threat Tree

Gunakan logika:

  • OR = salah satu cukup → serangan berhasil
  • AND = semua harus terpenuhi → serangan berhasil

Contoh:

  • OR: leak credential atau bypass logic
  • AND: inject script dan disable CSP dan user klik link

Dengan ini, kamu bisa tahu jalur mana yang mudah dan mana yang butuh kombinasi kompleks.

Gimana Mulai Bikin?

  1. Tentukan “goal” serangan di puncak tree
  2. Breakdown jadi beberapa jalur/cara (OR/AND)
  3. Gunakan diagram visual (pakai Lucidchart, Draw.io, atau Threat Modeling Tool)
  4. Tandai jalur yang udah dimitigasi atau masih rawan

Bonus: kolaborasi bareng tim bikin threat tree lebih kaya insight!

Penutup

Threat tree bukan teori buat akademisi. Ini alat buat kamu yang pengen mikir kayak attacker, dan nyiapin benteng lebih kuat.

Dengan threat tree, kamu gak cuma tau apa yang bisa diserang—tapi juga bagaimana dan seberapa sulitnya.

Karena hacker juga mikir strategis. Masak kamu enggak? 😉

Konten Terkait :

Threat Modeling di Proyek Kecil? Perlu Gak Sih?

Threat Modeling di Standup Meeting? Bisa!