Indonesi an  Journa of El ect ri cal Engineer ing  an d  Comp ut er  Scie nce   Vo l.   23 ,  No.   3 Septem ber   2021 , pp.  1643 ~ 1653   IS S N: 25 02 - 4752, DO I: 10 .11 591/ijeecs .v 23 .i 3 . pp 1643 - 1653          1643       Journ al h om e page http: // ij eecs.i aesc or e.c om   Vuln erab ility and  risk as sess m ent  for ope rating  sys tem (OS with fra mework  STRIDE : compa riso n b etween Vu lnOS  and   Vuln ix       Ad it yas Wid j ajarto M uh ar man  L ubis V resel iana A yuni ng t yas   Depa rtment  o I nform at ion  S y s t em,  School   of  In dustria l   Engi n eering,   Telkom   Univer sit y ,   Indon esia       Art ic le  In f o     ABSTR A CT   Art ic le  history:   Re cei ved   Oct  27, 202 0   Re vised Jul  28,  2021   Accepte d Aug  4,   2021       The   rap id  dev elopm ent   of  informati on  te chno lo g y   has  m ade   sec urity   b ec om ext remel y .   Apar from   ea s y   acc ess,  the re   are  als thre at to  vu l ner abilities,   with  the   num ber   of  c y b er - a tt a cks  in  2019  show ed  tot a of  1, 494 , 281  aro und  the   world   issued   b y   th n at io n al   c y b er  and  cr y pt age n c y   (BSS N)  hone y ne t   proje c t.   Thus,   v ulne rab il i t y   an aly sis  should  b conduc t ed  to   pr epa re   wors ca se  sc ena r io  b antici p at ing   wit prope str ateg y   fo responding   the  atta cks.   Actua l l y ,   vuln er abi lit y   is  s y st e m   or  design  we akne ss   tha is  used  when  an   int rude execut e comm and s,  ac ce ss es  unau tho riz ed  d ata,   and   ca rri es  out   deni a of  service  at t ac ks.  Th stud y   was  per for m ed  using  the   Alie nVaul t   software   as  the   vulne rab il i t y   assess m ent .   The   re sults  were   ana l ysed  b y   the  form ula   of  risk  e stim at ion  equ al   t the   num ber   of   vulne rab il i t y   fou nd  rel a te d   to  the   thre a t.   Mea nwhile,  thr ea is  obta in ed   from   ana l y s is  of  sam ple  walkt hroughs,  a ref er ence  fo fre quent  expl o it ation.   The   r isk  esti m at io n   result   ind ic a te   t he  73  (seve n t y   t hre e)  for  the   h i ghest  score   of  5   (five t y pe   risks  ide nti fi ed  while   later   on ,   it   is  used  for   re - anal y zi ng  b ase on  the  spoofing,   ta m pe ring,   rep ud ia t ion ,   informati on  d i sclosure ,   den ial  of  servic e ,   and  eleva t ion  of   prvil eg (STRI DE)  fra m ework  tha indi c ated  t he  net work   func ti on   does  no a cc om m odat e t he  ex isti ng  t y pes   o risk   namel y   s poofing.   Ke yw or ds:   Assesm ent   Op e rati ng syst e m   Ri sk   Scan ning   Vu l ner a bili ty   This   is an  open   acc ess arti cl e   un der  the  CC  B Y - SA   l ic ense .     Corres pond in Aut h or :   Ad it ya W i djaja rto   Dep a rtm ent o f Info rm at ion   Syst e m   Tel ko m  U ni versi ty   Jln.  Tel e ko m unikasi  N o.   1, Ba ndung,  40257, I ndonesi a   Em a il : adtwj rt @tel ko m un ive rsity .ac.id       1.   INTROD U CTION     The  de velo pme nt  of   the  I nte rn et   in  inf or m at ion   te chnolo gy  (I T is  devel op in ve ry  f ast   al on with   the  gro wth  of   i ts  us ers Like w ise the  le vel  of   crim in  inf orm at ion   te chnol og is detrim e ntal  to  it us er s both  ind ivi du al s an or gan iz at io ns.  I nfor m at ion   secur it is  the  protect ion   of  c om pu te eq uipm ent,  facil it ie s data ,   and   in form at io from   m isuse  of   una uthorize or   un a uthor i zed  par ti es.  T he   ro le   of   in for m at ion   secur it fo a orga nizat ion   is   to  prov i de  inf or m at ion   prote ct ion   from   var iou t hr eat in  order   to  e nsure   bu si ness  co ntinu it y,  reduce  busines risks,  inc rea se  retu rn  on  i nv e stm ent  (R OI),  a nd  inc re ase  business   oppo rtu ni ti es  [1] [2 ] .   Inform at ion   se cur it is  a e f fort  to   antic ip at fr a ud  th r ough  t he  detect ion  ste by  st ep  process   wit hin  an  inf or m at ion - ba sed  syst e m   reg ard le ss  it bounda ry  and   li m i ta ti on The  as pe ct that  m us t   be  m e in  a   sys tem   to   ens ur i nfor m at ion   sec ur i ty   ar the  in f or m at i on  pro vi ded  is  accurate  a nd  c om plete   as  the  rig ht  or  ver ifie a nd  validat ed  i nform at ion w hich   is  accounta bl or   held  by  the  rig ht  pe op le   that  can  be   acce ssed  a nd   us e accor ding  t the  need  at   the   rig ht  tim e,  an prov i des  i nfor m at ion   in   t he   rig ht  f or m at   or   f or m   based   on  the   agr eea ble m ann er .   Evaluation Warning : The document was created with Spire.PDF for Python.
                          IS S N :   2502 - 4752   Ind on esi a J  E le c Eng &  Co m Sci,   Vo l.   23 , N o.   3 Se ptem ber   20 21 :   1643   -   16 53   1644   Inform at ion   secur it m anag e m ent  is  an  act i vity   to  keep   in form ation   res ources  sa fe.  Ma nag em ent  i s   no only   exp e ct ed  to  keep   i nfor m at ion   res ources  safe but  al so   exp ect ed  to  kee the  i m ple m ented  syst e m   functi onin after  disaste or  secur it syst e m   br eaks.  T he  sta ges  in  inf orm at ion   m anage m ent  are  iden ti fyi ng   threats  that  can   at ta ck  com pan info rm at ion   r eso ur ces  a nd   t hen   def i ning  th risks   that  can   be  cause by  these  threats.  Ne xt  is  determ ining   an  inf o rm at ion   secur it po li cy   and   im ple m en ti ng   co ntr ols  to  address  these  risks.   Vu l ner a bili ty   scann i ng  detect an ide ntifie s   know issue of   softwa re  a nd  to ols  in sta ll ed  on   t he  host  s uch  as   old e ve rsions  of   t he  s of twa re   in  us e act ive  protoc ol  vulne rab il it ie s,   an sta nd a rd  pass w ords.   This  act i vity   is  diff ic ult  to  do   m anu al ly hence  this  ph ase  i perform ed  us ing   an  a uto m ated   too w hic identifie ope ports  and  trie var i ous  e xp l oits  on   the  port  to   identify   if   pa rtic ular  proce ss/sof t war e   is  us in port  t hat  i vu l ner a ble  to   exp l oits  base on  it pr ocess S om of   the   too ls  us e t perform   vu lne rab il it scann i ng  are   Ness us , O penVas, an d Q ualy s [ 3].   In   2019  the  num ber   of   vuln erab il it ie incr eased  by  17. 6%   by  20  [ 4],  wh ic is  sup porte by  the  vu l ner a bili ty   sta ti st ic release by  Re sear ch  La bs a pp l ic at ion   sec ur it and  data  s ecur it y.  I nfo r m at ion   te chnolo gy  sec ur it is  need e to  increase  e ffi ci ency  in  cy be rsp ace  secu rity m on it or in g,   a nd   a naly sin threats   and  inci den ts   that  e xist  in   inf or m at ion   t echnolo gy  sec ur it y,  w hic t he  functi ons  t hat  ca be  use is   vu l ner a bili ty   scann i ng   t detect and   i den ti fies  know pr oble m with  so f tware  a nd   t oo l instal le on  t he  host  [3 ] . O ne  w ay  to  re spo nd quic kly t o protec t t he  I T assets,  m ai ntain aw a re ne ss of e nv i ron m ental  v uln e ra bili ti es,   and  m i ti gate  pote ntial   threats   is  to  us it   sy stem at ic a ll y.  This  is  the   pr oc ess  f or  ide ntif yi ng   a nd  m eas ur i ng   secur it vu l ne rab il it ie in  t he  orga nizat ion ' env i ronm ent  as  com pr ehen sive  pro gr am   to  pr ovide   orga nizat ion with  the  know le dg e,   awa ren e ss,  an risk  ba ckgr ound  to  unde rstan a nd  respo nd   a gai nst   the  env i ronm ental  threats Ba se on  the   bac kgr ound  desc rib ed  a bove se ve ral  pr ob le m to  be   re so l ved  in  t his   stud can  be  f or m ulate by  si m ulati ng   vu l ne rab il it scanni ng   with  the  A li enV ault  an Qu al ys  (m irro r ing   the  scenari o)   s of t war on   t he  V ulnOS,  Vu l nix,  an direct  cu rr e nt - ( DC - 1)  (f or  the  pur pose  of  sh a dow ing   th e   resu lt operati ng  syst em to  help  ide ntify  vu lnera bili ti es.  Com par ison  of  t he  re su lt of   vulne rab il it scann i ng  in  Alie nVault   and   Q ualy so ftwar a nd  ri sk   sc or gr a ph  can  hel ident ify   the  ty pes  of  at ta cks  an threats   that of te occ ur. Mean w hile, the STRI DE fra m ewo r an al ysi s d evel op e by  Mi cro soft i s to  analy ze the thr ea t   at ta ck  on t he w al kth r ough.       2.   RESEA R CH MET HO D   Actuall y,  threa can  be   def in ed  as  the  at tem pt   to  exp loit   the  ben efit   from   the  secur it weak nes s e s   within  certai inf or m at ion   based   syst e m   fo r   certai per io of   tim e,  wh ic i m plica te to  the  neg at ive  im pac t   for  the  en vir onm ent  in  the  sh ort   an lo ng   run.   T her e f or e it   can  com fr om   two  m ain   sou rces,  wh i ch  are   hu m ans  bo t exter nal  and   int ern al   as  well   throu gh   nat ur al   threats  nam el earth qu a kes,  hurric anes flo ods ,   an fires  [ 5].  Me an wh il e,  ris is  de fine as  the  pote ntial   loss,  dam age,  or   dam age  to  asset a resu lt   of  th reats   exp l oiti ng   vu l ne rab il it ie su ch   as  fina ncial   loss,  loss  of   pr i va cy dam age  to  reputat ion,  le ga i m plica t ion s ,   an even  loss   of   li f e.  It  ca al so  be   de fine as   th res ult  of  m ulti plica ti on   bet ween  vul ner a bi li t and  th reats.  O the o the r han d, pen et rati on  tes ti ng  ensu res  th at  the test  created is m at eria li z ed  or com plete d.   Give that i s  p art   of   la r ger   sec ur it program on m us inclu de  othe safety   char act erist ic s   to  al ign   the  te st  with  dem and   as  dr i ver   [ 6].  vulne rab il it m achine  is  an  operati ng  syst em   crea te with  weak   sec ur it vu lne ra bili ti es   and   i s   us ua ll us ed  f or   at te m pted  at ta cks.   V ulnO is  su it of   vu l ner a ble  ope rati ng   syst em s   pack a ge in  a   virtu al   i m age  to  i m pr ov pe netrati on  te sti ng V ulnOS  wa create by  the  a utho id  with  the  nam c4b 3rw 0lf wit the  Lin ux  ba se   operati ng  syst e m   and   ca be   dow nlo a de on  the  V ulnhub  web sit [4 ] V uln e rab le   li nu hosts  with  c onfig ur a ti on   flaws.  V ul nix   is  m ade  wi th  the  nam Hack L AB:  V ulni an c reated   by  the  us e id   rebo ot  us er with  the  basic  operati ng  syst e m   Ub untu   ser ve 12. 04   a nd   ca be   down l oad e on  the  vuln hub  web sit e   wh il DC - is  vulnera ble  m achine  t hat  is  deliberatel cr eat ed  f or   t he  pur pose  of  gaini ng   ex per ie nce  in  the   world  of  pe net rati on   te sti ng.   DC - is  m ade  by  DC AU  aut hor  i with  the   nam DC:  1,   with  t he   De bia 32   bit   op e rati ng syst e m  an can  be d ownloa de d on  the vuln hub w ebsite .   STRIDE  is  a   m od el - based  t hr eat   m od el in te c hn i qu e   de velo ped  by  m ic ro soft  that   al so   guides   secur it analy s is  throu gh  the  act ivit ie that  m us be  carrie out  f or  the  proces to  b ef fecti ve.   Si ty pes  of  secur it threats   inclu de  s poof i ng   at ta cks  occ ur   w hen   a at t acker  pret en ds   to  be  s om eon they   are  no [7 ] - [ 9].   It  is  ty pical ly   us ed  to  gain   acc ess  to  ta r get' per s onal   inf or m at ion w hich  sp rea ds   m al war via  i nf ect ed   li nk or   at ta chm ents,  bypasses  net w ork  acce ss  co nt ro ls,  or  re distr ibu te traf fic  to  carry  out  at ta cks  [ 10 ] - [ 14] The n,   tam per ing   occ ur w hen  at ta cker s   m od ify   or  edit  offici al   inf or m at ion   an re pudiati on  occurs  at   the   tim of   so m eon ex ec ute  certai a ct ion   w hile  la te o try   t cl a i m   the  oth er w ise It  usual ly   com es  down  to  the  sp eci fic  act ivit pr ocess  s uch  as  cred it   card   transacti ons  w her use rs  bu y   so m e thing   an then  cl ai m   they   did  no t ob ta i c ertai ben e fit  [ 15 ] - [ 18 ] O i nfor m at ion   disclosure,  data  breac hes   or  una uthorize acce ss  to   confide ntial   inform ation   an den ia of  ser vice  (DoS)   relat ed  to  creati ng  serv ic inter r upti ons  for  le gitim at e   us ers   a nd  m os rece ntly   relat ed  to   el evati on  of  pri vilege   to  gain  hi gh e pr i vileged   acce ss   to  syst em   el e ments   Evaluation Warning : The document was created with Spire.PDF for Python.
Ind on esi a J  E le c Eng &  Co m Sci     IS S N:  25 02 - 4752       Vuln er abil it y and ri sk  as sess men t f or   opera ti ng  s yst e ( O S)  wi th fram ew or k …  ( Adity as  Wi dja jart o )   1645   by  us ers  with  li m i te auth or it y.  On   the  ot her  hand,   inter net  protoc ol  ( IP )   a data  ro utin prot oco is  the  ke y   to  the  co nv e rgence  with  ho m og e ne ous  an flat   interco nn e ct ion   proce sse with  si m ple  syst e m   design   can   le ad  to  the  l ower  net work   m anag em ent  cost [19]. N et w ork   de velo pm ent  hubs   a re  ass oc ia te with  m obil ity  to   ens ur netw or a vaila bili ty   fo co nnect ed  e ntit ie in  m oti on  an res ourc es  in  st or a ge  a nd  com pu te   volum es,  especial ly   in  par al le com pu ti ng,  net work  com pu ti ng a nd   cl oud  c ompu ti ng,  w hich  in  the  en s houl b protect ed  a nd  m ai ntaned  i a t al l cost [ 20 ] - [ 24] .   At  the  re view   sta ge,   ide ntific at ion   will   be  c arr ie out  by  de sign i ng   t de s cribe  the  pla nning   to   so l ve  the  pro blem T he  nee ds   us e in  this  researc are  the  vulne rab le   m achine  op e rati ng  syst em s   Vu ln OS V ul ni and   DC - 1 ,   a nd  the  s of t war e   us e are  Alie nV a ult  an Qu al ys.  Me a nwhile at   the  data  colle ct ion  sta ge ,   execu ti on  will   be  car ried  ou with  va riable   m achine  an r el at ed  so ft ware,  then  vulnera bili ty   scann in will  be  ca rr ie ou and  the   colle ct ed  data  will   be   obta ine the us e f or  r esear ch  a naly sis.  At  the  a naly sis  st age ,   the  outp ut  vuln erab il it scanni ng   will   be  car ried  ou on   Alie nV a ult  an Q ualy to  ide ntif the  ty pes  of   t hr ea t   at ta cks  that  hav bee coll ect ed  durin the  colle ct ion   sta ge.   The  dat ob ta in e is  then  car ried  out  by  cal culat ing   t he   risk,  wh ic will   be  a naly zed  base on  t he  STR IDE  f r a m ewo r k.  I t he  fi nal  sta ge ,   the  interp retat ion   will   con sist   of  con cl us i on   on   the  researc that  has  bee done  a nd  sugg e sti on th at   can  be   giv e f r om   the  res ults  of  ris analy sis  on  vulne rab le   m achines  us i ng   t he   vulnera bili ty   scan ning  f eat ur on   Alie nV a ult a nd Qualy s.   The  fo ll owin T able s   a nd  is  an   ex planati on  of  t he  hard war e   sp eci ficat ion   a nd  s of t wa re  f unct ions   us e d,   incl ud i ng  W i ndows  10  Enter pr ise an   op e rati ng  syst e m   that  pr ovi de al the  featu res  of  W i ndows  10   Pr o,  with  a dd i ti on al   featu res   to  help  inf or m at ion   te chnolog ( IT - base d )   organ iz at io ns .   W i ndows  10  in  this  case,  is  us e a the  operati ng  syst em   on   t he  m ai hard war e Me an w hi le Deb ia as   com pu te op e rati ng  syst e m   co m posed  of  s of twa r pac kages  release as   f ree  a nd  ope s of t w are  under  the   m ajo rity   li cens of  the   GNU  gen e ral  public  li cense  and  ot her   fr ee  so ft war li cen s es.  I this  a nal ysi s,  Deb ia is   us e as  t he  op erati ng  syst e m   on   VirtualBo on   w hich  Al ie nV a ult  is  base d.   Me a nwhile U buntu  is  an  op e sour ce  operati ng  sy stem   distrib uted  Lin ux  base on  Deb ia a nd  ha de sk t op   i nterf ace In   t hi analy sis,  U buntu  is  use as  th e   op e rati ng  syst e m   on   Virtual Box   on   w hic V ulnOS  is  base d,   serie of   vulne ra ble  o pe rati ng   s yst e m s   pack a ge in  virtu al   im ages  a nd   us e to  im pr ove  pe netrati on  te sti ng   s kill s.   Vu l nOS  is  us e as  an  obj ect   t hat  is  analy zed  by  ea ch  of  the  open   so urce  SI EM  too ls.  Vu l nix   is  Linu host  that  is  vu lner able  to  co nf ig ur at i on   flaws.  T he  DC - is  vu l ner a ble  m achine  de sign e for  t he   pur pose  of  ga ining  e xp e rience  in   the   w orl of   pen et rati on   te s ti ng VirtualB ox   is  virtu al iz at ion   softwa re   that  can  be  use to  e xecu te   add it io nal  op erati ng   syst e m within  the  m ai op e r at ing   syst em In   this  a naly sis,   Virtua lB ox  is  instal le on  W indows  10  a nd   us e to  r un   se ve ral  op e rati ng  syst em s.  Alie nV aul is  com pr eh ensive  sec uri ty   syst e m   that  includes  open  source   from   detect ion   to  ge ne rati ng  m et rics  and   re ports  to  t he  e xe cutive  le vel.   I this  a naly sis,   Alie nVault   is  us e d   to  analy ze the  vu l ner a bili ty  o ea ch vu l ner a ble  m achine. Qu al ys i s a co m m er ci al  scann e r w eb  a pp li cat ion,  wh ic can  be  us e to   find,  ide ntify ,   and   asse ss  vu lnera bili ti es  so   they   can  be  pri or it iz ed  a nd   f ixed  befor t he ar e   ta rg et ed  and e xploit ed by at ta cke rs .       Table  1.   Hard war e  sp eci ficat ion   Co m p o n en t   Hardwar e   Sp ecif icatio n   Co re  Hardwa re  Sp ecif icatio n   Proces so r   Intel® Co re ™  i7 - 7 5 0 0 U du al - co re  2 .7GHz (8 CP Us),  ~  2.9 GHz   Me m o r y   8 1 9 2 MB RAM   Hard Disk   1  T B   Sy ste m  T y p e   64 - b it Operatin g  Sy ste m ,  x6 4 - b ased   p rocess o r   Op erating  Sy ste m   W in d o ws 1 0  E n ter p rise 64 - b it ( 1 0 B u ild  17 1 3 4 )   1 st   VM  Vir tu alBo x  sp ecif icatio n   Proces so r   Intel® Co re ™  i7 - 7 5 0 0 U du al - co re  2 .7GHz (1 CP Us),  ~  2.9 GHz   Me m o r y   4 0 9 6 MB RAM   Hard Disk   3 2  GB   Sy ste m  T y p e   64 - b it Operatin g  Sy ste m   Op erating  Sy ste m   Deb ian  GNU/ Linu x  8 (jessie) 64 - b it   2 nd   VM  VirtualB o x  sp ecif icatio n   Proces so r   Intel® Co re ™  i7 - 7 5 0 0 U du al - co re  2 .7GHz (8 CP Us),  ~  2.9 GHz   Me m o r y   7 8 6  M B   Hard Disk   3 2  GB   Sy ste m  T y p e   64 - b it Operatin g  Sy ste m   Op erating  Sy ste m   Ub u n tu   1 4 .0 4 .6 LT S 64 - b it /  Vu ln O S v2   3 rd   VM  VirtualB o x  sp ecif icatio n   Proces so r   Intel® Co re ™  i7 - 7 5 0 0 U du al - co re  2 .7GHz (8 CP Us),  ~  2.9 GHz   Me m o r y   5 1 2  M B   Hard Disk   3 2  GB   Sy ste m  T y p e   64 - b it Operatin g  Sy ste m   Op erating  Sy ste m   Ub u n tu  Ser v er  1 2 .04  86 x b it /  Vu ln ix   4 th   V Vi rtualB o x  sp ecif icatio n   Proces so r   Intel® Co re ™  i7 - 7 5 0 0 U du al - co re  2 .7GHz (8 CP Us),  ~  2.9 GHz   Me m o r y   5 1 2  M B   Hard Disk   3 2  GB   Sy ste m  T y p e   64 - b it Operatin g  Sy ste m   Op erating  Sy ste m   Deb ian  86 x b it /  DC - 1   Evaluation Warning : The document was created with Spire.PDF for Python.
                          IS S N :   2502 - 4752   Ind on esi a J  E le c Eng &  Co m Sci,   Vo l.   23 , N o.   3 Se ptem ber   20 21 :   1643   -   16 53   1646   Table  2 Softw are s pecifica ti on   Ty p e   So f tware   Versio n   Op erating  Sy ste m   W in d o ws 1 0  E n ter p rise 64 - b it   1 0 Bu ild  17 1 3 4     Deb ian   8  Jess ie 64 - b it     Ub u n tu   1 4 .04 .6 LT S 64 - b it   Vu ln erability  Op er atin g  Sy ste m   Vu ln OS   2     Viln ix   1     DC - 1   1   Virtual  Machin e   VirtualB o x   6 .1.2   So f tware   Alien Vau lt   5 .7.4     Qu aly s   -       T h e   S T R I D E   t h r e a t   m o d e l   c a t e g o r i z e s   t h r e a t s   b a s e d   o n   s p o o f i n g ,   t a m p e r i n g ,   r e p u d i a t i o n ,   i n f o r m a t i o d i s c l o s u r e   a n d   e l e v a t i o n   o f   p r i v i l e g e .   E a c h   o f   t h e   s i x   t h r e a t   c l a s s i f i c a t i o n s   i s   a   m e t h o d   o f   a t t a c k   t h a t   c a n   e x p l o i t   t h e   i n f o r m a t i o n   a s s u r a n c e   c om p o n e n t   a n d   e a c h   h a s   t h e   s e c u r i t y   p r o p e r t i e s   o f   a n   o f f i c e r   t o   d e a l   w i t h   t h e   t h r e a t .   T h e   i d e n t i f i e d   v u l n e r a b i l i t i e s   a n d   t h r e a t s   a r e   t h e n   a n a l y z e d   h o w   t h e   t h r e a t s   w i l l   d i r e c t l y   a f f e c t   e a c h   a s s e t   o w n e d   [ 2 5 ] .   T h e r e   a r e   s i x   s e c u r i t y   ob j e c t i v e s   m a i nt a i n e d ,   n a m e l y   c o n f i d e n t i a l i t y ,   i n t e g r i t y ,   a v a i l a b i l i t y ,   a ut h e n t i c i t y ,   s e c u r e   l i f e c y c l e ,   a n d   n o n - r e p u d i a t i o n .   T h e   r i s k   o f   e a c h   e l e m e nt   w i l l   d e p e n d   o n   t h e   t y p e   o f   a t t a c k   c a r r i e d   o u t .   U s i n g   t h i s   i n f o r m a t i o n   a n d   k n o w l e d g e   o f   t h e   p o t e n t i a l   s e v e r i t y   o f   t h e   a t t a c k ,   w e   c a n   d e t e r m i n e   t h e   r i s k   s c o r e .   I n   t h e   p i c t u r e   b e l o w ,   i t   i s   e x p l a i n e d   t h a t   t h e   t op o l o g y   i n   t h i s   s t u d y   c o n s i s t s   of   1   r o u t e r   c o n n e c t e d   t o   t h e   i n t e r n e t ,   1   l a p t o p   h o s t ,   1   s o f t w a r e   o n   t h e   s e r v e r ,   a n d   3   v u l n e r a b l e   m a c hi n e s   n a m e l y   V u l n O S ,   V u l n i x ,   D C - 1   w h i l e   t he   l a t t e r   i s   n o t   s h o w n   i n   t h i s   s t u d y   b ut   u s e d   f o r   s h a d o w   e x p e r i m e nt .   I n t e r n e t   r o u t e r   i s   c o n n e c t e d   t o   t h e   h o s t   l a p t o p   t h a t   h a s   V i r t u a l B ox   i n s t a l l e d .   T h e   i n t e r n e t   r o u t e r   p r o v i d e s   a n   I P   a d d r e s s   w h i c h   i s   u s e d   a s   a   l i n k   b e t w e e n   t h e   A l i e n V a u l t   a n d   Q u a l y s   s o f t w a r e   a n d   v u l n e r a b l e   m a c h i n e s   o n   t h e   s a m e   n e t w o r k .   F i g u r e   1   s h o w s   t h e   n e t w o r k   t o p o l o g y ,   w h i c h   i n f l u e n c e   s i gn i f i c a nt l y   t h e   o u t p u t   o f   t h e   v u l n e r a b i l i t y   a s s e s s m e nt  o n  A l i e n V a u l t  a s  a  r i s k  f a c t o r  f o r   e a c h  v u l n e r a b i l i t y  f o u n d  w i t h i n  t h e  s y s t e m ,  w h i c h  i s  i n  a c c o r d a n c e   w i t h   t h e   c om m o n   v u l n e r a b i l i t y   s c o r i n g   s y s t e m   ( C V S S )   v 3 . 0   p r o v i d e d   b y   t h e   n a t i o n a l   v u l n e r a b i l i t y   d a t a b a s e   ( N V D )   a s   c a n   b e   s e e n   i n   T a b l e   3 .   C V S S   i s   a   s t a n d a r d   I T   v u l n e r a b i l i t y   s c o r e ,   a n d   t h i s   m e t h o d   p r o v i d e s   a   s c o r e   r a n g i n g   f r o m   t o   1 0 .   T h e   c o m m o n   v u l n e r a b i l i t y   s c o r i n g   s y s t e m   ( C V S S )   p r o v i d e s   a   w a y   t o   c a p t u r e   t h e   m a i c h a r a c t e r i s t i c s   o f  v u l n e r a b i l i t i e s  a n d  g e n e r a t e  a  n um e r i c a l  s c o r e  t h a t  r e f l e c t s  t h e i r  s e v e r i t y .   T h e  n um e r i c a l   s c o r e s   c a n   t h e n   b e   t r a n s l a t e d   i nt o   q u a l i t a t i v e   r e pr e s e n t a t i o n s   ( s u c h   a s   l o w ,   m o d e r a t e   h i g h ,   a n d   s e r i o u s )   t o   h e l p   o r g a n i z a t i o n s   p r o p e r l y   a s s e s s   a n d   p r i o r i t i z e   t he i r   v u l n e r a b i l i t y   m a n a g e m e n t   p r o c e s s e s .           Figure  1.  Net w ork  t opology       Table  3 Seve ri ty  r an ge   Sever ity   v3  Score   R ange   None   0. 0   Low   0. 1 - 3. 9   Medium   4. 0 - 6. 9   High   7. 0 - 8. 9   Serious   9. 0 - 10. 0   Evaluation Warning : The document was created with Spire.PDF for Python.
Ind on esi a J  E le c Eng &  Co m Sci     IS S N:  25 02 - 4752       Vuln er abil it y and ri sk  as sess men t f or   opera ti ng  s yst e ( O S)  wi th fram ew or k …  ( Adity as  Wi dja jart o )   1647   3.   RESU LT S   A ND  D IS C USS ION   3.1.      E xp eri m ent Vuln Os wi th   Alie nVault   Table  repres ents  the   nu m ber   of  vulne ra bili ti es  detect ed  on  Vu l nOs  sca nned   us in Alie nV a ult   with   the  nu m ber   de te ct ed  we re  vu l ner a bili ti es  with   m ediu m   seve rity vulne rab il it wi th  high  se ver it an fou nd   23  in f o,   wh il e Fig ur 2 shows its visua li zat ion . Th e re fore,  A in  here shows  the ty pes  of vulne ra bili ti e s   that  wer f ound  w hen   sca nn i ng,  nam el drup al   co re  crit ic al   re m ote  code  execu ti on  wi th  script  I 108438,   CVSS  7.5,  po rt  80,   an se ve rity   in  the  hi gh  cat eg or y.   This  host  r uns   dru pal  a nd  is  vulne rab le   t co de  vu l ner a bili ti es  for  rem ote  acce ss.  Me an w hile,  A s hows  t he  ty pes  of   vulnera bili ti es  fo und  wh il sca nn i ng,   nam ely  SSH   w eak  e ncr ypti on  al gorithm su pport ed  with  s cript  I 105611,  C VS 4.3,  port  22,   an m edium   sever it y. T he r e m ote secur e  s hell co nn ect io n (SS H) ser ve i s conf i gured to  all ow   wea en crypti on alg or i thm s.   The  vu l ner a bili ty   exists   in  S SH   m essages  wh ic us ci pher - bl ock  chai ning  (CBC )   m od e   w hich  al l ow s   an   at ta cker   to  rec ov e plainte xt  from   ci ph ertex blo c ks O th oth e hand,  A3  sho ws  the   ty pes  of  vu l nerabil it ie fou nd  w he s cann i ng,  nam e ly   SSH   wea m essage  a uth e ntica ti on   c ode   (MAC al gorithm su pport ed  wit script  I 1056 10,  CV SS  2.6,  port  22,  a nd  m edium   sever it y.  The  rem ote  SSH   ser ver   is   config ur e t al low  weak  MD a nd  96 - bit  M AC  al gorithm s.  Ther e fore,   A sh ows   the  ty pe of  vu l ner a bi li t ie found  whe scan ning,  nam el TCP  tim est a m ps   with  scr ipt  ID   8009 1,   CVSS  2.6,  a nd  m edium   sever it y.  The  rem ote  ho st   i m ple m ents TCP tim est a m ps  which all ow it  to be  us e to  c al culat e uptim e .       Table  4 First e xp e rim ent sev e rity  r an ge wit h Ali enV a ult   Script ID   Vu ln  I D   Vu ln erability   CVSS   Sev erity   1 0 8 4 3 8   V1 .A1   Drup al core  c ritica l r e m o t e cod e exec u tio n   7 ,5   Hig h   1 0 5 6 1 1   V1 .A2   SSH we ak  encr y p tio n  algo rith m s su p p o rted   4 ,3   Mediu m   1 0 5 6 1 0   V1 .A3   SSH we ak  M AC  a lg o rith m s su p p o rte d   2 ,6   Mediu m   8 0 0 9 1   V1 .A4   TCP ti m esta m p s   2 ,6   Mediu m           Figure  2 V ulnOS   vulne rab il it y wit h Ali enVault       3.2.      E xp eri m ent Vulni w it h A li en Vault   Table  repres ents  the  num ber   of  vulne rab il it ie detect ed  on  V uln i scan ne us i ng   Alie nVault   w hile   F igure  sho w   it visu al iz at ion.  I this  ca se,  the  nu m ber   detect ed  we r 14   vulne rab i li ti es  with  m e diu m   sever it y,  14   vu lnera bili ti es  with  hi gh   se ve rity vu l ner a bili ti es  with  serio us   se ver it an f ound  37  inf o.   B sh ows  t he  ty pe of  vuln era bi li t ie found  w hen  scan ning nam ely  OS   e nd  of   li fe  detec ti on   with  sc rip ID   103674, C VS S  1 0 ,   a nd ser io us ca te go ry se ve rity . Th e opera ti ng  syst em  o rem ote h os t ha s r eache the e nd   of  it us ef ul  li fe  and  sho uld  not   be  us e a gain T her e fore,  B s hows   the  ty pes  of  vulne ra bili ti es  fo un wh e scan ning,  nam el check   i m ai lse rv er   ans w er  to  ve rify  a nd  e xp a nd  requ est with  sc ript   ID  10 0072,  C VS S   5,   port  25 ,   a nd  sever it hi gh  cat egory.  T he   m a il serv er  on  this  host  a nswers   VR FY  and  E XP N   re qu e sts   autom at ic ally.  Me anwhil e,  B s hows   the  t ypes  of   vulne r abili ti es  found   w hen  sca nn i ng,  nam el check   for   log in  ser vic with  scri pt  I D   901202,   CVS 7.5,  port  513 ,   a nd  seve rity   high  cat eg or y This  rem ote  ho st  is   run ning  the   rl ogin   ser vice.  Rl og i file are   e asy   to  a buse  a nd  c ould  pote nti al ly   al low  any on e   to   lo i w it ho ut  Evaluation Warning : The document was created with Spire.PDF for Python.
                          IS S N :   2502 - 4752   Ind on esi a J  E le c Eng &  Co m Sci,   Vo l.   23 , N o.   3 Se ptem ber   20 21 :   1643   -   16 53   1648   pass w ord.   B s hows  t he  t ypes  of  vu l nerabil it ie t hat  wer f ound  w hen  scan ni ng,  nam ely  check   for  r s serv ic with  sc ript  I 100008 0,   C VS 7.5,  port  51 4 ,   a nd  sever it cat eg ory   high.   This  r e m ote  ho st  run the  rem ote  sh el ( RSH)  ser vice,   wh ic is  a   c om pu te pro gr a m   that  can  exe cute  s hell  com m and as   use e ven  with  an ot her   c om pu te r.   B s hows  t he  ty pe of   vulne rab il it ie fo un w he sca nn i ng,  nam el fing er  s erv ic e   rem ote  info rm at ion   disclos ur vu lne ra bili ty  with  the  scrip ID   802236,  CVSS  5,  port  79 ,   an seve rity   in  the  high cate go ry.  These  hosts r un f i ng e se r vices an a re vul ne rab le  t in for m at ion  d isc los ur vulne rab il it ie s.  B6   sh ows  t he  ty pe of  vulne rab il it ie fo un w he sca nn i ng,  nam el secur s ock et   la ye r /t ra ns po rt  la ye se cur it y   ( SSL/TL S ) O penSSL  CC m an  in  the  m i dd le   sec ur it by pass  vulne rabi li t with  scrip ID   10 5042,  CVS S   6.8,  port  995 ,   a nd  se ver it hi gh  cat e gory.  O pe nS S is  vulne rab le   t bypas s   secu rity   vulne rab il it ie s.  B7   s hows  the  ty pes  of  vulne rab il it ie f ound  wh e sc ann i ng,  nam ely  SSL/TLS:   Op e nSSL  T LS   ' hear tbeat '   ext ensio inf or m at ion   disclosure  vulne r abili ty   with  script  ID   10 5042,   CVSS  6.8 po rt  993 ,   a nd   se ve rity   hig cat e gory.  Op e nSSL  is  vulne rab le   to  by pass  sec ur it vulne rab il it ie s.  B8  show the  ty pes  of   vu l nerabil it ie fo und  wh e scan ning,  nam el transm issio co ntr ol  pro tocol  ( TCP )   ti m est a m ps   with  sc ript  ID  80 091,  CV SS  2.6 ,   a nd   m edium  cate go ry sev e rity , wh ic the  host i m plem ents TCP tim est a m ps .       Table  5 Seco nd e xp e rim ent sev erit y ra nge  with  Alie nV a ul t   Script ID   Vu ln  I D   Vu ln erability   CVSS   Sev erity   1 0 3 6 7 4   V1 .B1   OS end  of  lif e detectio n   10   Seriou s   1 0 0 0 7 2   V1 .B2   Ch eck if  M ailserv e an swer  to VRFY   an d  E XPN  requ est   5   Hig h   9 0 1 2 0 2   V1 .B3   Ch eck f o rlog in  s ervice   7 .5   Hig h   1 0 0 0 8 0   V1 .B4   Ch eck f o rsh  service   7 .5   Hig h   8 0 2 2 3 6   V1 .B5   Fin g er  serv ice  re m o te inf o r m atio n  dis clo su re  v u ln erability   5   Hig h   1 0 5 0 4 2   V1 .B6   SSL/T LS:  Op en SS CC m an  in th m id d le  secu rit y  by p ass  vu ln erability   6 ,8   Hig h   1 0 3 9 3 6   V1 .B7   SSL/T LS:  Op en SS T LS  ‘heartbeat’   ex ten sio n  in f o r m at io n  dis clo su re  v u ln erability   5   Hig h   8 0 0 9 1   V1 .B8   TCP ti m esta m p s   2 ,6   Mediu m           Figure  3 V uln i x   vu l ner a bili ty  w it h Ali enV a ul t       3. 3   W alkthr ough an aly sis   w ith V uln OS     Table  sho w the  walkt hro ugh  a naly sis  i eac phases  to  ide ntify  the   threat  at ta ck   or  the   ex plo it   scor t be  us e in  the  m ulti plica ti on   with  the  vulne ra bili t scor nam ely  CVSS  in  T a ble  that  pr es ent  th e   risk  val ue  obta ined.   An  e xam ple o the  V1. A1   vu l ner a bili ty  is d ru pal cor e crit ic al  r e m ot e cod e exec uti on   with  value  of  7.5.  The it   will   be   m ulti plied  by  the  possibil it of   the  th reat  is  T1.1,  nam ely  gen eral  en um erati on  is  10 T1 . is  r esearch  e xp l oit  is  5,   T1. is  S QLMap  is  8 ,   a nd   T 1.12   is  we en um erati on   is  4.   The  risk  value  will   then  be  use as  a   grap s that  It  is  eas to  see  wh ic ty pes  of  e xp l oi ts  and   vulne ra bili ti es  are  co m m on .   Penetrati on  or  te sti ng   is  the  a rt  or   m easur o un c overi ng   ri sk an vulne r abili ti es  and   dig gi ng   deep   to  detect   how  m uch   tar get  can  c om pr om ise   in  any  kind  of  le gitim at at ta ck.   It  also   trie to  fin add it ion al   sec ur it risks   t hat  oft en  do n' sh ow  up   i vu l ner a bili ty   scans.   P enetrati on  te sti ng   will   i nvolve   exp l oiti ng   s erv e rs ,   netw orks,   fi re wall s,  com pu te rs,   to  fi nd   vu l ner a bili ti es ,   and   draw  at te ntion   to  pr act ic al   threats  involv ed  wit the  identifie vu l ner a bili ti es.  Ap a rt  from   the  def in ed  pur pose,  the  pe netr at ion   te st  appr oach   ca al so   be  us e to  eval uate  an m easur the  s us pici ou s   po w er  m echan ism   of   t he  syst em   on  ho capa bl or  str ong  the   syst e m   Evaluation Warning : The document was created with Spire.PDF for Python.
Ind on esi a J  E le c Eng &  Co m Sci     IS S N:  25 02 - 4752       Vuln er abil it y and ri sk  as sess men t f or   opera ti ng  s yst e ( O S)  wi th fram ew or k …  ( Adity as  Wi dja jart o )   1649   is  in  pr otect in against  va rio us  ty pes  of   une xpect ed  m al iciou at ta cks.   I this  case,  the  T able  sho ws  the  risk  analy sis o f Vu l nOS  by u si ng  STRIDE  fr am e work  to  un der s ta nd  t he  cat e gorizat ion   of the  thr eat s.       Table  6 V ulnOS  walkt hro ugh   Threat  ID   Attack  T h re at   W alk th rou g h   Exp lo it Score       1   2   3   4   5   6   7   8   9   10     T1.1   Gen eral  en u m e rati o n   V   V   V   V   V   V   V   V   V   V   10   T1.2   Exp lo it r esearch   V   -   -   V   -   V   V   -   -   V   5   T1.3   SMB/R PC en u m e r atio n   V   V   V   V   V   V   V   V   -   V   9   T1.4   Ad m in  acc ess   V   -   -   -   -   -   -   -   -   -   1   T1.5   SQLM ap   V   V   V   V   V     V   -   -   V   8   T1.6   Pass wo rd cra ck in g   V   V   -   V   V   V   V   -   -   V   7   T1.7   SSH   V   V   V   V   V   V   V   V   V   -   9   T1.8   TT Y  Shell   V   -   -   -   V   -   -   -   -   -   2   T1.9   Execu tio n  By p ass   -   V   -   -   -   -   -   -   -   -   1   T1.1 0   Co m p ilin g  E x p lo its   -   V   -   -   V   -   -   -   -   V   3   T1.1 1   Ch m o d   -   -   V   -   -   -   -   -   -   -   1   T1.1 2   W eb  enu m e ration   -   -   -   V   -   V   -   V   V   -   4   T1.1 3   Tr an sf er  f ile   -   -   -   -   V   V   -   -   -   V   3   T1.1 4   Po p 3   -   -   -   -   -   -   V   -   -   -   1   T1.1 5   Fin g erprint in g   -   -   -   -   -   -   -   V   -   -   1       Table  7 V ulnOS esti m at ion  r isk a naly sis   Vu ln  I D   CVSS   Threat  ID   Sco re  Exp lo it   Ris k  I D   Ris k   V1 .A1   7 ,5   T1.1   10   R1 .A1   75       T1.2   5   R1 .A2   3 7 ,5       T1.5   8   R1 .A3   60       T1.1 2   4   R1 .A4   30   V1 .A2   4 ,3   T1.7   9   R1 .A5   3       T1.6   9   R1 .A6   3 8 ,7       T1.1 1   1   R1 .A7   4 ,3   V1 .A. 3   2 ,6   T1.1 0   3   R1 .A8   7 ,8       T1.7   9   R1 .A9   2 3 ,4   V1 .A4   2 ,6   T1.1 2   4   R1 .A10   1 0 ,4       Table  8 Ri s a naly sis o f Vu l nOS  with  STRI DE   Ris k  I D   STRID E   Sp o o f i n g   Ta m p e ring   Rep u d iatio n   Inf o r m atio n  Dis clo su re   Den ial of  Ser v ice   Elevatio n  of  Pr iv ilag e   R1 .A1   -   -   -   V   -   -   R1 .A2   -   -   -   V   -   -   R1 .A3   -   -   V   -   -   -   R1 .A4   -   -   -   -   V   -   R1 .A5   -   -   -   -   -   V   R1 .A6   -   -   -   -   -   V   R1 .A7   -   -   -   -   -   V   R1 .A8   -   -   -   -   V   -   R1 .A9   -   -   -   -   -   V   R1 .A10   -   -   V   -   -   -       3. 4     W alk th r ough  a n aly sis   w ith V ulni x   Si m il ar  li ke  pr evio us   a naly sis,  T able  sho w the  ex plo it   sc or wh il T a ble  10   s how the   risk  value   ob ta ine by  m ul ti plyi ng   th vulne rab il it sco re  C VS S   an the   ex pl oit  sco re.  For   exam ple,  the   V 1. B1   vu l ner a bili ty   is   OS   end  o li fe   detect ion   with   value  of   10. Th e it   will  be  m ulti plied  by  the  po s sible  thr eat   i s   T2.1,  nam el Netdisc ov e is  an T2.3  is  ARP  scan ning  is  1.   The  risk  va lue  will   then  be  us e as  graph   f or  easy   viewin g,   wh ic ty pes  of  exp loit at ion   a nd   vu l ner a bili ty   occu f reque ntly The  assu r an ce  of  an  IT  pro du ct   m eans  that  the   pro du ct   m eet s   it secur it ob j ect ives,  t hat  the  sec ur it m e asur e im ple mented  by  the  pro duct   will   be  a ble  to   co un te the  t hr eat   as   it   occ ur s   [ 26 ] - [ 28 ] The  fr e quency   of  pe netrati on   te sti ng   respo nds  t m any  factor s,  f ro m   i nd us try   ty pe  to  netw ork   te chn ol og an regulat ory   com pliance.  If   there  is  so m kin of   industry com pliance regulat io n,  the pe netra ti on  test ing  s hould  also  be  r un as essen ti al  to  m eet  tho se n eeds.  I t   is  of te rec omm end ed  t hat  pe netrati on  te sts  be  sch ed uled   if  any  of  the  f ollow i ng   occ urs,  su c as  si gnific an t   Evaluation Warning : The document was created with Spire.PDF for Python.
                          IS S N :   2502 - 4752   Ind on esi a J  E le c Eng &  Co m Sci,   Vo l.   23 , N o.   3 Se ptem ber   20 21 :   1643   -   16 53   1650   disruptio to  the  netw ork  or   infr a struct ur e increase m edi awar e ness  a nd   at te ntio th at   cou ld  inc rea se  the  li kelihood  of  an  at ta ck,  ad di ng   offices  or  cha ng i ng  offi ce  locat ions  to  the  net work,  the  la te s in du st ry   regulat ion require  ad diti onal   com pliance,  pa tc hes  secu rity   functi ons,  an new   a pp li cat ion or   i nfrastr uctu re   are  ad de to  th app li cat io s yst e m In te resti ng ly the  m os com m on   factor ca be  at tribu te to  the  la ck  of   consi ste nt  proc edures  for  a naly sing   a nd  colle ct ing   data  er rors  ge ne rated  duri ng   softwa re  dev el op m ent,  wh ic is  extrem el diff ic ult  a nd  ti m e - co nsum ing   [ 29 ] [ 30 ] .   O ne  so luti on p r ovid ed  for  c om plexity   is  through   the u se   of n et work kn owle dge s of t ware SD e xisti ng  so l ution s , only  the l ogic   of n e twork  d e vices  [31 ] - [ 33] .       Table  9 V uln i x walkth r ough   Threat  ID   Attack  T h re at   W alk th rou g h   Exp lo it Score       1   2   3   4   5   6   7   8   9   10     T2.1   Netwo rk d isco v ery   V   -   V   -   -   -   V   -   -   -   3   T2.2   Po rt  scan n in g   V   V   V   V   V   V   -   V   V   V   9   T2.3   ARP scan n in g   -   -   -   -   -   -   -   V   -   -   1   T2.4   Fin g er  scan n in g   V   -   V   -   V   -   V   -   V   V   6   T2.5   NFS enu m e ration   V   V   V   V   V   V   V   V   V   V   10   T2.6   SSH E n u m e ration   V   V   -   -   V   -   -   -   -   -   3   T2.7   Users enu m e ration   -   V   V   -   V   -   V   -   V   V   6   T2.8   Netcat   -   -   V   -   -   -   -   -   -   -   1   T2.9   SMT P  E n u m e ratio n   -   -   V   -   V   -   -   -   V   V   4   T2.1 0   Bru tef o rce   V   V   V   -   V   -   -   -   -   -   6   T2.1 1   Edit /etc/p ass wd   -   V   -   -   -   -   -   -   -   -   1   T2.1 2   Ad d ed  a  n ew us er  with  sp ecif ied  I D t o  had   access   -   V   V   V   V   V   -   V   V   -   7   T2.1 3   Created .ssh  in th re m o te ho m e dire c to ry   -   V   V   V   V   V   V   V   V   V   9   T2.1 4   Su d o   - l sh o ws th at vu ln ix  allowed  to  ed it  /etc/ex p o rts f ile   V   V   V   V   V   V   V   V   V   V   10   T2.1 5   Disab le r o o tsq u ashing   -   V   V   -   -   V   V   V   V   -   6   T2.1 6   User re m o te  acc es   V   -   V   V   V   -   V   V   V   V   9   T2.1 7   Re m o te w rite  a cce ss   -   V   V   V   -   V   -   -   V   V   6   T2.1 8   Co p y   /b in /b ash  to th e r e m o te  r o o t dire cto ry   V   -   -   -   -   -   -   -   -   -   1   T2.1 9   Ro o t acce ss   V   V   V   V   -   V   V   V   V   V   9   T2.2 1   Sy ste m  r eb o o t r eq u ired   V   V   V   V   -   V   V   V   -   -   7   T2.2 2   ./bas h   - p   -   -   -   -   -   -   V   -   -   -   1   T2.1   Netwo rk d isco v ery   V   -   V   -   -   -   V   -   -   -   3       Table  10 Vu l ni est im a ti on  r i sk  a naly sis   Vu ln  I D   CVSS   Threat  ID   Sco re  Exp lo it   Ris k  I D   Ris k   V1 .B1   10   T2.1   3   R1 .B1   30       T2.3   1   R1 .B2   10   V1 .B2   5   T2.9   4   R1 .B3   20   V1 .B3   7 ,5   T2.2   9   R1 .B4   6 7 ,5   V1 .B4   7 ,5   T2.5   10   R1 .B5   75       T2.6   3   R1 .B6   2 2 ,5   V1 .B5   5   T2.4   6   R1 .B7   30   V1 .B6   6 ,8   T2.1 9   9   R1 .B8   6 1 ,2       T2.6   3   R1 .B9   2 0 ,4       T2.8   1   R1 .B1 0   6 ,8   V1 .B7   5   T2.2 0   10   R1 .B1 1   50   V1 .B8   2 ,6   T2.1   3   R1 .B1 2   7 ,8       Af te e ve ry pr ocess was  done , th e ris a naly sis was con duct ed  li ke  be f ore by cete gorizi ng  t he  th reats   as  can   be  see i T a ble   11.   Use e ducat ion  is  ce ntral  t im ple m enting  a   cy be rsecurit po li cy wi th  key  el e m ents  in  reali sti con t ext  of  sim ulatio relat ed  to   the  dy nam ics  of  cy be at ta ck,   the  on go i ng   dev el op m ent  of  the   inf rastr uc ture,  existi ng  vulne rab il it ie and  the  nee t o   be  a war e   of  th ei pote ntial   im pact  [34 ] [ 35] The   m ai functi on  of   a ideal   network  m anag em ent  syst e m   is   to  i m pr ove  th op e rati onal   capaci t y   of   the  netw ork  by  m a intai nin the  be st  pe rfor m ance  of  the  networ op e rati on,  w hi ch  co uld   be   thr ough   pr e dicti ng   th resu lt   base on   po sit ive  an ne gative  ind ic at or a nd   a dv a nc ed  plan ning  [ 36 ] [ 37] The re fore,   orga nizat ion m us m ee the  necessa ry  an s pecific  ri gorous  requirem ents  to  ac hie ve   the  sa fety - sta bili ty   bounda ry  in  th pr e ven ti on  of  w or st - case  sc enar i os   [ 38 ] C on si der i ng   t hat  the  com plexity   and   hete roge neity  of   netw orks  bu il t i a co m pan y' s sp eci fic env iro nm ent h ave si m ultaneou sly  r ed uced  the e f fici ency of   networ adm inist rator [39],  vul ner a bili ti es  assess m e nt  an a naly sis  regularly   can   su pp or t he  em plo ye es   in   gi vin t he   confide nce in  o r der  to pre pare t he m sel ves  t hro ugh  trai ning and und e rsta nd i ng  fo pro pe con t ro l an d handli ng   Evaluation Warning : The document was created with Spire.PDF for Python.
Ind on esi a J  E le c Eng &  Co m Sci     IS S N:  25 02 - 4752       Vuln er abil it y and ri sk  as sess men t f or   opera ti ng  s yst e ( O S)  wi th fram ew or k …  ( Adity as  Wi dja jart o )   1 651   act ivit y.  It  is  doubtf ul  that  s om m od el ing  an a naly sis  cou l acc ur at e ly   and  cl early   pr e dict  ho s uch  an   at ta ck  would  occur  on  the  netw ork  in fr as tructu re,  re su lt ing   in  s hu t dow or  dis rup ti on f ollo wed  by  colli sion   as   th co ns eq ue nce [ 40 ] [ 41] B ut  at   the  ver le ast it   can  pr esents  dep ic t ion   a nd  al te rnat ive  so luti on  f or  pr edict ion   a nd   prepa rati on   f or   the  orga nizat io n.   I gener al awar e ness  a nd   pr e par at io for  asset   su sta ina bili ty   and   perform ance  of te bec om the  ta rg et   at ta ck  throu gh  creati ng   fail ures  in  the  pr oc ess  of  secur i ng  the   as set s.   T hu s it   s hould  be  no te that  in fr a struc ture  is   ext rem e il crit ic al   in  orde t pro vid e   t he   increase le ve of  co nvenie nce  of  co nnec ti vity   by  decre asi ng  the  su s cepti bili ty   to  cy ber   at ta ck   t hro ugh  routine a nd r e gula r v uln era bili ty  assessm ent [ 42 ] ,  [43 ] .       Table  11 Ri sk  analy sis o f Vu l nix   with  STRI DE   Ris k  I D   STRID E   Sp o o f i n g   Ta m p e ring   Rep u d iatio n   Inf o r m atio n  Dis clo su re   Den ial of  Ser v ice   Elevatio n  of  Pr iv ilag e   R1 .B1   -   -   -   V   -   -   R1 .B2   -   -   -   -   V   -   R1 .B3   -   -   -   V   -   -   R1 .B4   -   -   -   -   V   -   R1 .B5   -   -   -   V   -   -   R1 .B6   -   -   -   -   -   V   R1 .B7   -   -   -   -   V   -   R1 .B8   -   -   -   -   -   V   R1 .B9   -   -   -   -   -   V   R1 .B1 0   -   V   -   -   -   -   R1 .B1 1   -   -   -   -   -   V   R1 .B1 2   -   -   -   V   -   -       4.   CONCL US I O N   In   this  stu dy,  there  are  se ver a lim i ta ti on an dr a w backs  w hich  can  be  use as  ref ere nc and   al so  co ns ide rati on  for  furthe researc h.  It  c an  al s assist   orga nizat ions   with  t heir  c on si der at io ns  befor e   i m ple m enting  the  Alie nV a ult   so ftwa re  in  the  V uln e ra bili ty   a ssess m ent.  The  sugg e sti on ge ner at ed  in  this  stud a re  is  be ing   a s the  us e   of  la r ge  resou rces  in   the  a pp li cat ion   of  the   Alie nV a ult  s oft war e,   so  that  i al so   requires  la rg e   r eso ur ces f or   t he   ser ver  u se d.  By   hav in V A,  of  co urse o ne  way  to quickly   r es pond  in gu ard i ng   the  IT  a ssets  to  s us ta in  the   business   pro ces an aw are ne ss  over  secu rity   vu l ner a bili ties  in  the  e nvir on m ent,   wh ic in  t he  f ur t her sup port  the  decisi on  m aking   t m i tig at the  po te ntial   threats  thr ough  qu a ntific at ion  of   the  risk  as  the  r eg ular  vi rtual  su pp or t.  Co ns i der at io is  nee ded   in  c hoos i ng  open  s ource  secur it inf orm at ion   and   e ve nt  m an agem ent  ( SI E M )   software  usi ng   cl oud  ser vices  so   t hat  la rg resou rce  re qu i rem ents  fo r   serv e r s   are  no nee ded  so  t hat the  data  obtai ned is m or e c om plete   and  easy  t a naly ze.       REFERE NCE S   [1]   D.  Natha ns,  Designing  and  Bu il ding  Se cur ity   Opera ti ons  Ce nte r,”  Britis Libr ary  Catal oguing - in - Publ i catio Data,   Syngr ess ,   2015,   pp .   1 - 9 ,   d oi:   10 . 1016/C20 13 - 0 - 19158 - 1.   [2]   G.  Sadows ky ,   J.  X.  Dem pse y ,   A.  Gree nber g ,   B.   J.  Ma ck,   and   A.  Schwart z,   Information  Tec hnology   Se curity  Handbook ,   Inter nati onal Bank   f or R ec onstrcu ti o and  De v. /The   World  Bank ,   200 3.     [3]   S.  Jetty ,   Netwo rk  Scanni ng  Co okbook  Prac tica Network  Secur ity   using  Nm ap  and  Ness us  7, ”  Pac k Publishin Ltd ,   pp.   10 - 11,   2 018.   [4]   D.  Beke and   S.  Yerus,  The   Stat of  V ulne rab il i ti es  2 019, ”  Jul y   20 20.   [Online ] .   Avail ab le fro m htt ps:// ww w.i m per va.com/blog/ th e - state - of - vuln er abi litie s - in - 2019 /.   [5]   M.  Abom har a nd  G.  M.   Køien ,   C y ber   Secur ity  and  the  Inte rn et  of  Th ings:  Vuln era bi li t ie s,   Threa ts,  Intrud ers,   and   Atta cks, ”  Journal  of   Cybe r   Sec u rity   and  Mob il i t y ,   vo l. 4, pp. 65 - 88,   2015 ,   doi 10 . 13052/jcsm 2245 - 1439. 414.     [6]   J.  S.  Ti l le r ,   CISO ’s  Guide  to  Penet r at ion  Te st in g:  Fram ework  to  Plan,  Mana g and  Maximi ze  Bene fi ts,”   C RC  Pr ess Tayl or  &   Franci s Gr oup ,   2012,   doi 10 . 12 01/b11306.   [7]   R.   Khan,  K.  Mc La ughli n ,   D.   Lavert y ,   and  S.   Se ze r,  "S TRIDE - b ase thr ea t   m odel ing  for   c y b er - ph y sic al   s y stems , 2017  IEE PES  Innov ative  S mar Gr id  Technol ogie Confe r enc Europe  ( ISGT - Europe) ,   2 017,   pp.   1 - 6 ,   d oi:   10. 1109/ISGTE urope . 2017. 8260 283.   [8]   D.  R.   Mi ll er ,   S.   Harri s,  A .   A.  H arp er,  S.  VanD yke,   and  C .   Bl ask,   Secur ity   Inf orm at ion  and   E vent   Man age m e nt   (SIEM) Implementation,”  The   M cGraw - Hill   Com panie s ,   2011 .     [9]   J.  Reuvi d ,   Man agi ng  C y b erse cu rity   Risk:   Cases   Studie s a nd   Solu ti ons,”   Legends T eam  Gr oup ,   20 18.   [10]   A.  Kathe r ine,  J.  Seale,  T.  Mc donal d,   H .   Pard ue,   W .   Gl isson,  and  M.  Ja cobs,   MedDevRisk:  Risk  Anal y s is   Methodol og y   fo Networke M edi c al   Dev ices,”  in  Pro ce ed ings  of  th 51st   Hawaii  Int ernati on al  Confe ren ce  o Syste m Scien ce s ,   2018,   doi: 10. 24 251/HICSS . 2018. 414.   Evaluation Warning : The document was created with Spire.PDF for Python.
                          IS S N :   2502 - 4752   Ind on esi a J  E le c Eng &  Co m Sci,   Vo l.   23 , N o.   3 Se ptem ber   20 21 :   1643   -   16 53   1652   [11]   S.  Schina g l,   K .   Schoon,   and   R.   Paans,   "A   Fram ework  for  Desig ning  Se cur i t y   Opera ti ons  C entre  (SO C), 2015   48th  Hawaii   Inter nati onal  Conf ere nce on  S yste Sci en ce s ,   2015,   pp.   2253 - 2262 ,   doi:   10 . 1109/HI C SS . 2015. 270.   [12]   A.  Micha il,  Secur ity   Oper at ion  Cent ers  Business  Perspec ti ve,”   Utrec ht  Unive rs it MSc   in  Busin ess  Informatic s 2015.   [13]   E.   Conr ad, S.   Mi sena and   J.   Feld m an,   CISS P St ud y   Guide,”  N e wnes ,   2012 ,   doi : 10.1016/ C2011 - 0 - 07337 - 4.   [14]   J.  Fruhlinge r,   Thre a Modell in Expl ai n ed:   Proce ss   for  Ant ic ip at ing  C y ber   Atta cks, ”  IDG   Comm unit y,   Inc 2020.   [Online ] .   Avail able:  https :/ /www . c soonl ine . com/ar ticl e/ 3 537370/t hre at - m odel ing - expl a ined - a - proc ess - for - ant i ci pa ti ng - c y b er - attac ks . html [ Ret ri eve at Decem ber   2021] .   [15]   I.   Kam il,  M.   L.  Julham,  and   A .   R.   Lub is ,   Mana gement   Mai nte nan ce   S y ste m   for  Remote  Control   b ase o n   Microc ontro ll er  and  Virtua Priv at Serve r , ”  Ind onesian  Journal   of  El ectric al  En gine ering  and  C omputer  Sci ence  ( IJE ECS) ,   vol. 1 6,   no .   3 ,   pp .   134 9 - 1355,   2019 ,   d oi:   10 . 11591/ije e cs. v16. i3 . pp134 9 - 13 55.   [16]   R.   Fauz i,   M .   H ari ad i,   S.   M.  S.   Nugroho,  and   M.  Lubi s.   Defe nse  Beh avi or  of  Real  T ime  Strat eg y   G ames:  Com par ison  bet wee HF SM   an FS M,”   Indone sian  Journal  o El e ct ri cal   Eng ine ering  and  C omputer  Sci en c e   ( IJE ECS) ,   vol. 1 3,   no .   2 ,   pp .   634 - 642,   Febru aa r y   20 19,   doi 10 . 11 591/i jeec s.v13 . i 2. pp634 - 642.   [17]   H.  A.  A.  Julham,  A.  R.   Lubi s,  a nd  M.  Lubi s,  Deve lopment  of  S oil   Moisture  Me asure m ent   with  W ire le ss   Sensor   W eb - Based  Conce pt , ”  Indon esia Journal  of  El e ct rical  Engi n ee r ing  and  Comput er  Sci en ce   ( IJEE CS) ,   vol.   13,   n o .   2,   pp .   514 - 520 ,   Februa r y   2019 ,   doi:   10 . 11591/ij ee cs. v13 . i2 . pp51 4 - 520.   [18]   A.  Alm aa rif  and   M.  Lubi s.   Vulner ability   As sess m ent   and  Penetrat ion  Te sting   ( VA PT)  Fram ew ork:  Case  Stud y   of   Governm ent ’s  W ebsit e, ”  Int ernati onal  J.   on  Ad vanc Sc .   Eng.   And  Inf.   Tech v ol.   10,   no.   5,   pp.   1874 - 1880,   2020,   doi:   10 . 18517/ij ase it.10. 5 . 8862.   [19]   M.  Abdurohm an  and  B .   S.  Nugroho,  Te c hnic a Spec ifi c at ion  for  Eff ective   N ext   Gen era t ion  Netwo r k   Inte rco nn ec t ion  in  Indone sia,”  I nte rnational   J.   o Adv ance   S c.   E ng.   And  Inf.   Te c h.   vol.   10 ,   no .   3 ,   pp.   1153 - 1162,   2020,   doi 10 . 18 517/i ja se it.10. 3 . 5753.   [20]   B.   Murugana nt ham,  P.  Sham il i,   S.  G .   Kum ar,   and   A.  Murugan,   Quant um   Cry p togra p h y   for  Se cur e d   Com m unic at ion  Network, ”  Inte r nati onal  Journal   of  El ec tri cal   &   Computer  Engi nee ring  ( IJE CE) ,   vol.   10,   no.   1,   pp.   407 - 414 ,   20 20,   doi 10 . 1159 1/i jece . v10i1 . pp 407 - 414.   [21]   D.  Mous saoui,   M.  Feham,  B .   A.  Bensab er,  an B.   K adr i,  Secur ing  Veh ic ul a Cloud  Ne tworks,”   Int ernati on a l   Journal  of  Elec tri cal   &   Co mputer  Engi ne ering  ( IJE CE) ,   vol.   9,   no.   5,   pp.   4154 - 4 162,   201 9,   do i:   10. 11591/ijece. v 9i5. pp4154 - 416 2.   [22]   M.  Lubi s,  R.   Fauzi ,   A.  R.   Lubi s ,   and  R.   Fauzi ,   Case  Study   of   Univer siti es  Dorm it or y   Reside n ce   Mana gemen t   S y stem  (DRMS)  in  Indon esia , ”  in  IE EE   Int.   Con f.   Cybe an IT  Serv ic e ,   2018,   doi :   10. 1109/CIT SM . 2018. 8674313 .   [23]   R.   Johari,   I.   Ka ur,   R.   Tri pa thi,   and  K.  Gupta,   "P ene tra ti on  T esti ng  in  IoT  Network, 2020  5th  Inte rnationa Confe renc o Computing,  Comm unic ati on  and  Se curit ( ICCCS) ,   2020,   pp.   1 - 7,   doi :   10. 1109/ICCCS49678.2020. 927 6853.   [24]   S.  Karm okar ,   M.  M.  Mohin ,   M.  K.   Islam,   M.  R .   Alam,   and  M.   M.  R a hm an,   Quanti t at iv Vulner abil ity   As sessment:   An  Approac h   to  R e duce   B ia ses  in  Disaster  Vulner abi lit y   As sess me nt,”  Curr ent  W orld  Envi ronm e nt,  vol.   14 ,   no .   3 ,   pp .   383 - 399 ,   2019 ,   doi: 10. 5194 /i sprs - arc hive s - XLII - 4 - 703 - 2018.   [25]   L.   C hang ,   G.  Chen,   S.  Cao ,   and  C.   Zhe ng ,   Vulner abi lit y   As sessment  of  Regi onal   W a te r   Resourc es, ”  I OP  Confe renc Seri es  Earth  and  Env ironmenta Sci en ce   vol.   50 8,   p.   012026,   April  2020,   doi:   10. 1088/1755 - 1315/508/ 1/012 026.   [26]   A.  Bia l as,   Vulner ab il i t y   As se ss m ent   of   Sens or  S y stems , ”  S ensors ,   vol.   19,   no.   11,   pp.   2 518,   2019,   doi 10. 3390/s19112518.   [27]   K.  Maha ja and A.  M.  Kim ,   “Vu lne rab il i t y   As sess m ent   of  Alber ta ’s Provinc ia Highwa y   Network,”  Tr anspor tat ion   Re search  In te rdi scipl inary   Pe rs p ec t iv es ,   vol .   6 ,   p .   100171,   Jul y   20 20,   doi 10 . 1016 /j . t rip. 2020 . 1001 71.   [28]   C.   Sz y m ula   a nd  N.  Besinovi c,   Pass enge r - ce nt ere Vuln era bi li t y   As sess m ent   of  Rai l wa y   Networks, ”  Tr anspo rtati on  Re search Part  B   Methodol og ic a l ,   vol .   136 ,   pp .   30 - 61,   June   2020,   doi:   10 . 1016/j.tr b. 2020. 03 . 008.   [29]   R.   Adebi a y e ,   Miti gating  Vuln era bi li t y   Risk  in   C y ber se cur i t y   us ing  Predi ct iv M ea sures, ”  Int ernati onal  Journal  of  Adv anc ed  S ci e nti fic  Re search   &   Dev el op ment ,   vo l.  4,   no.   10 ,   pp .   12 - 27,   Octo ber   2017,   do i:  10. 26836/ijasrd/ 2017/v4/ i10/ 410 6.   [30]   D.  Rogows ki,   "S oftwa r imple m ent at ion  of  co m m on  cri te ria   re la t ed  design  pa tterns,"  2013  Fe d erate Confe r en ce   on  Computer  Sc i enc e   and  In formation  S yste ms ,   2 013,   pp .   1147 - 1 152.   [31]   D.  Magin,   R .   Khondoker,   and   K.  Ba y aro u ,   Secur ity   Ana l y s is  of  OpenRa di and  SoftRAN   with  STRIDE   Fram ew ork, ”  The  24th  int ernational  conf ere n ce  on  compute communic ati ons  and  appli cat ion ( ICCCN  2015 ) .   IEE E ,   vo l. 38, 2 015.   [32]   J.  Straub,   "M odel ing  Att ac k,   Defe nse  and  T hre at   Tr ee and   the   C y be Kill  Chai n,   ATT&CK   and  STRID Fram eworks  as   Bla ckbo ard   A rch itect ur N etw orks,"  2020  IEE In te rnatio nal  Confe ren ce  on  Smar Clo ud   ( Sma rtCloud) ,   2020,   pp .   148 - 15 3,   doi 10 . 1109/ Sm art Cloud49737. 2020. 00035 .   [33]   M.  Bret t   and  J.   Parke r,  Fram ework  to  Understa nd  Lo cal  Governm ent   Ne twork  Envi ronm ent   From   C y b er   Secur ity   P erspe c ti ve .   D eveloping   an  Open   Sourc Too Kit   for  L oca l   Governm ent ,   Ex p loring  Cy ber  Sec uri ty   i n   Local  Gove rnm e nt ,   Mar ch  2019 ,   doi:   10 . 6084/m9.fi gshare . 996372 2. v1.   [34]   G.  Subaşu,  L.   R oşu,  and  I.   B ădo i,   "M odel ing  an sim ula ti on  ar c hit e ct ure   for   trai ning  in  c y b er  de fen ce   ed uc at ion , "   2017  9th  Inte rnational   Confe r e nce   on  Elec tron ic s,  Computers  and  Arti ficial   In te lligen ce   ( ECAI) ,   2017,   pp.   1 - 4,   doi:   10 . 1109/E C AI.2017. 816639 6.   Evaluation Warning : The document was created with Spire.PDF for Python.