Pendekatan TSA untuk Pemodelan Ancaman – Adam Shostack & teman-teman

“Saya memahami rasa frustrasi orang-orang, dan apa yang saya katakan kepada TSA adalah bahwa Anda harus terus-menerus memperbaiki dan mengukur apakah yang kami lakukan adalah satu-satunya cara untuk memastikan keselamatan rakyat Amerika. Dan Anda juga harus memikirkan apakah ada cara lain untuk melakukannya yang tidak terlalu mengganggu, “kata Obama.

“Tetapi pada titik ini, TSA dalam konsultasi dengan para ahli kontraterorisme telah menunjukkan kepada saya bahwa prosedur yang mereka terapkan adalah satu-satunya prosedur yang mereka anggap efektif terhadap jenis ancaman yang kita lihat di Hari Natal. pengeboman.” (“Obama: TSA menepuk-nepuk frustasi tapi perlu”)

Saya telah menghabiskan beberapa tahun terakhir mengembangkan alat, teknik, metodologi, dan proses untuk pemodelan ancaman perangkat lunak. Saya telah mengajari ribuan orang cara yang lebih efektif untuk menjadi model ancaman. Saya telah merilis alat untuk pemodelan ancaman, dan bahkan permainan untuk membantu orang belajar model ancaman. (Saya harus mencatat di sini bahwa saya tidak berbicara untuk majikan saya, dan saya sekarang fokus pada masalah lain di tempat kerja.) Namun, ketika saya mengerjakan pemodelan ancaman perangkat lunak, bukan pemodelan ancaman teror, pernyataan Presiden mengkhawatirkan saya. Biasanya, dia adalah pembicara yang tepat, jadi ketika dia mengatakan “efektif melawan jenis ancaman yang kita lihat dalam pemboman Hari Natal,” saya khawatir.

Secara khusus, pernyataan tersebut mengkhianati bias mundur yang mengerikan. Pertanyaan yang tepat untuk ditanyakan adalah “akankah mitigasi ini melindungi sistem dari serangan dan peningkatan yang dapat diprediksi?” Jawabannya jelas “tidak”. TSA memiliki orang-orang pintar yang bekerja di sana, mengapa mereka membiarkan itu menjadi pertanyaan utama?

Masalahnya jelas. Misalnya, di utas Flyertalk, Connie bertanya: “Jika bagal obat menelan obat dan terbang, tidak bisakah teroris menelan alat peledak?” dan lihat juga “Ancaman baru bagi para pelancong dari ‘bom keister’ al-Qaeda.”

Setengah dari mendapatkan jawaban yang benar adalah menanyakan pertanyaan yang benar. Jika pertanyaan yang didengar Presiden adalah “apa yang bisa kita lakukan untuk melindungi dari ancaman yang kita lihat dalam (percobaan) pengeboman hari Natal” maka ada tiga kemungkinan tafsir. Pertama adalah pertanyaan yang benar ditanyakan di tingkat teknis, dan pertanyaan yang salah ditanyakan di atas. Kedua, pertanyaan yang salah diajukan ke atas dan ke bawah. Ketiga adalah bahwa pertanyaan yang salah diajukan di bagian atas, tetapi itu adalah pertanyaan yang tepat untuk Administrator TSA yang ingin dapat bersaksi di depan Kongres bahwa “segala sesuatu yang mungkin telah dilakukan”.

Saya telah mengatakan sebelumnya dan saya akan mengatakan lagi, ada banyak kemungkinan pendekatan untuk pemodelan ancaman, dan semuanya melibatkan pengorbanan. Saya telah berkomentar bahwa sebagian besar masalahnya adalah tuntutan TSA yang tidak terpenuhi, dan perbaikan yang disarankan. Jika TSA memperdagangkan tanggapan yang direncanakan kepada Kongres untuk keamanan yang efektif, saya pikir Kongres seharusnya mengajukan pertanyaan yang lebih baik. Saya akan menyarankan “bagaimana Anda mencontohkan ancaman di masa depan?” sebagai tempat terbaik untuk memulai.

Melanjutkan dari sana, pendekatan sistematis yang efektif akan melibatkan pembuatan diagram sistem transportasi udara, dan memastikan bahwa setiap orang dan semua orang yang naik pesawat tanpa izin untuk berada di dek penerbangan melalui pencarian yang wajar dan minimal di bawah Konstitusi, yang digunakan. semata-mata untuk keamanan penerbangan. Saat ini, ada perbedaan dalam katering dan servis pesawat lainnya, ada masalah dengan pemeriksaan kargo, dll.

Masalah-masalah ini terungkap oleh tim merah yang terjadi, tetapi itu tidak mengarah pada sistem pertahanan seimbang yang sistematis.

Selama Presiden bertanya “Apakah ini efektif melawan jenis ancaman yang kita lihat dalam pemboman Hari Natal?” kita akan tahu bahwa model ancaman yang tepat tidak berhasil mencapai puncak.

https://adam.shostack.org/blog/2010/12/the-tsas-approach-to-threat-modeling/