Security auditing merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi. Pada penelitian ini security auditing dilakukan berdasarkan analisa vulnerability dan threat agar dapat melihat hubungan yang terjadi antara vulnerability dan threat yang telah dilakukan pada aset IT tersebut. Pada penelitian ini objek yang digunakan yaitu vulnerable operating system (VulnOSv2) dengan tujuan untuk mengetahui vulnerability dan threat. Pada penilitian ini digunakan 10 walkthrough dengan tujuan dapat dilakukan analisis perbandingan pada masingmasing walkthrough serta melihat efisiensi dari masing-masing tools yang digunakan. Eksperimen dilakukan dengan menggunakan framework MITRE ATT&CK dimana digunakan sebagai dasar untuk pengembangan model dan metodologi ancaman. Open source software OpenVAS dapat diterapkan guna melihat hasil kuantitatif yang berdasarkan scanning eskploitasi berupa vulnerability. Sedangkan secara kualitatif dengan menyusun model attack trees. Framework MITRE ATT&CK yang dibuat dapat mengakomodasi model attack trees yaitu sebesar 80%.