Manajemen Akun
Menggunakan proses dan alat untuk menetapkan dan mengelola otorisasi kredensial untuk akun pengguna, termasuk akun administrator, serta akun layanan, pada aset dan perangkat lunak perusahaan.
Mengapa Kontrol Ini Penting?
Lebih mudah bagi pelaku ancaman eksternal atau internal untuk mendapatkan akses tidak sah ke aset atau data perusahaan melalui penggunaan kredensial pengguna yang valid daripada melalui 'peretasan' lingkungan. Terdapat banyak cara untuk secara diam-diam mendapatkan akses ke akun pengguna, termasuk: kata sandi yang lemah, akun yang masih valid setelah pengguna meninggalkan perusahaan, akun uji coba yang tidak aktif atau tertinggal, akun bersama yang belum diubah selama berbulan-bulan atau bertahun-tahun, akun layanan yang tertanam dalam aplikasi untuk skrip, pengguna yang memiliki kata sandi yang sama dengan yang digunakan untuk akun daring yang telah dibobol (dalam pelanggaran publik), rekayasa sosial terhadap pengguna untuk memberikan kata sandinya, atau menggunakan serangan brute force untuk menebak kata sandi. Akun administratif, atau yang memiliki hak istimewa tinggi, merupakan target utama, karena memungkinkan penyerang menambahkan akun, mengubah konfigurasi, membaca dan memodifikasi data tersimpan, meniru identitas pengguna biasa, dan melakukan pencurian data.
Templat Kebijakan Terkait
Pengamanan (6)
| ID | Judul | Jenis Aset | Fungsi | Kelompok Implementasi |
|---|---|---|---|---|
| 5.1 | Tetapkan dan Pelihara Inventaris Akun | Pengguna | Identifikasi |
IG1
IG2
IG3
|
| 5.2 | Gunakan Kata Sandi yang Unik | Pengguna | Lindungi |
IG1
IG2
IG3
|
| 5.3 | Nonaktifkan Akun yang Tidak Aktif | Pengguna | Respons |
IG1
IG2
IG3
|
| 5.4 | Batasi Hak Istimewa Administrator ke Akun Administrator Khusus | Pengguna | Lindungi |
IG1
IG2
IG3
|
| 5.5 | Tetapkan dan Pelihara Inventaris Akun Layanan | Pengguna | Identifikasi |
IG2
IG3
|
| 5.6 | Sentralisasi Manajemen Akun | Pengguna | Lindungi |
IG2
IG3
|