Tetapkan dan Pelihara Inventaris Aset Perusahaan yang Terperinci
Deskripsi
Tetapkan dan pelihara inventaris yang akurat, terperinci, dan terkini dari semua aset perusahaan yang berpotensi menyimpan atau memproses data, termasuk: perangkat pengguna akhir (termasuk portabel dan seluler), perangkat jaringan, perangkat non-komputasi/IoT, dan server. Pastikan inventaris mencatat alamat jaringan (jika statis), alamat perangkat keras, nama mesin, pemilik aset data, departemen untuk setiap aset, dan apakah aset tersebut telah disetujui untuk terhubung ke jaringan. Untuk perangkat seluler pengguna akhir, alat jenis MDM dapat mendukung proses ini, jika sesuai. Inventaris ini mencakup aset yang terhubung ke infrastruktur secara fisik, virtual, jarak jauh, dan yang berada di lingkungan cloud. Selain itu, ini mencakup aset yang secara rutin terhubung ke infrastruktur jaringan perusahaan, meskipun tidak di bawah kendali perusahaan. Tinjau dan perbarui inventaris semua aset perusahaan setiap dua tahun, atau lebih sering.
Daftar Periksa Implementasi
Rekomendasi Alat
Platform manajemen permukaan serangan aset siber yang menyediakan inventaris aset komprehensif di seluruh lingkungan IT, cloud, SaaS, dan OT
Axonius · Langganan perusahaan
Platform manajemen aset IT perusahaan dan CMDB dengan penemuan otomatis dan manajemen siklus hidup
ServiceNow · Langganan perusahaan
Platform penemuan dan inventaris aset IT yang memindai jaringan untuk aset perangkat keras, perangkat lunak, dan cloud
Lansweeper · Langganan per aset
Platform CAASM cloud-native yang menyediakan visibilitas aset siber, konteks, dan tata kelola di seluruh operasi digital
JupiterOne · Langganan perusahaan
Ancaman & Kerentanan (CIS RAM)
Skenario Ancaman
Eksploitasi Aset TI Bayangan
ConfidentialityPenyerang mengkompromikan perangkat yang tidak terlacak yang terhubung ke jaringan dan tidak terlihat oleh perangkat keamanan, menggunakannya sebagai pijakan persisten untuk pergerakan lateral.
Cakupan Patch Tidak Lengkap Akibat Aset Tidak Dikenal
AvailabilityKerentanan kritis tetap tidak ditambal pada perangkat yang tidak termasuk dalam inventaris aset, memungkinkan ransomware atau worm menyebar melalui endpoint yang tidak dikelola.
Ketidakpatuhan Regulasi dari Penyimpanan Data yang Tidak Terlacak
ConfidentialityData sensitif berada pada aset yang tidak tercatat dalam inventaris, menyebabkan paparan PII/PHI yang tidak terlindungi selama pelanggaran data dan sanksi regulasi.
Kerentanan (Saat Pengamanan Tidak Ada)
Tidak Ada Visibilitas Aset Terpusat
Tanpa inventaris aset yang terperinci, organisasi tidak dapat menentukan cakupan penuh perangkat yang menyimpan atau memproses data, meninggalkan titik buta dalam cakupan keamanan.
Catatan Aset yang Usang atau Tidak Akurat
Ketiadaan inventaris yang dipelihara berarti aset yang dinonaktifkan, dipindahkan, atau dialihfungsikan tidak dilacak, menciptakan ketidaksesuaian antara kondisi jaringan yang diasumsikan dan aktual.
Ketidakmampuan Menentukan Cakupan Respons Insiden
Ketika pelanggaran terjadi, tim respons tidak dapat dengan cepat mengidentifikasi semua aset yang berpotensi terdampak, memperpanjang waktu tinggal dan memperluas radius dampak insiden.
Persyaratan Bukti
| Jenis | Item Bukti | Frekuensi Pengumpulan |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |