IG1 IG2 IG3

Tangani Aset yang Tidak Sah

Kelompok Kontrol: 1. Inventarisasi dan Pengendalian Aset Perusahaan

Jenis Aset: Perangkat

Fungsi Keamanan: Respons

Deskripsi

Pastikan ada proses untuk menangani aset yang tidak sah secara mingguan. Perusahaan dapat memilih untuk menghapus aset dari jaringan, menolak aset dari koneksi jarak jauh ke jaringan, atau mengkarantina aset tersebut.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Axonius Forrester Wave Leader, CAASM 2023

Platform manajemen permukaan serangan aset siber yang menyediakan inventaris aset komprehensif di seluruh lingkungan IT, cloud, SaaS, dan OT

Axonius · Langganan perusahaan

ServiceNow IT Asset Management Gartner MQ Leader, ITSM 2024

Platform manajemen aset IT perusahaan dan CMDB dengan penemuan otomatis dan manajemen siklus hidup

ServiceNow · Langganan perusahaan

Lansweeper Gartner Peer Insights Customers' Choice, ITAM 2024

Platform penemuan dan inventaris aset IT yang memindai jaringan untuk aset perangkat keras, perangkat lunak, dan cloud

Lansweeper · Langganan per aset

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Infiltrasi Jaringan oleh Perangkat Tidak Sah

Confidentiality

Penyerang atau orang dalam menghubungkan perangkat tidak sah (misalnya, rogue wireless AP, perangkat tethering USB) ke jaringan korporat untuk mencegat lalu lintas atau membuat backdoor.

Persistensi Perangkat IoT yang Dikompromikan

Integrity

Perangkat IoT tidak sah dengan kredensial default tetap berada di jaringan tanpa batas waktu, menyediakan vektor serangan persisten yang melewati kontrol keamanan endpoint.

Pengenalan Malware melalui BYOD

Availability

Perangkat pribadi yang tidak dikelola dan terinfeksi malware terhubung ke jaringan perusahaan tanpa karantina atau tinjauan, menyebarkan infeksi ke sistem produksi.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Proses untuk Mengkarantina atau Menghapus Aset Tidak Sah

Tanpa proses yang ditetapkan untuk menangani aset tidak sah, perangkat tidak sah tetap berada di jaringan tanpa batas waktu tanpa akuntabilitas atau jadwal remediasi.

Respons Tertunda terhadap Intrusi Jaringan

Ketiadaan siklus tinjauan mingguan untuk aset tidak sah berarti perangkat berbahaya atau tidak patuh dapat beroperasi tanpa terdeteksi untuk periode yang lama.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Aset Perusahaan

Control 1

Pengamanan Terkait di Kontrol 1

1.1 Tetapkan dan Pelihara Inventaris Aset Perusahaan yang Terperinci

1.3 Gunakan Alat Penemuan Aktif

1.4 Gunakan Pencatatan Dynamic Host Configuration Protocol (DHCP) untuk Memperbarui Inventaris Aset Perusahaan

1.5 Gunakan Alat Penemuan Aset Pasif