IG3

Terapkan Solusi Pencegahan Intrusi Berbasis Host

Kelompok Kontrol: 13. Pemantauan dan Pertahanan Jaringan

Jenis Aset: Perangkat

Fungsi Keamanan: Lindungi

Deskripsi

Terapkan solusi pencegahan intrusi berbasis host pada aset perusahaan, jika sesuai dan/atau didukung. Contoh implementasi termasuk penggunaan klien Endpoint Detection and Response (EDR) atau agen IPS berbasis host.

Daftar Periksa Implementasi

1

Kembangkan rencana respons insiden dan buku pedoman

2

Tentukan peran, jalur eskalasi, dan saluran komunikasi

3

Lakukan simulasi meja untuk memvalidasi rencana

4

Tetapkan proses peninjauan pasca-insiden

Rekomendasi Alat

Darktrace DETECT + RESPOND Gartner MQ Visionary, NDR 2024; Forrester Wave Leader, NDR 2024

Deteksi dan respons jaringan berbasis AI dengan analisis ancaman mandiri dan respons otonom

Darktrace · Langganan perusahaan

Vectra AI Platform Gartner MQ Leader, NDR 2024

Deteksi dan respons ancaman berbasis AI untuk jaringan, cloud, dan identitas dengan intelijen sinyal serangan

Vectra AI · Langganan perusahaan

ExtraHop RevealX Gartner MQ Leader, NDR 2024; Forrester Wave Leader, NDR 2024

Platform deteksi dan respons jaringan dengan analisis lalu lintas real-time, inspeksi lalu lintas terenkripsi, dan visibilitas cloud

ExtraHop · Langganan per perangkat/bandwidth

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Eksekusi Ransomware Meskipun Ada Peringatan Deteksi

Availability

Alat deteksi berbasis host mengidentifikasi perilaku ransomware tetapi hanya dapat memperingatkan, tidak memblokir, memungkinkan malware mengenkripsi file sebelum analis merespons karena tidak ada kemampuan pencegahan berbasis host.

Eksekusi Eksploit Zero-Day pada Endpoint

Integrity

Penyerang mengirimkan eksploit zero-day melalui dokumen spear-phishing yang mengeksekusi kode berbahaya pada endpoint, dan tanpa pencegahan intrusi berbasis host, eksploit tidak dapat secara otomatis diblokir berdasarkan analisis perilaku.

Eksekusi Alat Credential Dumping pada Host yang Dikompromikan

Confidentiality

Penyerang menjalankan Mimikatz atau alat pengambilan kredensial serupa pada workstation yang dikompromikan, mengekstrak kredensial yang di-cache tanpa pencegahan otomatis karena tidak ada HIPS/EDR yang di-deploy untuk memblokir teknik serangan yang diketahui.

Kerentanan (Saat Pengamanan Tidak Ada)

Kemampuan Hanya Deteksi Tanpa Pencegahan Otomatis

Tanpa pencegahan intrusi berbasis host, aktivitas berbahaya yang diidentifikasi melalui deteksi saja tidak dapat secara otomatis diblokir, menciptakan celah antara pembuatan peringatan dan respons insiden manual.

Tidak Ada Pemblokiran Endpoint Berbasis Perilaku

Ketiadaan HIPS atau EDR dengan kemampuan pencegahan berarti endpoint tidak dapat secara otomatis menghentikan proses berbahaya, mengkarantina file mencurigakan, atau memblokir teknik eksploitasi secara real time.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Rencana respons insiden dan buku pedoman	Ditinjau setiap semester
Catatan	Laporan insiden dan dokumentasi peninjauan pasca-insiden	Setiap insiden
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Kontrol Akses Jaringan

Control 13

Pengamanan Terkait di Kontrol 13

13.1 Sentralisasi Peringatan Peristiwa Keamanan

13.2 Terapkan Solusi Deteksi Intrusi Berbasis Host

13.3 Terapkan Solusi Deteksi Intrusi Jaringan

13.4 Lakukan Penyaringan Lalu Lintas Antar Segmen Jaringan

13.5 Kelola Kontrol Akses untuk Aset Jarak Jauh

13.6 Kumpulkan Log Aliran Lalu Lintas Jaringan

13.8 Terapkan Solusi Pencegahan Intrusi Jaringan

13.9 Terapkan Kontrol Akses Tingkat Port

13.10 Lakukan Penyaringan Lapisan Aplikasi

13.11 Sesuaikan Ambang Batas Peringatan Peristiwa Keamanan