16.10
IG2 IG3

Terapkan Pemeriksaan Keamanan Otomatis Kode

Kelompok Kontrol: 16. Keamanan Perangkat Lunak Aplikasi
Jenis Aset: Aplikasi
Fungsi Keamanan: Lindungi

Deskripsi

Terapkan pemeriksaan keamanan otomatis kode untuk basis kode. Contoh implementasi termasuk analisis kode statis dan pengujian keamanan aplikasi dinamis (DAST).

Daftar Periksa Implementasi

1
Tinjau persyaratan pengamanan terhadap kondisi saat ini
2
Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian
3
Implementasikan kontrol dan prosedur yang diperlukan
4
Verifikasi implementasi melalui pengujian dan audit
5
Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Veracode Gartner MQ Leader, Application Security Testing 2024

Platform keamanan aplikasi dengan SAST, DAST, SCA, dan pelatihan pengembang untuk pengembangan perangkat lunak yang aman

Veracode · Langganan per aplikasi
Checkmarx One Gartner MQ Leader, Application Security Testing 2024

Platform keamanan aplikasi cloud-native dengan SAST, SCA, DAST, keamanan API, dan pengujian keamanan rantai pasokan

Checkmarx · Langganan per pengembang
Synopsys Software Integrity Gartner MQ Leader, Application Security Testing 2024

Rangkaian pengujian keamanan aplikasi dengan SAST (Coverity), SCA (Black Duck), dan DAST untuk AppSec yang komprehensif

Synopsys · Langganan per pengembang

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Eskalasi Hak Istimewa Melalui Mediasi Akses yang Hilang

Confidentiality

Aplikasi gagal memvalidasi otorisasi pengguna pada setiap operasi, memungkinkan penyerang meningkatkan hak istimewa dengan langsung mengakses fungsi administratif karena prinsip desain aman seperti mediasi yang ditegakkan tidak diterapkan.

Bypass Validasi Input yang Mengarah ke Eksekusi Kode Jarak Jauh

Integrity

Aplikasi menerima input pengguna tanpa validasi atau sanitasi yang tepat, memungkinkan penyerang menyuntikkan payload berbahaya karena arsitektur tidak dirancang dengan prinsip tidak pernah mempercayai input pengguna.

Permukaan Serangan Berlebihan dari Fitur Aplikasi yang Tidak Diperlukan

Confidentiality

Aplikasi mengekspos API yang tidak diperlukan, endpoint debug, dan antarmuka administratif di produksi karena desain tidak mengikuti prinsip meminimalkan permukaan serangan.

Kerentanan (Saat Pengamanan Tidak Ada)

Arsitektur Aplikasi Tidak Memiliki Prinsip Desain Aman

Tanpa menerapkan prinsip seperti least privilege, validasi input, dan minimisasi permukaan serangan selama fase desain, arsitektur fundamental aplikasi mengandung kelemahan keamanan struktural.

Tidak Ada Penegakan Mediasi pada Operasi Pengguna

Ketiadaan prinsip mediasi dalam desain aplikasi berarti operasi pengguna tidak secara konsisten divalidasi untuk otorisasi, memungkinkan serangan eskalasi hak istimewa horizontal dan vertikal.

Persyaratan Bukti

Jenis Item Bukti Frekuensi Pengumpulan
Dokumen Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Siklus Hidup Pengembangan Perangkat Lunak yang Aman
Control 16
Kebijakan Keamanan Aplikasi
Control 16

Pengamanan Terkait di Kontrol 16

16.1 Tetapkan dan Pelihara Proses Pengembangan Aplikasi yang Aman
16.2 Tetapkan dan Pelihara Proses untuk Menerima dan Menangani Laporan Kerentanan Perangkat Lunak
16.3 Lakukan Analisis Akar Masalah pada Kerentanan Keamanan
16.4 Tetapkan dan Kelola Inventaris Komponen Perangkat Lunak Pihak Ketiga
16.5 Gunakan Komponen Perangkat Lunak Pihak Ketiga yang Terkini dan Tepercaya
16.6 Tetapkan dan Pelihara Sistem Peringkat Tingkat Keparahan dan Proses untuk Kelemahan Aplikasi
16.7 Gunakan Template Konfigurasi Pengerasan Standar untuk Infrastruktur Aplikasi
16.8 Pisahkan Sistem Produksi dan Non-Produksi
16.9 Latih Pengembang dalam Konsep Keamanan Aplikasi dan Pengkodean Aman
16.11 Gunakan Modul atau Layanan Keamanan Terverifikasi
16.12 Terapkan Pemeriksaan Integritas Tingkat Kode
16.13 Lakukan Pengujian Penetrasi Aplikasi
16.14 Lakukan Pemodelan Ancaman
16.9 16.11