IG2 IG3

Tetapkan dan Pelihara Sistem Peringkat Tingkat Keparahan dan Proses untuk Kelemahan Aplikasi

Kelompok Kontrol: 16. Keamanan Perangkat Lunak Aplikasi

Jenis Aset: Aplikasi

Fungsi Keamanan: Lindungi

Deskripsi

Tetapkan dan pelihara sistem peringkat tingkat keparahan dan proses untuk kelemahan aplikasi yang memfasilitasi prioritas urutan perbaikan.

Daftar Periksa Implementasi

1

Identifikasi sistem yang memerlukan autentikasi multi-faktor

2

Pilih dan terapkan solusi MFA

3

Daftarkan pengguna dan distribusikan faktor autentikasi

4

Uji MFA di semua sistem yang teridentifikasi

Rekomendasi Alat

Veracode Gartner MQ Leader, Application Security Testing 2024

Platform keamanan aplikasi dengan SAST, DAST, SCA, dan pelatihan pengembang untuk pengembangan perangkat lunak yang aman

Veracode · Langganan per aplikasi

Checkmarx One Gartner MQ Leader, Application Security Testing 2024

Platform keamanan aplikasi cloud-native dengan SAST, SCA, DAST, keamanan API, dan pengujian keamanan rantai pasokan

Checkmarx · Langganan per pengembang

Synopsys Software Integrity Gartner MQ Leader, Application Security Testing 2024

Rangkaian pengujian keamanan aplikasi dengan SAST (Coverity), SCA (Black Duck), dan DAST untuk AppSec yang komprehensif

Synopsys · Langganan per pengembang

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Kerentanan Kritis Diprioritaskan Rendah Tanpa Kerangka Keparahan

Integrity

Kerentanan remote code execution kritis dalam aplikasi yang menghadap pelanggan diperlakukan dengan urgensi yang sama seperti bug kosmetik minor karena tidak ada sistem rating keparahan untuk memprioritaskan remediasi.

Kerentanan Keparahan Rendah Menghabiskan Sumber Daya Sementara Kelemahan Kritis Bertahan

Confidentiality

Tim pengembangan menghabiskan waktu memperbaiki kerentanan berdampak rendah sementara kelemahan keamanan kritis dalam aplikasi produksi tetap tidak ditambal karena tidak ada kerangka prioritas yang memandu urutan remediasi.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Sistem Rating Keparahan Kerentanan

Tanpa sistem rating keparahan, semua kerentanan diperlakukan sama, mencegah organisasi mengarahkan sumber daya remediasi terhadap kelemahan yang paling kritis dan dapat dieksploitasi terlebih dahulu.

Tidak Ada Ambang Batas Akseptabilitas Keamanan Minimum untuk Rilis

Ketiadaan standar keamanan minimum berarti aplikasi dapat dirilis ke produksi dengan kerentanan kritis yang belum terselesaikan karena tidak ada standar yang ditetapkan yang mencegahnya.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Teknis	Status pendaftaran MFA dan konfigurasi penegakan	Ditinjau setiap bulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Siklus Hidup Pengembangan Perangkat Lunak yang Aman

Control 16

Kebijakan Keamanan Aplikasi

Control 16

Pengamanan Terkait di Kontrol 16

16.1 Tetapkan dan Pelihara Proses Pengembangan Aplikasi yang Aman

16.2 Tetapkan dan Pelihara Proses untuk Menerima dan Menangani Laporan Kerentanan Perangkat Lunak

16.3 Lakukan Analisis Akar Masalah pada Kerentanan Keamanan

16.4 Tetapkan dan Kelola Inventaris Komponen Perangkat Lunak Pihak Ketiga

16.5 Gunakan Komponen Perangkat Lunak Pihak Ketiga yang Terkini dan Tepercaya

16.7 Gunakan Template Konfigurasi Pengerasan Standar untuk Infrastruktur Aplikasi

16.8 Pisahkan Sistem Produksi dan Non-Produksi

16.9 Latih Pengembang dalam Konsep Keamanan Aplikasi dan Pengkodean Aman

16.10 Terapkan Pemeriksaan Keamanan Otomatis Kode

16.11 Gunakan Modul atau Layanan Keamanan Terverifikasi

16.12 Terapkan Pemeriksaan Integritas Tingkat Kode

16.13 Lakukan Pengujian Penetrasi Aplikasi

16.14 Lakukan Pemodelan Ancaman