Remediasi Temuan Pengujian Penetrasi
Deskripsi
Remediasi temuan pengujian penetrasi berdasarkan kebijakan perusahaan untuk ruang lingkup dan prioritas remediasi.
Daftar Periksa Implementasi
Rekomendasi Alat
Penilaian kerentanan berkelanjutan dan manajemen eksposur di seluruh aset IT, cloud, kontainer, dan OT
Tenable · Langganan per aset
Manajemen kerentanan, deteksi, dan respons berbasis cloud dengan manajemen patch dan inventaris aset terintegrasi
Qualys · Langganan per aset
Platform manajemen kerentanan dengan dasbor langsung, prioritas risiko, dan alur kerja remediasi
Rapid7 · Langganan per aset
Ancaman & Kerentanan (CIS RAM)
Skenario Ancaman
Kerentanan yang Diketahui Dieksploitasi Setelah Temuan Pentest yang Tidak Diremediasi
ConfidentialityPenyerang mengeksploitasi kerentanan yang diidentifikasi dalam pengujian penetrasi tetapi tidak pernah diremediasi karena tidak ada proses untuk melacak dan memprioritaskan remediasi temuan pentest.
Temuan Kritis Diprioritaskan Rendah Tanpa Kebijakan Remediasi
IntegrityTemuan pengujian penetrasi kritis diprioritaskan rendah oleh tim pengembangan yang fokus pada fitur karena tidak ada kebijakan organisasi yang mewajibkan jadwal remediasi berdasarkan keparahan temuan.
Kerentanan (Saat Pengamanan Tidak Ada)
Tidak Ada Proses Remediasi untuk Temuan Pengujian Penetrasi
Tanpa cakupan remediasi dan kebijakan prioritas yang ditetapkan, temuan pengujian penetrasi tidak ditangani secara sistematis, meninggalkan kerentanan yang teridentifikasi dapat dieksploitasi lama setelah penemuan.
Pengujian Penetrasi Menghasilkan Laporan Tanpa Akuntabilitas
Ketiadaan persyaratan remediasi berarti laporan pengujian penetrasi menjadi dokumentasi yang diabaikan, dengan temuan diakui tetapi tidak pernah ditugaskan, dilacak, atau diverifikasi telah diperbaiki.
Persyaratan Bukti
| Jenis | Item Bukti | Frekuensi Pengumpulan |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |