IG3

Lakukan Pengujian Penetrasi Internal Berkala

Kelompok Kontrol: 18. Pengujian Penetrasi

Jenis Aset: T/A

Fungsi Keamanan: Identifikasi

Deskripsi

Lakukan pengujian penetrasi internal berkala berdasarkan persyaratan program, tidak kurang dari setiap tahun. Pengujian dapat berupa clear box atau opaque box.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

HackerOne Forrester Wave Leader, Bug Bounty Platforms 2024

Platform pengujian keamanan berkelanjutan dengan program bug bounty, pentesting terkelola, dan pengungkapan kerentanan

HackerOne · Langganan berbasis program

Synack Forrester Wave Leader, Penetration Testing Services 2024

Platform pengujian keamanan crowdsourced dengan peneliti terverifikasi, pentesting berbasis AI, dan penilaian berkelanjutan

Synack · Langganan berbasis aset

Cobalt Forrester Wave Strong Performer, Penetration Testing 2024

Platform Pentest as a Service dengan pentester terverifikasi, pengujian terprogram, dan manajemen temuan

Cobalt · Langganan berbasis kredit

Bishop Fox Cosmos Forrester Wave Leader, Penetration Testing Services 2024

Platform manajemen permukaan serangan berkelanjutan dan keamanan ofensif yang menggabungkan pemindaian otomatis dengan pentesting yang dipimpin ahli

Bishop Fox · Langganan perusahaan

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Jalur Pergerakan Lateral Tidak Ditemukan Sampai Pelanggaran Nyata

Confidentiality

Penyerang yang mendapatkan akses internal awal menemukan dan mengeksploitasi jalur pergerakan lateral antar segmen jaringan yang akan teridentifikasi oleh pengujian penetrasi internal.

Eskalasi Hak Istimewa Internal ke Domain Administrator

Confidentiality

Penyerang meningkat dari akun pengguna standar ke domain administrator menggunakan miskonfigurasi Active Directory yang akan diungkap dan ditandai untuk remediasi oleh pengujian penetrasi internal.

Ancaman Orang Dalam Mengeksploitasi Kelemahan Internal

Confidentiality

Orang dalam yang berbahaya mengeksploitasi segmentasi internal yang lemah, berbagi file yang terlalu permisif, dan layanan yang salah konfigurasi yang tidak pernah diuji dari perspektif penyerang internal.

Kerentanan (Saat Pengamanan Tidak Ada)

Jaringan Internal Tidak Diuji dari Perspektif Penyerang

Tanpa pengujian penetrasi internal, kerentanan yang dapat dieksploitasi setelah akses awal seperti miskonfigurasi Active Directory, segmentasi lemah, dan jalur pergerakan lateral tetap tidak ditemukan.

Skenario Assume-Breach Tidak Pernah Divalidasi

Ketiadaan pengujian penetrasi internal berarti organisasi tidak pernah mengevaluasi postur pertahanannya dengan asumsi bahwa penyerang telah melewati kontrol perimeter dan memiliki akses internal.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Pengujian Penetrasi

Control 18

Pengamanan Terkait di Kontrol 18

18.1 Tetapkan dan Pelihara Program Pengujian Penetrasi

18.2 Lakukan Pengujian Penetrasi Eksternal Berkala

18.3 Remediasi Temuan Pengujian Penetrasi

18.4 Validasi Langkah-langkah Keamanan