2.4
IG2 IG3

Gunakan Alat Inventaris Perangkat Lunak Otomatis

Kelompok Kontrol: 2. Inventarisasi dan Pengendalian Aset Perangkat Lunak
Jenis Aset: Aplikasi
Fungsi Keamanan: Deteksi

Deskripsi

Gunakan alat inventaris perangkat lunak, jika memungkinkan, di seluruh perusahaan untuk mengotomatiskan penemuan dan dokumentasi perangkat lunak yang terpasang.

Daftar Periksa Implementasi

1
Tinjau persyaratan pengamanan terhadap kondisi saat ini
2
Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian
3
Implementasikan kontrol dan prosedur yang diperlukan
4
Verifikasi implementasi melalui pengujian dan audit
5
Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Flexera One Gartner MQ Leader, SAM 2024

Platform manajemen aset IT dan manajemen aset perangkat lunak dengan optimasi lisensi dan manajemen SaaS

Flexera · Langganan perusahaan
Microsoft Intune Gartner MQ Leader, UEM 2024

Platform manajemen endpoint terpadu untuk pendaftaran perangkat, penyebaran perangkat lunak, konfigurasi, dan kepatuhan di seluruh Windows, macOS, iOS, dan Android

Microsoft · Langganan per pengguna/per perangkat
VMware Workspace ONE Gartner MQ Leader, UEM 2024

Platform ruang kerja digital yang menggabungkan UEM dengan pengiriman aplikasi virtual dan akses zero-trust untuk manajemen endpoint

Broadcom (VMware) · Langganan per perangkat

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Instalasi Perangkat Lunak oleh Aktor Ancaman yang Tidak Terdeteksi

Confidentiality

Penyerang menginstal alat persistensi, keylogger, atau utilitas pergerakan lateral yang tidak terdeteksi karena tidak ada alat otomatis yang memantau instalasi perangkat lunak baru.

Penyimpangan dari Baseline Perangkat Lunak yang Disetujui

Integrity

Tanpa penemuan otomatis, inventaris manual menjadi cepat usang saat pengguna menginstal aplikasi yang tidak disetujui, menciptakan permukaan serangan yang meluas dan tidak terlihat.

Kerentanan (Saat Pengamanan Tidak Ada)

Penemuan Perangkat Lunak Hanya Manual

Mengandalkan proses manual untuk melacak perangkat lunak yang diinstal di seluruh perusahaan rentan terhadap kesalahan dan tidak dapat diskalakan, menghasilkan inventaris yang secara kronis tidak lengkap dan usang.

Tidak Ada Visibilitas Real-Time terhadap Perubahan Perangkat Lunak

Tanpa alat inventaris otomatis, tidak ada mekanisme untuk mendeteksi kapan perangkat lunak baru diinstal atau perangkat lunak yang ada dimodifikasi di antara siklus audit manual.

Persyaratan Bukti

Jenis Item Bukti Frekuensi Pengumpulan
Dokumen Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Aset Perangkat Lunak
Control 2

Pengamanan Terkait di Kontrol 2

2.1 Tetapkan dan Pelihara Inventaris Perangkat Lunak
2.2 Pastikan Perangkat Lunak yang Diotorisasi Masih Didukung
2.3 Tangani Perangkat Lunak yang Tidak Sah
2.5 Daftar Putih Perangkat Lunak yang Diotorisasi
2.6 Daftar Putih Pustaka yang Diotorisasi
2.7 Daftar Putih Skrip yang Diotorisasi
2.3 2.5