2.7
IG3

Daftar Putih Skrip yang Diotorisasi

Kelompok Kontrol: 2. Inventarisasi dan Pengendalian Aset Perangkat Lunak
Jenis Aset: Aplikasi
Fungsi Keamanan: Lindungi

Deskripsi

Gunakan kontrol teknis, seperti tanda tangan digital dan kontrol versi, untuk memastikan bahwa hanya skrip yang diotorisasi, seperti file .ps1, .py, dll. tertentu, yang diizinkan untuk dijalankan. Blokir skrip yang tidak diotorisasi agar tidak dijalankan. Evaluasi ulang setiap dua tahun, atau lebih sering.

Daftar Periksa Implementasi

1
Tinjau persyaratan pengamanan terhadap kondisi saat ini
2
Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian
3
Implementasikan kontrol dan prosedur yang diperlukan
4
Verifikasi implementasi melalui pengujian dan audit
5
Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Flexera One Gartner MQ Leader, SAM 2024

Platform manajemen aset IT dan manajemen aset perangkat lunak dengan optimasi lisensi dan manajemen SaaS

Flexera · Langganan perusahaan
Microsoft Intune Gartner MQ Leader, UEM 2024

Platform manajemen endpoint terpadu untuk pendaftaran perangkat, penyebaran perangkat lunak, konfigurasi, dan kepatuhan di seluruh Windows, macOS, iOS, dan Android

Microsoft · Langganan per pengguna/per perangkat
VMware Workspace ONE Gartner MQ Leader, UEM 2024

Platform ruang kerja digital yang menggabungkan UEM dengan pengiriman aplikasi virtual dan akses zero-trust untuk manajemen endpoint

Broadcom (VMware) · Langganan per perangkat

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Eksekusi Skrip PowerShell atau Python Berbahaya

Confidentiality

Penyerang mengeksekusi skrip PowerShell, Python, atau skrip lainnya yang diobfuskasi untuk mengunduh payload tambahan, membuang kredensial, atau membangun reverse shell tanpa batasan.

Malware Fileless melalui Mesin Skrip

Integrity

Aktor ancaman memanfaatkan eksekusi skrip tanpa batasan untuk menjalankan malware fileless sepenuhnya di memori melalui mesin skrip, menghindari deteksi berbasis file tradisional.

Ancaman Orang Dalam melalui Skrip Otomasi Tidak Sah

Confidentiality

Orang dalam yang berbahaya membuat skrip untuk mengotomatisasi pengumpulan dan eksfiltrasi data, memodifikasi konfigurasi sistem secara massal, atau meningkatkan hak istimewa tanpa terdeteksi.

Kerentanan (Saat Pengamanan Tidak Ada)

Eksekusi Skrip Tanpa Batasan pada Endpoint

Tanpa allowlisting skrip atau persyaratan penandatanganan kode, file skrip apa pun dapat dieksekusi di aset perusahaan, menjadikan mesin skrip sebagai vektor serangan utama.

Tidak Ada Kontrol Versi atau Penandatanganan untuk Skrip

Ketiadaan verifikasi tanda tangan digital untuk skrip berarti skrip yang dimodifikasi atau berbahaya tidak dapat dibedakan dari otomasi yang sah.

Persyaratan Bukti

Jenis Item Bukti Frekuensi Pengumpulan
Dokumen Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Aset Perangkat Lunak
Control 2

Pengamanan Terkait di Kontrol 2

2.1 Tetapkan dan Pelihara Inventaris Perangkat Lunak
2.2 Pastikan Perangkat Lunak yang Diotorisasi Masih Didukung
2.3 Tangani Perangkat Lunak yang Tidak Sah
2.4 Gunakan Alat Inventaris Perangkat Lunak Otomatis
2.5 Daftar Putih Perangkat Lunak yang Diotorisasi
2.6 Daftar Putih Pustaka yang Diotorisasi
2.6