Daftar Putih Skrip yang Diotorisasi
Deskripsi
Gunakan kontrol teknis, seperti tanda tangan digital dan kontrol versi, untuk memastikan bahwa hanya skrip yang diotorisasi, seperti file .ps1, .py, dll. tertentu, yang diizinkan untuk dijalankan. Blokir skrip yang tidak diotorisasi agar tidak dijalankan. Evaluasi ulang setiap dua tahun, atau lebih sering.
Daftar Periksa Implementasi
Rekomendasi Alat
Platform manajemen aset IT dan manajemen aset perangkat lunak dengan optimasi lisensi dan manajemen SaaS
Flexera · Langganan perusahaan
Platform manajemen endpoint terpadu untuk pendaftaran perangkat, penyebaran perangkat lunak, konfigurasi, dan kepatuhan di seluruh Windows, macOS, iOS, dan Android
Microsoft · Langganan per pengguna/per perangkat
Platform ruang kerja digital yang menggabungkan UEM dengan pengiriman aplikasi virtual dan akses zero-trust untuk manajemen endpoint
Broadcom (VMware) · Langganan per perangkat
Ancaman & Kerentanan (CIS RAM)
Skenario Ancaman
Eksekusi Skrip PowerShell atau Python Berbahaya
ConfidentialityPenyerang mengeksekusi skrip PowerShell, Python, atau skrip lainnya yang diobfuskasi untuk mengunduh payload tambahan, membuang kredensial, atau membangun reverse shell tanpa batasan.
Malware Fileless melalui Mesin Skrip
IntegrityAktor ancaman memanfaatkan eksekusi skrip tanpa batasan untuk menjalankan malware fileless sepenuhnya di memori melalui mesin skrip, menghindari deteksi berbasis file tradisional.
Ancaman Orang Dalam melalui Skrip Otomasi Tidak Sah
ConfidentialityOrang dalam yang berbahaya membuat skrip untuk mengotomatisasi pengumpulan dan eksfiltrasi data, memodifikasi konfigurasi sistem secara massal, atau meningkatkan hak istimewa tanpa terdeteksi.
Kerentanan (Saat Pengamanan Tidak Ada)
Eksekusi Skrip Tanpa Batasan pada Endpoint
Tanpa allowlisting skrip atau persyaratan penandatanganan kode, file skrip apa pun dapat dieksekusi di aset perusahaan, menjadikan mesin skrip sebagai vektor serangan utama.
Tidak Ada Kontrol Versi atau Penandatanganan untuk Skrip
Ketiadaan verifikasi tanda tangan digital untuk skrip berarti skrip yang dimodifikasi atau berbahaya tidak dapat dibedakan dari otomasi yang sah.
Persyaratan Bukti
| Jenis | Item Bukti | Frekuensi Pengumpulan |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |