IG2 IG3

Terapkan Penguncian Perangkat Otomatis pada Perangkat Portabel Pengguna Akhir

Kelompok Kontrol: 4. Konfigurasi Aman Aset dan Perangkat Lunak Perusahaan

Jenis Aset: Perangkat

Fungsi Keamanan: Respons

Deskripsi

Terapkan penguncian perangkat otomatis setelah ambang batas percobaan autentikasi lokal yang gagal yang telah ditentukan pada perangkat portabel pengguna akhir, jika didukung. Untuk laptop, jangan izinkan lebih dari 20 percobaan autentikasi yang gagal; untuk tablet dan ponsel cerdas, tidak lebih dari 10 percobaan autentikasi yang gagal. Contoh implementasi termasuk Microsoft® InTune Device Lock dan Apple® Configuration Profile maxFailedAttempts.

Daftar Periksa Implementasi

1

Pilih acuan pengerasan (CIS Benchmarks, DISA STIGs)

2

Buat templat konfigurasi dasar

3

Terapkan konfigurasi menggunakan alat otomatisasi

4

Jadwalkan pemindaian kepatuhan untuk mendeteksi penyimpangan

Rekomendasi Alat

CrowdStrike Falcon Gartner MQ Leader, EPP 2024; Forrester Wave Leader, XDR 2024

Platform perlindungan endpoint cloud-native dengan AV generasi baru, EDR, intelijen ancaman, dan managed hunting

CrowdStrike · Langganan per endpoint

Microsoft Defender for Endpoint Gartner MQ Leader, EPP 2024

Keamanan endpoint perusahaan dengan pencegahan ancaman, EDR, investigasi otomatis, dan pengurangan permukaan serangan

Microsoft · Langganan per perangkat (P1/P2)

SentinelOne Singularity Gartner MQ Leader, EPP 2024; Forrester Wave Leader, XDR 2024

Perlindungan endpoint berbasis AI dengan respons otonom, EDR, dan kemampuan XDR di seluruh endpoint, cloud, dan identitas

SentinelOne · Langganan per endpoint

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Serangan Brute-Force Password pada Perangkat yang Hilang

Confidentiality

Penyerang dengan kepemilikan fisik perangkat portabel yang hilang atau dicuri mencoba tebakan password tanpa batas untuk membuka perangkat dan mengakses semua data dan kredensial yang tersimpan.

Pemecahan PIN Otomatis pada Perangkat Seluler

Confidentiality

Alat khusus melakukan upaya brute-force PIN atau passcode otomatis yang cepat terhadap perangkat seluler tanpa perlindungan penguncian, memecahkan PIN pendek dalam hitungan menit.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Penguncian Autentikasi Gagal pada Perangkat Portabel

Tanpa penguncian otomatis setelah upaya autentikasi yang gagal, penyerang dapat melakukan tebakan password brute-force tanpa batas terhadap perangkat portabel.

Ambang Batas Penguncian yang Tidak Konsisten di Seluruh Jenis Perangkat

Tanpa kebijakan penguncian yang ditegakkan untuk laptop dan perangkat seluler, beberapa perangkat mengizinkan upaya autentikasi tanpa batas sementara yang lain mungkin memiliki ambang batas yang tidak memadai.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Teknis	Hasil pemindaian kepatuhan konfigurasi terhadap acuan dasar yang disetujui	Dipindai setiap bulan
Dokumen	Dokumentasi konfigurasi acuan dasar yang disetujui	Ditinjau setiap kuartal
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Pengamanan Terkait di Kontrol 4

4.1 Tetapkan dan Pelihara Proses Konfigurasi Aman

4.2 Tetapkan dan Pelihara Proses Konfigurasi Aman untuk Infrastruktur Jaringan

4.3 Konfigurasikan Penguncian Otomatis Sesi pada Aset Perusahaan

4.4 Terapkan dan Kelola Firewall pada Server

4.5 Terapkan dan Kelola Firewall pada Perangkat Pengguna Akhir

4.6 Kelola Aset dan Perangkat Lunak Perusahaan dengan Aman

4.7 Kelola Akun Default pada Aset dan Perangkat Lunak Perusahaan

4.8 Hapus atau Nonaktifkan Layanan yang Tidak Diperlukan pada Aset dan Perangkat Lunak Perusahaan

4.9 Konfigurasikan Server DNS Tepercaya pada Aset Perusahaan

4.11 Terapkan Kemampuan Penghapusan Jarak Jauh pada Perangkat Portabel Pengguna Akhir

4.12 Pisahkan Ruang Kerja Perusahaan pada Perangkat Seluler Pengguna Akhir