4.5
IG1 IG2 IG3

Terapkan dan Kelola Firewall pada Perangkat Pengguna Akhir

Kelompok Kontrol: 4. Konfigurasi Aman Aset dan Perangkat Lunak Perusahaan
Jenis Aset: Perangkat
Fungsi Keamanan: Lindungi

Deskripsi

Terapkan dan kelola firewall berbasis host pada perangkat portabel pengguna akhir dengan aturan penolakan default yang menghentikan semua lalu lintas kecuali layanan dan port yang secara eksplisit diizinkan.

Daftar Periksa Implementasi

1
Tinjau dan dokumentasikan kumpulan aturan firewall saat ini
2
Tentukan aturan firewall yang diperlukan berdasarkan kebutuhan bisnis
3
Implementasikan dan uji aturan firewall
4
Jadwalkan peninjauan dan pembersihan aturan secara berkala

Rekomendasi Alat

CIS-CAT Pro CIS Official Benchmark Tool; Industry Standard

Alat penilaian CIS Benchmark otomatis untuk pemindaian kepatuhan konfigurasi di seluruh OS, aplikasi, dan cloud

Center for Internet Security · Keanggotaan CIS SecureSuite
Qualys Policy Compliance Gartner MQ Leader, Vulnerability Management 2024

Platform penilaian konfigurasi dan kepatuhan berbasis cloud dengan dukungan CIS Benchmark dan pemantauan berkelanjutan

Qualys · Langganan per aset
Tripwire Enterprise Gartner Peer Insights, Security Configuration Management 2024

Platform manajemen konfigurasi keamanan dan pemantauan integritas file dengan kepatuhan kebijakan dan deteksi penyimpangan

Fortra (Tripwire) · Langganan per node

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Eksploitasi Langsung Endpoint dari Jaringan

Confidentiality

Penyerang mengeksploitasi layanan yang berjalan pada perangkat pengguna akhir (RDP, SMB, WinRM) yang dapat diakses karena tidak ada firewall berbasis host yang memblokir koneksi masuk dari sumber yang tidak sah.

Penyebaran Malware Peer-to-Peer Antar Workstation

Availability

Malware pada satu workstation menyebar langsung ke workstation lain melalui berbagi jaringan dan layanan karena tidak ada firewall endpoint yang membatasi lalu lintas workstation-ke-workstation.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Firewall Default-Deny pada Perangkat Pengguna Akhir

Tanpa firewall berbasis host dengan aturan masuk default-deny, perangkat pengguna akhir menerima koneksi pada semua port, mengekspos setiap layanan yang berjalan ke jaringan.

Komunikasi Keluar Tanpa Batasan dari Endpoint

Tanpa penyaringan port firewall pada endpoint, malware dapat membangun koneksi keluar ke server command-and-control pada port atau protokol apa pun.

Persyaratan Bukti

Jenis Item Bukti Frekuensi Pengumpulan
Teknis Ekspor kumpulan aturan firewall dan dokumentasi peninjauan Ditinjau setiap kuartal
Catatan Catatan permintaan perubahan dan persetujuan firewall Setiap perubahan
Dokumen Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Konfigurasi yang Aman
Control 4, Control 9, Control 12
Kebijakan Firewall
Control 4

Pengamanan Terkait di Kontrol 4

4.1 Tetapkan dan Pelihara Proses Konfigurasi Aman
4.2 Tetapkan dan Pelihara Proses Konfigurasi Aman untuk Infrastruktur Jaringan
4.3 Konfigurasikan Penguncian Otomatis Sesi pada Aset Perusahaan
4.4 Terapkan dan Kelola Firewall pada Server
4.6 Kelola Aset dan Perangkat Lunak Perusahaan dengan Aman
4.7 Kelola Akun Default pada Aset dan Perangkat Lunak Perusahaan
4.8 Hapus atau Nonaktifkan Layanan yang Tidak Diperlukan pada Aset dan Perangkat Lunak Perusahaan
4.9 Konfigurasikan Server DNS Tepercaya pada Aset Perusahaan
4.10 Terapkan Penguncian Perangkat Otomatis pada Perangkat Portabel Pengguna Akhir
4.11 Terapkan Kemampuan Penghapusan Jarak Jauh pada Perangkat Portabel Pengguna Akhir
4.12 Pisahkan Ruang Kerja Perusahaan pada Perangkat Seluler Pengguna Akhir
4.4 4.6