Kelola Aset dan Perangkat Lunak Perusahaan dengan Aman
Deskripsi
Kelola aset dan perangkat lunak perusahaan dengan aman. Contoh implementasi termasuk mengelola konfigurasi melalui infrastruktur-sebagai-kode yang dikontrol versi dan mengakses antarmuka administratif melalui protokol jaringan aman, seperti Secure Shell (SSH) dan Hypertext Transfer Protocol Secure (HTTPS). Jangan gunakan protokol manajemen yang tidak aman, seperti Telnet (Teletype Network) dan HTTP, kecuali jika sangat diperlukan secara operasional.
Daftar Periksa Implementasi
Rekomendasi Alat
Alat penilaian CIS Benchmark otomatis untuk pemindaian kepatuhan konfigurasi di seluruh OS, aplikasi, dan cloud
Center for Internet Security · Keanggotaan CIS SecureSuite
Platform penilaian konfigurasi dan kepatuhan berbasis cloud dengan dukungan CIS Benchmark dan pemantauan berkelanjutan
Qualys · Langganan per aset
Platform manajemen endpoint terpadu untuk pendaftaran perangkat, penyebaran perangkat lunak, konfigurasi, dan kepatuhan di seluruh Windows, macOS, iOS, dan Android
Microsoft · Langganan per pengguna/per perangkat
Ancaman & Kerentanan (CIS RAM)
Skenario Ancaman
Intersepsi Kredensial melalui Protokol Manajemen Tidak Aman
ConfidentialityKredensial administratif yang ditransmisikan melalui Telnet, HTTP, atau SNMP tidak terenkripsi ditangkap oleh penyerang yang melakukan sniffing jaringan, memberikan kontrol administratif penuh.
Serangan Man-in-the-Middle pada Lalu Lintas Manajemen
IntegrityPenyerang mencegat dan memodifikasi perintah manajemen yang dikirim melalui protokol tidak aman, mengubah konfigurasi perangkat, menyuntikkan akun backdoor, atau mengganggu layanan.
Kerentanan (Saat Pengamanan Tidak Ada)
Penggunaan Protokol Manajemen Tidak Aman
Mengelola aset perusahaan melalui Telnet, HTTP, atau SNMPv1/v2 mengekspos kredensial administratif dan perintah dalam teks biasa di jaringan.
Tidak Ada Konfigurasi Infrastruktur yang Dikontrol Versi
Tanpa infrastructure-as-code yang dikontrol versi untuk mengelola konfigurasi, perubahan yang tidak sah sulit dideteksi dan tidak mungkin di-rollback secara andal.
Persyaratan Bukti
| Jenis | Item Bukti | Frekuensi Pengumpulan |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |