4.6
IG1 IG2 IG3

Kelola Aset dan Perangkat Lunak Perusahaan dengan Aman

Kelompok Kontrol: 4. Konfigurasi Aman Aset dan Perangkat Lunak Perusahaan
Jenis Aset: Jaringan
Fungsi Keamanan: Lindungi

Deskripsi

Kelola aset dan perangkat lunak perusahaan dengan aman. Contoh implementasi termasuk mengelola konfigurasi melalui infrastruktur-sebagai-kode yang dikontrol versi dan mengakses antarmuka administratif melalui protokol jaringan aman, seperti Secure Shell (SSH) dan Hypertext Transfer Protocol Secure (HTTPS). Jangan gunakan protokol manajemen yang tidak aman, seperti Telnet (Teletype Network) dan HTTP, kecuali jika sangat diperlukan secara operasional.

Daftar Periksa Implementasi

1
Tinjau persyaratan pengamanan terhadap kondisi saat ini
2
Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian
3
Implementasikan kontrol dan prosedur yang diperlukan
4
Verifikasi implementasi melalui pengujian dan audit
5
Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

CIS-CAT Pro CIS Official Benchmark Tool; Industry Standard

Alat penilaian CIS Benchmark otomatis untuk pemindaian kepatuhan konfigurasi di seluruh OS, aplikasi, dan cloud

Center for Internet Security · Keanggotaan CIS SecureSuite
Qualys Policy Compliance Gartner MQ Leader, Vulnerability Management 2024

Platform penilaian konfigurasi dan kepatuhan berbasis cloud dengan dukungan CIS Benchmark dan pemantauan berkelanjutan

Qualys · Langganan per aset
Microsoft Intune Gartner MQ Leader, UEM 2024

Platform manajemen endpoint terpadu untuk pendaftaran perangkat, penyebaran perangkat lunak, konfigurasi, dan kepatuhan di seluruh Windows, macOS, iOS, dan Android

Microsoft · Langganan per pengguna/per perangkat

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Intersepsi Kredensial melalui Protokol Manajemen Tidak Aman

Confidentiality

Kredensial administratif yang ditransmisikan melalui Telnet, HTTP, atau SNMP tidak terenkripsi ditangkap oleh penyerang yang melakukan sniffing jaringan, memberikan kontrol administratif penuh.

Serangan Man-in-the-Middle pada Lalu Lintas Manajemen

Integrity

Penyerang mencegat dan memodifikasi perintah manajemen yang dikirim melalui protokol tidak aman, mengubah konfigurasi perangkat, menyuntikkan akun backdoor, atau mengganggu layanan.

Kerentanan (Saat Pengamanan Tidak Ada)

Penggunaan Protokol Manajemen Tidak Aman

Mengelola aset perusahaan melalui Telnet, HTTP, atau SNMPv1/v2 mengekspos kredensial administratif dan perintah dalam teks biasa di jaringan.

Tidak Ada Konfigurasi Infrastruktur yang Dikontrol Versi

Tanpa infrastructure-as-code yang dikontrol versi untuk mengelola konfigurasi, perubahan yang tidak sah sulit dideteksi dan tidak mungkin di-rollback secara andal.

Persyaratan Bukti

Jenis Item Bukti Frekuensi Pengumpulan
Dokumen Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Konfigurasi yang Aman
Control 4, Control 9, Control 12
Kebijakan Firewall
Control 4

Pengamanan Terkait di Kontrol 4

4.1 Tetapkan dan Pelihara Proses Konfigurasi Aman
4.2 Tetapkan dan Pelihara Proses Konfigurasi Aman untuk Infrastruktur Jaringan
4.3 Konfigurasikan Penguncian Otomatis Sesi pada Aset Perusahaan
4.4 Terapkan dan Kelola Firewall pada Server
4.5 Terapkan dan Kelola Firewall pada Perangkat Pengguna Akhir
4.7 Kelola Akun Default pada Aset dan Perangkat Lunak Perusahaan
4.8 Hapus atau Nonaktifkan Layanan yang Tidak Diperlukan pada Aset dan Perangkat Lunak Perusahaan
4.9 Konfigurasikan Server DNS Tepercaya pada Aset Perusahaan
4.10 Terapkan Penguncian Perangkat Otomatis pada Perangkat Portabel Pengguna Akhir
4.11 Terapkan Kemampuan Penghapusan Jarak Jauh pada Perangkat Portabel Pengguna Akhir
4.12 Pisahkan Ruang Kerja Perusahaan pada Perangkat Seluler Pengguna Akhir
4.5 4.7