IG2 IG3

Hapus atau Nonaktifkan Layanan yang Tidak Diperlukan pada Aset dan Perangkat Lunak Perusahaan

Kelompok Kontrol: 4. Konfigurasi Aman Aset dan Perangkat Lunak Perusahaan

Jenis Aset: Perangkat

Fungsi Keamanan: Lindungi

Deskripsi

Hapus atau nonaktifkan layanan yang tidak diperlukan pada aset dan perangkat lunak perusahaan, seperti layanan berbagi file yang tidak digunakan, modul aplikasi web, atau fungsi layanan.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Splunk Enterprise Security Gartner MQ Leader, SIEM 2024

Platform SIEM dengan manajemen log, deteksi ancaman, investigasi, dan pelaporan kepatuhan di seluruh sumber data perusahaan

Cisco (Splunk) · Berbasis ingest atau berbasis beban kerja

Microsoft Sentinel Gartner MQ Leader, SIEM 2024

SIEM dan SOAR cloud-native dengan analitik berbasis AI, respons ancaman otomatis, dan integrasi native Azure/M365

Microsoft · Bayar sesuai penggunaan (per GB yang diproses)

Tripwire Enterprise Gartner Peer Insights, Security Configuration Management 2024

Platform manajemen konfigurasi keamanan dan pemantauan integritas file dengan kepatuhan kebijakan dan deteksi penyimpangan

Fortra (Tripwire) · Langganan per node

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Eksploitasi Layanan yang Tidak Diperlukan

Integrity

Penyerang mengeksploitasi kerentanan dalam layanan yang berjalan tetapi tidak diperlukan untuk operasi bisnis, seperti web server yang tidak digunakan, layanan FTP, atau remote desktop pada workstation.

Perluasan Permukaan Serangan melalui Modul Aplikasi yang Tidak Digunakan

Confidentiality

Modul aplikasi dan fungsi layanan yang tidak diperlukan menyediakan jalur kode tambahan bagi penyerang untuk dieksploitasi, meskipun organisasi tidak pernah menggunakan fungsionalitas tersebut.

Kerentanan (Saat Pengamanan Tidak Ada)

Layanan Berlebihan yang Berjalan pada Aset Perusahaan

Sistem menjalankan layanan dan modul aplikasi yang tidak diperlukan secara bawaan, secara dramatis memperluas permukaan serangan di luar apa yang diperlukan untuk fungsi yang dimaksudkan.

Tidak Ada Proses Pengurangan Permukaan Serangan

Tanpa proses untuk mengidentifikasi dan menonaktifkan layanan yang tidak diperlukan, setiap sistem mengumpulkan layanan yang dapat dieksploitasi yang meningkatkan risiko tanpa memberikan nilai bisnis.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Konfigurasi yang Aman

Control 4, Control 9, Control 12

Pengamanan Terkait di Kontrol 4

4.1 Tetapkan dan Pelihara Proses Konfigurasi Aman

4.2 Tetapkan dan Pelihara Proses Konfigurasi Aman untuk Infrastruktur Jaringan

4.3 Konfigurasikan Penguncian Otomatis Sesi pada Aset Perusahaan

4.4 Terapkan dan Kelola Firewall pada Server

4.5 Terapkan dan Kelola Firewall pada Perangkat Pengguna Akhir

4.6 Kelola Aset dan Perangkat Lunak Perusahaan dengan Aman

4.7 Kelola Akun Default pada Aset dan Perangkat Lunak Perusahaan

4.9 Konfigurasikan Server DNS Tepercaya pada Aset Perusahaan

4.10 Terapkan Penguncian Perangkat Otomatis pada Perangkat Portabel Pengguna Akhir

4.11 Terapkan Kemampuan Penghapusan Jarak Jauh pada Perangkat Portabel Pengguna Akhir

4.12 Pisahkan Ruang Kerja Perusahaan pada Perangkat Seluler Pengguna Akhir