IG1 IG2 IG3

Batasi Hak Istimewa Administrator ke Akun Administrator Khusus

Kelompok Kontrol: 5. Manajemen Akun

Jenis Aset: Pengguna

Fungsi Keamanan: Lindungi

Deskripsi

Batasi hak istimewa administrator ke akun administrator khusus pada aset perusahaan. Lakukan aktivitas komputasi umum, seperti penjelajahan internet, email, dan penggunaan suite produktivitas, dari akun utama pengguna yang tidak memiliki hak istimewa.

Daftar Periksa Implementasi

1

Konfigurasikan autentikasi email (SPF, DKIM, DMARC)

2

Terapkan gerbang keamanan email dengan penyaringan

3

Konfigurasikan pemindaian lampiran dan URL

4

Tinjau persyaratan pengamanan terhadap kondisi saat ini

5

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

6

Implementasikan kontrol dan prosedur yang diperlukan

7

Verifikasi implementasi melalui pengujian dan audit

8

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

CyberArk Privileged Access Manager Gartner MQ Leader, PAM 2024

Platform manajemen akses istimewa untuk mengamankan, mengelola, dan mengaudit kredensial dan sesi istimewa

CyberArk · Langganan per pengguna

BeyondTrust Privilege Management Gartner MQ Leader, PAM 2024

Manajemen akses istimewa dengan manajemen hak istimewa endpoint, akses jarak jauh yang aman, dan penyimpanan kata sandi

BeyondTrust · Langganan per pengguna

Delinea Secret Server Gartner MQ Leader, PAM 2024

Manajemen akses istimewa dengan penyimpanan kata sandi, perekaman sesi, dan peningkatan hak istimewa just-in-time

Delinea · Langganan per pengguna

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Pengambilalihan Domain Penuh dari Akun Admin yang Terkena Phishing

Confidentiality

Administrator yang menggunakan akun istimewa mereka untuk email dan penjelajahan web harian terkena phishing, dan kredensial yang dikompromikan memberikan penyerang akses domain admin langsung.

Drive-By Download yang Mengeksekusi dengan Hak Istimewa Admin

Integrity

Pengguna yang menjelajah web dengan akun yang memiliki hak istimewa administratif menemukan eksploit drive-by download yang mengeksekusi malware dengan hak admin penuh pada sistem.

Pencurian Kredensial melalui Sesi Browser Akun Admin

Confidentiality

Penyerang mencuri kredensial yang di-cache browser dari sesi yang berjalan di bawah akun administratif, mendapatkan token atau password tersimpan yang memberikan akses tinggi di seluruh perusahaan.

Kerentanan (Saat Pengamanan Tidak Ada)

Hak Istimewa Administratif Digunakan untuk Aktivitas Harian

Administrator yang menggunakan akun istimewa mereka untuk email, penjelajahan, dan pekerjaan umum mengekspos kredensial tinggi mereka terhadap serangan phishing, malware, dan pencurian kredensial.

Tidak Ada Pemisahan Antara Akun Admin dan Akun Pengguna Standar

Tanpa akun admin khusus yang terpisah dari akun penggunaan harian, kompromi sesi admin pengguna mana pun segera memberikan penyerang akses administratif penuh.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Teknis	Konfigurasi keamanan email (catatan SPF, DKIM, DMARC)	Diverifikasi setiap kuartal
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Akun dan Kredensial

Control 5, Control 6

Kebijakan Manajemen Akses Istimewa

Control 5, Control 6

Pengamanan Terkait di Kontrol 5

5.1 Tetapkan dan Pelihara Inventaris Akun

5.2 Gunakan Kata Sandi yang Unik

5.3 Nonaktifkan Akun yang Tidak Aktif

5.5 Tetapkan dan Pelihara Inventaris Akun Layanan

5.6 Sentralisasi Manajemen Akun