5.5
IG2 IG3

Tetapkan dan Pelihara Inventaris Akun Layanan

Kelompok Kontrol: 5. Manajemen Akun
Jenis Aset: Pengguna
Fungsi Keamanan: Identifikasi

Deskripsi

Tetapkan dan pelihara inventaris akun layanan. Inventaris, minimal, harus berisi pemilik departemen, tanggal tinjauan, dan tujuan. Lakukan tinjauan akun layanan untuk memvalidasi bahwa semua akun aktif telah diotorisasi, dengan jadwal berulang minimal setiap kuartal, atau lebih sering.

Daftar Periksa Implementasi

1
Tinjau persyaratan pengamanan terhadap kondisi saat ini
2
Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian
3
Implementasikan kontrol dan prosedur yang diperlukan
4
Verifikasi implementasi melalui pengujian dan audit
5
Dokumentasikan implementasi dan perbarui prosedur operasional

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Penyalahgunaan Kredensial Akun Layanan untuk Akses Persisten

Confidentiality

Penyerang menemukan dan mengkompromikan akun layanan yang tidak terlacak dengan password statis dan hak istimewa tinggi, menggunakannya untuk akses persisten dan tersembunyi yang bertahan dari reset password pengguna.

Eksploitasi Akun Layanan Yatim

Integrity

Akun layanan yang dibuat untuk aplikasi yang dinonaktifkan tetap aktif dengan izin luas, menyediakan jalur akses dengan hak istimewa tinggi bagi penyerang yang tidak dipantau atau ditinjau siapa pun.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Inventaris Akun Layanan

Tanpa inventaris akun layanan yang dipelihara, organisasi tidak tahu berapa banyak akun layanan yang ada, apa yang dapat mereka akses, atau apakah mereka masih diperlukan.

Akun Layanan Tanpa Kepemilikan atau Tinjauan yang Ditetapkan

Tanpa pemilik yang terdokumentasi dan tinjauan berulang, akun layanan beroperasi tanpa batas waktu tanpa ada yang memverifikasi otorisasi, cakupan akses, atau kebutuhan berkelanjutan mereka.

Persyaratan Bukti

Jenis Item Bukti Frekuensi Pengumpulan
Dokumen Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) Ditinjau setiap tahun