IG2 IG3

Tetapkan dan Pelihara Inventaris Akun Layanan

Kelompok Kontrol: 5. Manajemen Akun

Jenis Aset: Pengguna

Fungsi Keamanan: Identifikasi

Deskripsi

Tetapkan dan pelihara inventaris akun layanan. Inventaris, minimal, harus berisi pemilik departemen, tanggal tinjauan, dan tujuan. Lakukan tinjauan akun layanan untuk memvalidasi bahwa semua akun aktif telah diotorisasi, dengan jadwal berulang minimal setiap kuartal, atau lebih sering.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

SailPoint Identity Security Gartner MQ Leader, IGA 2024

Platform tata kelola dan administrasi identitas dengan sertifikasi akses, manajemen siklus hidup, dan intelijen akses berbasis AI

SailPoint · Langganan per identitas

Microsoft Entra ID Gartner MQ Leader, Access Management 2024

Manajemen identitas dan akses cloud dengan SSO, MFA, akses bersyarat, dan tata kelola identitas

Microsoft · Langganan per pengguna (P1/P2)

Okta Workforce Identity Gartner MQ Leader, Access Management 2024

Platform identitas cloud yang menyediakan SSO, MFA adaptif, manajemen siklus hidup, dan manajemen akses API

Okta · Langganan per pengguna

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Penyalahgunaan Kredensial Akun Layanan untuk Akses Persisten

Confidentiality

Penyerang menemukan dan mengkompromikan akun layanan yang tidak terlacak dengan password statis dan hak istimewa tinggi, menggunakannya untuk akses persisten dan tersembunyi yang bertahan dari reset password pengguna.

Eksploitasi Akun Layanan Yatim

Integrity

Akun layanan yang dibuat untuk aplikasi yang dinonaktifkan tetap aktif dengan izin luas, menyediakan jalur akses dengan hak istimewa tinggi bagi penyerang yang tidak dipantau atau ditinjau siapa pun.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Inventaris Akun Layanan

Tanpa inventaris akun layanan yang dipelihara, organisasi tidak tahu berapa banyak akun layanan yang ada, apa yang dapat mereka akses, atau apakah mereka masih diperlukan.

Akun Layanan Tanpa Kepemilikan atau Tinjauan yang Ditetapkan

Tanpa pemilik yang terdokumentasi dan tinjauan berulang, akun layanan beroperasi tanpa batas waktu tanpa ada yang memverifikasi otorisasi, cakupan akses, atau kebutuhan berkelanjutan mereka.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Akun dan Kredensial

Control 5, Control 6

Kebijakan Manajemen Akses Istimewa

Control 5, Control 6

Pengamanan Terkait di Kontrol 5

5.1 Tetapkan dan Pelihara Inventaris Akun

5.2 Gunakan Kata Sandi yang Unik

5.3 Nonaktifkan Akun yang Tidak Aktif

5.4 Batasi Hak Istimewa Administrator ke Akun Administrator Khusus

5.6 Sentralisasi Manajemen Akun