IG1 IG2 IG3

Wajibkan MFA untuk Aplikasi yang Diakses secara Eksternal

Kelompok Kontrol: 6. Manajemen Kontrol Akses

Jenis Aset: Pengguna

Fungsi Keamanan: Lindungi

Deskripsi

Wajibkan semua aplikasi perusahaan atau pihak ketiga yang dapat diakses secara eksternal untuk menerapkan MFA, jika didukung. Menerapkan MFA melalui layanan direktori atau penyedia SSO merupakan implementasi yang memadai dari Pengamanan ini.

Daftar Periksa Implementasi

1

Identifikasi sistem yang memerlukan autentikasi multi-faktor

2

Pilih dan terapkan solusi MFA

3

Daftarkan pengguna dan distribusikan faktor autentikasi

4

Uji MFA di semua sistem yang teridentifikasi

Rekomendasi Alat

Microsoft Entra ID Gartner MQ Leader, Access Management 2024

Manajemen identitas dan akses cloud dengan SSO, MFA, akses bersyarat, dan tata kelola identitas

Microsoft · Langganan per pengguna (P1/P2)

Okta Workforce Identity Gartner MQ Leader, Access Management 2024

Platform identitas cloud yang menyediakan SSO, MFA adaptif, manajemen siklus hidup, dan manajemen akses API

Okta · Langganan per pengguna

Cisco Duo Gartner MQ Leader, Access Management 2024

Platform autentikasi multi-faktor dan akses zero-trust dengan kepercayaan perangkat dan kebijakan akses adaptif

Cisco · Langganan per pengguna

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Credential Stuffing Terhadap Aplikasi Eksternal

Confidentiality

Penyerang menggunakan basis data kredensial yang bocor untuk melakukan upaya login otomatis terhadap aplikasi yang terekspos secara eksternal yang hanya mengandalkan password tanpa MFA.

Kredensial Phishing Digunakan untuk Mengakses Portal Eksternal

Confidentiality

Kredensial karyawan yang dicuri melalui kampanye phishing memberikan akses langsung ke aplikasi yang terekspos secara eksternal karena tidak ada faktor kedua yang diperlukan untuk autentikasi.

Serangan Brute-Force pada Portal Login yang Menghadap Internet

Availability

Penyerang melakukan serangan brute-force berkelanjutan terhadap halaman login yang menghadap internet di mana autentikasi faktor tunggal memungkinkan tebakan kredensial tanpa batas dalam skala besar.

Kerentanan (Saat Pengamanan Tidak Ada)

Autentikasi Faktor Tunggal pada Aplikasi Eksternal

Aplikasi yang terekspos secara eksternal yang dilindungi hanya oleh password rentan terhadap pencurian kredensial, stuffing, spraying, dan serangan brute-force dari mana saja di internet.

Tidak Ada Penegakan MFA untuk Aplikasi SaaS Pihak Ketiga

Aplikasi pihak ketiga yang digunakan oleh perusahaan tidak memiliki persyaratan MFA, yang berarti password yang dikompromikan memberikan akses penuh ke data yang berpotensi sensitif yang di-host di cloud.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Teknis	Status pendaftaran MFA dan konfigurasi penegakan	Ditinjau setiap bulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Akses Istimewa

Control 5, Control 6

Pengamanan Terkait di Kontrol 6

6.1 Tetapkan Proses Pemberian Akses

6.2 Tetapkan Proses Pencabutan Akses

6.4 Wajibkan MFA untuk Akses Jaringan Jarak Jauh

6.5 Wajibkan MFA untuk Akses Administratif

6.6 Tetapkan dan Pelihara Inventaris Sistem Autentikasi dan Otorisasi

6.7 Sentralisasi Kontrol Akses

6.8 Definisikan dan Pelihara Kontrol Akses Berbasis Peran