IG1 IG2 IG3

Wajibkan MFA untuk Akses Administratif

Kelompok Kontrol: 6. Manajemen Kontrol Akses

Jenis Aset: Pengguna

Fungsi Keamanan: Lindungi

Deskripsi

Wajibkan MFA untuk semua akses administratif ke aset perusahaan, baik yang dikelola di lokasi maupun melalui penyedia pihak ketiga.

Daftar Periksa Implementasi

1

Identifikasi sistem yang memerlukan autentikasi multi-faktor

2

Pilih dan terapkan solusi MFA

3

Daftarkan pengguna dan distribusikan faktor autentikasi

4

Uji MFA di semua sistem yang teridentifikasi

Rekomendasi Alat

Microsoft Entra ID Gartner MQ Leader, Access Management 2024

Manajemen identitas dan akses cloud dengan SSO, MFA, akses bersyarat, dan tata kelola identitas

Microsoft · Langganan per pengguna (P1/P2)

Okta Workforce Identity Gartner MQ Leader, Access Management 2024

Platform identitas cloud yang menyediakan SSO, MFA adaptif, manajemen siklus hidup, dan manajemen akses API

Okta · Langganan per pengguna

Cisco Duo Gartner MQ Leader, Access Management 2024

Platform autentikasi multi-faktor dan akses zero-trust dengan kepercayaan perangkat dan kebijakan akses adaptif

Cisco · Langganan per pengguna

Ping Identity Gartner MQ Leader, Access Management 2024

Platform keamanan identitas perusahaan dengan SSO, MFA, direktori, dan keamanan API untuk identitas tenaga kerja dan pelanggan

Ping Identity (Thales) · Langganan per pengguna

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Kompromi Kredensial Admin yang Mengarah ke Pengambilalihan Domain Penuh

Confidentiality

Penyerang mendapatkan kredensial administrator melalui phishing, keylogging, atau pencurian hash dan mendapatkan akses administratif tak terbatas karena tidak ada faktor kedua yang melindungi akun istimewa.

Eskalasi Hak Istimewa melalui Password Admin yang Dicuri

Integrity

Penyerang meningkat dari kompromi standar ke kontrol administratif penuh dengan menggunakan password admin yang dicuri, karena MFA tidak diperlukan untuk akses administratif ke sistem perusahaan mana pun.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada MFA pada Akun Administratif

Akun administratif yang dilindungi hanya oleh password mewakili target bernilai tertinggi dengan resistensi terendah; satu password yang dikompromikan menghasilkan kontrol sistem penuh.

Portal Admin Pihak Ketiga Tanpa MFA

Akses administratif ke layanan cloud, platform SaaS, dan portal penyedia layanan terkelola tidak memiliki MFA, memungkinkan pengambilalihan administratif jarak jauh dengan kredensial yang dicuri.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Teknis	Status pendaftaran MFA dan konfigurasi penegakan	Ditinjau setiap bulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Akses Istimewa

Control 5, Control 6

Pengamanan Terkait di Kontrol 6

6.1 Tetapkan Proses Pemberian Akses

6.2 Tetapkan Proses Pencabutan Akses

6.3 Wajibkan MFA untuk Aplikasi yang Diakses secara Eksternal

6.4 Wajibkan MFA untuk Akses Jaringan Jarak Jauh

6.6 Tetapkan dan Pelihara Inventaris Sistem Autentikasi dan Otorisasi

6.7 Sentralisasi Kontrol Akses

6.8 Definisikan dan Pelihara Kontrol Akses Berbasis Peran