IG1 IG2 IG3

Tetapkan dan Pelihara Proses Remediasi

Kelompok Kontrol: 7. Manajemen Kerentanan Berkelanjutan

Jenis Aset: Aplikasi

Fungsi Keamanan: Respons

Deskripsi

Tetapkan dan pelihara strategi remediasi berbasis risiko yang terdokumentasi dalam proses manajemen kerentanan, dengan tinjauan bulanan, atau lebih sering.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Tenable Vulnerability Management Gartner MQ Leader, Vulnerability Management 2024

Penilaian kerentanan berkelanjutan dan manajemen eksposur di seluruh aset IT, cloud, kontainer, dan OT

Tenable · Langganan per aset

Qualys VMDR Gartner MQ Leader, Vulnerability Management 2024

Manajemen kerentanan, deteksi, dan respons berbasis cloud dengan manajemen patch dan inventaris aset terintegrasi

Qualys · Langganan per aset

Rapid7 InsightVM Gartner MQ Leader, Vulnerability Management 2024

Platform manajemen kerentanan dengan dasbor langsung, prioritas risiko, dan alur kerja remediasi

Rapid7 · Langganan per aset

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Eksploitasi Kerentanan Tanpa SLA Remediasi

Confidentiality

Penyerang mengeksploitasi kerentanan yang diketahui yang bertahan selama berbulan-bulan karena tidak ada jadwal remediasi berbasis risiko, memungkinkan aktor ancaman mempersenjatai eksploit publik jauh sebelum patch diterapkan.

Serangan Rollback Patch Akibat Remediasi yang Tidak Diuji

Availability

Tanpa proses remediasi yang terstruktur, patch yang diterapkan secara tergesa-gesa menyebabkan ketidakstabilan sistem dan di-rollback, mengekspos kembali kerentanan sementara organisasi berjuang mencari perbaikan yang stabil.

Penyalahgunaan Pengecualian dari Penundaan Remediasi yang Tidak Dikelola

Integrity

Kerentanan ditunda secara permanen tanpa penerimaan risiko yang terdokumentasi atau kontrol kompensasi, menciptakan backlog sistem yang tidak ditambal yang terus bertumbuh dan mengumpulkan kelemahan yang dapat dieksploitasi.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Jadwal Remediasi Berbasis Risiko

Organisasi tidak memiliki SLA yang ditetapkan yang menghubungkan keparahan kerentanan ke tenggat remediasi (misalnya, kritis dalam 48 jam, tinggi dalam 14 hari), memungkinkan kerentanan berbahaya tetap terbuka tanpa batas waktu.

Tidak Ada Proses Pengecualian atau Penerimaan Risiko Formal

Ketika kerentanan tidak dapat segera diremediasi, tidak ada proses untuk mendokumentasikan pengecualian, kontrol kompensasi, atau keputusan penerimaan risiko, meninggalkan sistem yang tidak ditambal tanpa pengawasan mitigasi apa pun.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Kerentanan

Control 7

Pengamanan Terkait di Kontrol 7

7.1 Tetapkan dan Pelihara Proses Manajemen Kerentanan

7.3 Lakukan Manajemen Patch Otomatis pada Sistem Operasi

7.4 Lakukan Manajemen Patch Otomatis pada Aplikasi

7.5 Lakukan Pemindaian Kerentanan Otomatis pada Aset Perusahaan Internal

7.6 Lakukan Pemindaian Kerentanan Otomatis pada Aset Perusahaan yang Diakses secara Eksternal

7.7 Remediasi Kerentanan yang Terdeteksi