IG1 IG2 IG3

Lakukan Manajemen Patch Otomatis pada Sistem Operasi

Kelompok Kontrol: 7. Manajemen Kerentanan Berkelanjutan

Jenis Aset: Aplikasi

Fungsi Keamanan: Lindungi

Deskripsi

Lakukan pembaruan sistem operasi pada aset perusahaan melalui manajemen patch otomatis setiap bulan, atau lebih sering.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Tenable Vulnerability Management Gartner MQ Leader, Vulnerability Management 2024

Penilaian kerentanan berkelanjutan dan manajemen eksposur di seluruh aset IT, cloud, kontainer, dan OT

Tenable · Langganan per aset

Qualys VMDR Gartner MQ Leader, Vulnerability Management 2024

Manajemen kerentanan, deteksi, dan respons berbasis cloud dengan manajemen patch dan inventaris aset terintegrasi

Qualys · Langganan per aset

Rapid7 InsightVM Gartner MQ Leader, Vulnerability Management 2024

Platform manajemen kerentanan dengan dasbor langsung, prioritas risiko, dan alur kerja remediasi

Rapid7 · Langganan per aset

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Eksploitasi Massal Sistem Operasi yang Tidak Ditambal

Availability

Aktor ancaman memanfaatkan alat pemindaian otomatis untuk mengidentifikasi sistem perusahaan yang menjalankan sistem operasi yang tidak ditambal dan menyebarkan ransomware atau cryptominer melalui kerentanan tingkat OS yang diketahui seperti EternalBlue atau PrintNightmare.

Penyebaran Kerentanan OS yang Dapat Menjadi Worm

Availability

Kerentanan yang dapat menjadi worm dalam sistem operasi yang tidak ditambal memungkinkan malware menyebar secara lateral di seluruh jaringan tanpa interaksi pengguna, seperti yang terlihat pada WannaCry dan NotPetya, karena patching OS otomatis tidak tersedia.

Eskalasi Hak Istimewa Tingkat Kernel pada Host yang Tidak Ditambal

Confidentiality

Penyerang mengeksploitasi kerentanan kernel yang tidak ditambal untuk meningkat dari pengguna standar ke hak istimewa SYSTEM/root, melewati semua kontrol keamanan tingkat aplikasi dan mendapatkan kontrol penuh atas host yang dikompromikan.

Kerentanan (Saat Pengamanan Tidak Ada)

Proses Patching OS Manual atau Ad-Hoc

Patch sistem operasi diterapkan secara manual atau pada jadwal yang tidak teratur, mengakibatkan keterlambatan patch yang signifikan di mana pembaruan OS kritis mungkin tidak di-deploy selama berminggu-minggu atau berbulan-bulan setelah rilis.

Tidak Ada Platform Manajemen Patch Terpusat untuk Pembaruan OS

Organisasi tidak memiliki alat terpusat (seperti WSUS, SCCM, atau Jamf) untuk mengotomatisasi distribusi dan verifikasi patch OS, membuat tidak mungkin memastikan tingkat patch yang konsisten di seluruh aset perusahaan.

Cakupan Patch yang Tidak Konsisten di Seluruh Platform OS

Patching otomatis mungkin mencakup endpoint Windows tetapi melewatkan server Linux, perangkat macOS, atau sistem operasi khusus, meninggalkan bagian signifikan dari armada yang menjalankan versi OS yang rentan.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Kerentanan

Control 7

Kebijakan Manajemen Patch

Control 7

Pengamanan Terkait di Kontrol 7

7.1 Tetapkan dan Pelihara Proses Manajemen Kerentanan

7.2 Tetapkan dan Pelihara Proses Remediasi

7.4 Lakukan Manajemen Patch Otomatis pada Aplikasi

7.5 Lakukan Pemindaian Kerentanan Otomatis pada Aset Perusahaan Internal

7.6 Lakukan Pemindaian Kerentanan Otomatis pada Aset Perusahaan yang Diakses secara Eksternal

7.7 Remediasi Kerentanan yang Terdeteksi