IG1 IG2 IG3

Lakukan Manajemen Patch Otomatis pada Aplikasi

Kelompok Kontrol: 7. Manajemen Kerentanan Berkelanjutan

Jenis Aset: Aplikasi

Fungsi Keamanan: Lindungi

Deskripsi

Lakukan pembaruan aplikasi pada aset perusahaan melalui manajemen patch otomatis setiap bulan, atau lebih sering.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Tenable Vulnerability Management Gartner MQ Leader, Vulnerability Management 2024

Penilaian kerentanan berkelanjutan dan manajemen eksposur di seluruh aset IT, cloud, kontainer, dan OT

Tenable · Langganan per aset

Qualys VMDR Gartner MQ Leader, Vulnerability Management 2024

Manajemen kerentanan, deteksi, dan respons berbasis cloud dengan manajemen patch dan inventaris aset terintegrasi

Qualys · Langganan per aset

Rapid7 InsightVM Gartner MQ Leader, Vulnerability Management 2024

Platform manajemen kerentanan dengan dasbor langsung, prioritas risiko, dan alur kerja remediasi

Rapid7 · Langganan per aset

CrowdStrike Falcon Spotlight Gartner MQ Leader, EPP 2024; Forrester Wave Leader, XDR 2024

Penilaian kerentanan berbasis agen yang memanfaatkan sensor Falcon untuk visibilitas kerentanan secara real-time tanpa pemindaian

CrowdStrike · Langganan per endpoint

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Eksploitasi Aplikasi Pihak Ketiga yang Tidak Ditambal

Confidentiality

Penyerang menargetkan kerentanan dalam aplikasi pihak ketiga yang tidak ditambal seperti browser, pembaca PDF, Java, dan suite office, yang sering digunakan sebagai vektor akses awal melalui kampanye phishing yang mengirimkan dokumen atau tautan berbahaya.

Serangan Rantai Pasok melalui Dependensi Aplikasi yang Usang

Integrity

Aplikasi yang tidak ditambal mengandung library dan dependensi rentan yang dieksploitasi penyerang melalui serangan rantai pasok, seperti yang terlihat pada kompromi SolarWinds dan 3CX di mana komponen aplikasi yang usang dimanfaatkan.

Jendela Eksploitasi Zero-Day Diperpanjang oleh Patching Aplikasi yang Lambat

Confidentiality

Ketika vendor aplikasi merilis patch darurat untuk zero-day yang aktif dieksploitasi, ketiadaan patching aplikasi otomatis memperpanjang jendela paparan organisasi dari jam ke minggu atau bulan.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Patching Aplikasi Pihak Ketiga Otomatis

Organisasi mengandalkan pengguna individual atau proses TI manual untuk memperbarui aplikasi pihak ketiga, meninggalkan ratusan endpoint menjalankan versi usang dari perangkat lunak yang sering dieksploitasi seperti Chrome, Adobe Reader, dan Zoom.

Inventaris Aplikasi Tidak Lengkap untuk Cakupan Patch

Tanpa inventaris aplikasi yang diinstal secara komprehensif, sistem patching otomatis tidak dapat memastikan cakupan semua perangkat lunak yang di-deploy, meninggalkan instalasi bayangan dan aplikasi non-standar secara permanen tidak ditambal.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Kerentanan

Control 7

Kebijakan Manajemen Patch

Control 7

Pengamanan Terkait di Kontrol 7

7.1 Tetapkan dan Pelihara Proses Manajemen Kerentanan

7.2 Tetapkan dan Pelihara Proses Remediasi

7.3 Lakukan Manajemen Patch Otomatis pada Sistem Operasi

7.5 Lakukan Pemindaian Kerentanan Otomatis pada Aset Perusahaan Internal

7.6 Lakukan Pemindaian Kerentanan Otomatis pada Aset Perusahaan yang Diakses secara Eksternal

7.7 Remediasi Kerentanan yang Terdeteksi