7.5
IG2 IG3

Lakukan Pemindaian Kerentanan Otomatis pada Aset Perusahaan Internal

Kelompok Kontrol: 7. Manajemen Kerentanan Berkelanjutan
Jenis Aset: Aplikasi
Fungsi Keamanan: Identifikasi

Deskripsi

Lakukan pemindaian kerentanan otomatis pada aset perusahaan internal setiap kuartal, atau lebih sering. Lakukan pemindaian terotentikasi dan tidak terotentikasi, menggunakan alat pemindaian kerentanan yang sesuai dengan SCAP.

Daftar Periksa Implementasi

1
Tinjau persyaratan pengamanan terhadap kondisi saat ini
2
Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian
3
Implementasikan kontrol dan prosedur yang diperlukan
4
Verifikasi implementasi melalui pengujian dan audit
5
Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Tenable Vulnerability Management Gartner MQ Leader, Vulnerability Management 2024

Penilaian kerentanan berkelanjutan dan manajemen eksposur di seluruh aset IT, cloud, kontainer, dan OT

Tenable · Langganan per aset
Qualys VMDR Gartner MQ Leader, Vulnerability Management 2024

Manajemen kerentanan, deteksi, dan respons berbasis cloud dengan manajemen patch dan inventaris aset terintegrasi

Qualys · Langganan per aset
Rapid7 InsightVM Gartner MQ Leader, Vulnerability Management 2024

Platform manajemen kerentanan dengan dasbor langsung, prioritas risiko, dan alur kerja remediasi

Rapid7 · Langganan per aset

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Kerentanan Internal Persisten Dieksploitasi oleh Pergerakan Lateral

Confidentiality

Tanpa pemindaian kerentanan internal otomatis, penyerang yang mendapatkan akses awal menemukan dan mengeksploitasi sistem internal, basis data, dan aplikasi yang tidak ditambal yang tidak pernah dinilai, memungkinkan pergerakan lateral cepat di seluruh lingkungan.

Eksploitasi Orang Dalam terhadap Kelemahan Internal yang Tidak Ditemukan

Integrity

Orang dalam yang berbahaya atau akun yang dikompromikan mengeksploitasi kerentanan internal yang akan terdeteksi oleh pemindaian terautentikasi, seperti layanan yang salah konfigurasi, kredensial default, atau patch yang hilang pada server internal saja.

Kesenjangan Kepatuhan dari Pemindaian Internal yang Jarang atau Tidak Ada

Availability

Tanpa pemindaian internal otomatis triwulanan menggunakan alat yang sesuai SCAP, organisasi tidak dapat mendemonstrasikan penilaian kerentanan berkelanjutan kepada auditor, menghasilkan temuan di bawah PCI DSS Requirement 11 atau kerangka kerja serupa.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Pemindaian Kerentanan Internal Terautentikasi

Organisasi tidak melakukan pemindaian kerentanan internal berkredensial, yang berarti pemindai tidak dapat menilai versi perangkat lunak yang diinstal, patch yang hilang, atau kelemahan konfigurasi di balik hambatan autentikasi, melewatkan hingga 60% kerentanan aktual.

Kadens Pemindaian Internal yang Jarang atau Manual

Pemindaian kerentanan internal dilakukan secara sporadis atau hanya sebelum audit daripada pada jadwal otomatis triwulanan, memungkinkan kerentanan baru tetap tidak terdeteksi untuk periode yang lama di antara jendela pemindaian.

Persyaratan Bukti

Jenis Item Bukti Frekuensi Pengumpulan
Dokumen Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Kerentanan
Control 7

Pengamanan Terkait di Kontrol 7

7.1 Tetapkan dan Pelihara Proses Manajemen Kerentanan
7.2 Tetapkan dan Pelihara Proses Remediasi
7.3 Lakukan Manajemen Patch Otomatis pada Sistem Operasi
7.4 Lakukan Manajemen Patch Otomatis pada Aplikasi
7.6 Lakukan Pemindaian Kerentanan Otomatis pada Aset Perusahaan yang Diakses secara Eksternal
7.7 Remediasi Kerentanan yang Terdeteksi
7.4 7.6