IG2 IG3

Lakukan Pemindaian Kerentanan Otomatis pada Aset Perusahaan yang Diakses secara Eksternal

Kelompok Kontrol: 7. Manajemen Kerentanan Berkelanjutan

Jenis Aset: Aplikasi

Fungsi Keamanan: Identifikasi

Deskripsi

Lakukan pemindaian kerentanan otomatis pada aset perusahaan yang diakses secara eksternal menggunakan alat pemindaian kerentanan yang sesuai dengan SCAP. Lakukan pemindaian setiap bulan, atau lebih sering.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Tenable Vulnerability Management Gartner MQ Leader, Vulnerability Management 2024

Penilaian kerentanan berkelanjutan dan manajemen eksposur di seluruh aset IT, cloud, kontainer, dan OT

Tenable · Langganan per aset

Qualys VMDR Gartner MQ Leader, Vulnerability Management 2024

Manajemen kerentanan, deteksi, dan respons berbasis cloud dengan manajemen patch dan inventaris aset terintegrasi

Qualys · Langganan per aset

Rapid7 InsightVM Gartner MQ Leader, Vulnerability Management 2024

Platform manajemen kerentanan dengan dasbor langsung, prioritas risiko, dan alur kerja remediasi

Rapid7 · Langganan per aset

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Eksploitasi Kerentanan yang Menghadap Internet oleh Pemindai Otomatis

Confidentiality

Aktor ancaman terus-menerus memindai aset yang menghadap internet menggunakan alat seperti Shodan dan Censys untuk mengidentifikasi kerentanan yang dapat dieksploitasi di web server, gateway VPN, dan sistem email yang belum dideteksi organisasi melalui pemindaian eksternalnya sendiri.

Kompromi Layanan Perimeter melalui Miskonfigurasi yang Tidak Terdeteksi

Integrity

Layanan yang terekspos secara eksternal dengan miskonfigurasi seperti panel admin terbuka, endpoint API yang terekspos, atau konfigurasi TLS yang lemah ditemukan dan dieksploitasi oleh penyerang sebelum organisasi mengidentifikasinya melalui pemindaian kerentanan eksternal.

Eksploitasi Aset Bayangan yang Menghadap Internet

Confidentiality

Aset yang terekspos secara eksternal yang disediakan di luar manajemen perubahan normal, seperti server pengembangan atau lingkungan pengujian, mengandung kerentanan kritis yang tidak pernah dipindai karena tidak ada program pemindaian eksternal otomatis.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Program Pemindaian Kerentanan Eksternal Otomatis

Organisasi tidak melakukan pemindaian kerentanan otomatis reguler terhadap permukaan serangan eksternalnya, meninggalkan aset yang menghadap internet tidak dinilai sementara penyerang terus-menerus memeriksanya untuk kelemahan.

Cakupan Aset Eksternal yang Tidak Lengkap untuk Pemindaian

Pemindaian kerentanan eksternal hanya mencakup rentang IP dan domain yang diketahui, melewatkan aset yang di-host di cloud, endpoint CDN, layanan yang di-host pihak ketiga, dan TI bayangan yang terekspos ke internet.

Frekuensi Pemindaian di Bawah Kadens Bulanan

Pemindaian eksternal dilakukan triwulanan atau lebih jarang daripada bulanan, menciptakan jendela paparan di mana kerentanan yang baru dipublikasikan dalam sistem perimeter tidak terdeteksi untuk periode yang lama.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Kerentanan

Control 7

Pengamanan Terkait di Kontrol 7

7.1 Tetapkan dan Pelihara Proses Manajemen Kerentanan

7.2 Tetapkan dan Pelihara Proses Remediasi

7.3 Lakukan Manajemen Patch Otomatis pada Sistem Operasi

7.4 Lakukan Manajemen Patch Otomatis pada Aplikasi

7.5 Lakukan Pemindaian Kerentanan Otomatis pada Aset Perusahaan Internal

7.7 Remediasi Kerentanan yang Terdeteksi