IG1 IG2 IG3

Gunakan Layanan Penyaringan DNS

Kelompok Kontrol: 9. Perlindungan Email dan Peramban Web

Jenis Aset: Jaringan

Fungsi Keamanan: Lindungi

Deskripsi

Gunakan layanan penyaringan DNS pada semua aset perusahaan untuk memblokir akses ke domain berbahaya yang diketahui.

Daftar Periksa Implementasi

1

Implementasikan solusi penyaringan/keamanan DNS

2

Konfigurasikan pemblokiran domain berbahaya yang diketahui

3

Aktifkan pencatatan dan pemantauan kueri DNS

4

Tinjau persyaratan pengamanan terhadap kondisi saat ini

5

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

6

Implementasikan kontrol dan prosedur yang diperlukan

7

Verifikasi implementasi melalui pengujian dan audit

8

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Zscaler Internet Access Gartner MQ Leader, SSE 2024

Secure web gateway cloud-native dengan inspeksi inline, penyaringan URL, sandboxing, dan DLP untuk lalu lintas web

Zscaler · Langganan per pengguna

Palo Alto Networks NGFW Gartner MQ Leader, Network Firewalls 2024

Platform firewall generasi baru dengan kebijakan sadar aplikasi, pencegahan ancaman, penyaringan URL, dan SD-WAN

Palo Alto Networks · Perangkat + langganan

Fortinet FortiGate Gartner MQ Leader, Network Firewalls 2024

Firewall perusahaan dan security fabric dengan NGFW, SD-WAN, IPS, dan layanan keamanan terintegrasi

Fortinet · Perangkat + langganan

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Callback Malware ke Domain Command-and-Control yang Diketahui

Confidentiality

Malware pada aset perusahaan berkomunikasi dengan domain berbahaya yang diketahui untuk instruksi command-and-control, unduhan payload, dan eksfiltrasi data, dan tanpa penyaringan DNS koneksi ini berhasil tanpa hambatan.

Akses Domain Phishing yang Mengarah ke Pencurian Kredensial

Confidentiality

Pengguna mengklik tautan phishing yang menyelesaikan ke domain berbahaya yang diketahui yang meniru halaman login yang sah, dan tanpa pemblokiran tingkat DNS domain ini dapat diakses secara bebas, memungkinkan pengambilan kredensial dalam skala besar.

Koneksi Domain Cryptojacking dan Malvertising

Availability

Aset perusahaan terhubung ke domain yang meng-host skrip cryptomining atau iklan berbahaya yang mengirimkan drive-by download, mengkonsumsi sumber daya dan berpotensi menginstal malware karena tidak ada penyaringan DNS yang memblokir ancaman yang diketahui ini.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Layanan Penyaringan DNS yang Di-deploy

Aset perusahaan menyelesaikan kueri DNS tanpa penyaringan apa pun, memungkinkan koneksi ke domain berbahaya yang diketahui, infrastruktur phishing, dan server command-and-control aktor ancaman tanpa pencegahan atau peringatan.

Bypass Penyaringan DNS melalui IP Langsung atau DNS Eksternal

Bahkan di mana penyaringan DNS ada, endpoint dapat melewatinya dengan menggunakan alamat IP yang di-hardcode atau resolver DNS eksternal (DoH, DoT) yang tidak diblokir di perimeter jaringan, meniadakan perlindungan.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Teknis	Konfigurasi penyaringan DNS dan statistik pemblokiran	Bulanan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Konfigurasi yang Aman

Control 4, Control 9, Control 12

Kebijakan Keamanan Email

Control 9

Pengamanan Terkait di Kontrol 9

9.1 Pastikan Penggunaan Hanya Browser dan Klien Email yang Sepenuhnya Didukung

9.3 Pelihara dan Terapkan Filter URL Berbasis Jaringan

9.4 Batasi Ekstensi Browser dan Klien Email yang Tidak Diperlukan atau Tidak Diotorisasi

9.5 Terapkan DMARC

9.6 Blokir Jenis File yang Tidak Diperlukan

9.7 Terapkan dan Pelihara Perlindungan Anti-Malware Server Email