7000+ IRs Later: The 11 Essential Cybersecurity Controls
数十年的安全事件响应经验揭示了经过实战检验的网络安全控制措施,这些措施能够最小化攻击面、改进检测和响应、减少事件影响和损失,并构建网络弹性(附有合规性映射以便实施)。
威胁在数量和复杂性上不断增长,合规框架变得更加严格和复杂,供应链风险始终存在,并购活动引入新问题……但网络安全预算捉襟见肘,专家们还在与职业倦怠作斗争。
陈词滥调的建议是将资源集中在影响最大的项目上,但哪些网络安全控制措施能产生最高的回报?
许多安全和风险负责人可能会引用流行的网络框架作为答案,因为一些组织倾向于依赖合规框架来确定优先级。然而,许多技术上合规的组织仍然遭受安全事件。为了解决这一差距,我们着手揭示在实际事件中(而不仅仅是在审计期间)最重要的高影响力控制措施。
介绍11项关键网络安全控制措施
与Intentional Cybersecurity合作,并基于来自7000多起事件调查的前线情报,我们的专家确定了11项关键网络安全控制措施,这些措施代表了经过实战检验的高影响力实践,能够降低网络威胁的可能性、驻留时间和影响,同时实现有效的事件响应和恢复。
文中包含了每项控制措施的常见陷阱,重点介绍了我们最常遇到的错误配置和差距,以及每项控制措施对数字取证和事件响应(DFIR)活动的直接影响。DFIR视角是其他任何框架中都没有的,它突出了成功实施控制措施的直接优势。
从事件响应的角度来看,缺乏MFA的环境更有可能遭受横向移动和凭据滥用,而且通常不会被检测到。强大的MFA实施使响应者能够及早隔离受损凭据,并防止攻击升级到环境中的特权区域。
“在全球领导并监督了数千次网络调查后,我亲眼目睹了哪些防御措施真正阻止了攻击者,哪些措施经常失败。11项关键网络安全控制措施将这些来之不易的经验提炼为清晰、优先的行动,任何组织都可以采取这些行动来切实降低风险。”
- Devon Ackerman,Cybereason全球DFIR负责人
充分利用11项关键网络安全控制措施
- 优先分配资源:将投资集中在经过前线验证、真正能阻止事件的控制措施上。
- 加强高管沟通:使用该清单向董事会汇报,并清晰地为安全预算提供理由。
- 识别差距:根据关键控制措施对当前防御进行基准测试,快速发现弱点。
- 与保险公司和风险管理人员保持一致:通过保险市场支持的控制措施来展示成熟度并降低风险敞口。
- 提高事件准备度:围绕控制措施进行桌面演练,以验证在压力下的弹性。
- 弥合合规与安全之间的差距:通过优先考虑高影响力的控制措施,将检查清单转化为现实世界的弹性。
11项关键网络安全控制措施
1. 防网络钓鱼的多因素认证(MFA)
MFA要求用户在访问系统或应用程序之前使用两个或更多认证因素验证其身份,通常是他们知道的东西(密码)、他们拥有的东西(设备或令牌)或他们固有的特征(生物特征)。传统的MFA可以使用被盗凭据或令牌盗窃策略轻松绕过,因此强烈建议采用防网络钓鱼的MFA(如FIDO2)。在我们的调查中,攻击者经常通过泄露的凭据获得访问权限,或使用常见的网络钓鱼工具包轻松绕过传统的MFA。
常见陷阱:受损账户通常根本没有实施MFA,而在启用MFA的地方,也只是传统的MFA,通常被威胁行为者利用网络钓鱼工具包或社会工程策略来捕获凭据和一次性令牌而绕过。其他常见问题包括仅依赖基于短信的MFA、未能对所有远程访问路径(如VPN、RDP、云管理门户)强制执行MFA,或允许对某些高管或特权用户放宽安全严格性。
DFIR视角:正确强制执行的MFA的存在通常意味着攻击者在初始入侵尝试后碰壁。它使事件响应者需要调查的受损账户更少,并有助于隔离入口点。当MFA薄弱或缺失时,横向移动更容易,权限提升更快,成功入侵的影响范围更广。正确实施的MFA还包括对威胁行为者活动的强大日志记录,例如失败的尝试和令牌重用,从而在确定初始访问或检测中间人网络钓鱼尝试时提供更高的精确度和速度。
MFA控制措施合规性映射
| 框架 | 控制ID/名称 |
|---|---|
| CIS v8 | 6.3 – 为外部应用程序要求MFA 6.5 – 为管理访问要求MFA |
| NIST CSF | PR.AC-7 – 用户根据风险进行认证 |
| NIST 800-171 | 3.5.3 – 对本地和网络访问使用多因素认证 |
2. 端点检测与响应(EDR)部署
EDR解决方案持续监控端点活动,以检测、调查和响应可疑及异常行为,如进程注入、横向移动和凭据收集,覆盖工作站、服务器,有时还包括云工作负载。EDR为防御者提供近乎实时的和历史性的攻击者行为可见性。它是早期检测和快速遏制的重要工具,尤其是在对手使用绕过传统防病毒或边界防御的隐蔽技术时。
常见陷阱:我们的事件数据显示,大多数组织已经部署了EDR,但攻击者仍然成功入侵了他们的环境。问题通常不在于技术,而在于调查响应。大多数案例涉及警报疲劳、缺乏调优,或由于薄弱的分诊流程导致检测遗漏。EDR代理也可能在端点上部署不一致,导致可见性存在差距,特别是在遗留系统、云工作负载、测试或开发网络或非托管设备上(更多细节见控制措施#7)。
DFIR视角:EDR通常是我们理解跨网络环境的攻击者行为的最快途径,从最早的活动到横向移动和权限提升尝试。当正确部署和监控时,EDR大大减少了遏制时间,但当覆盖不完整或警报被忽略时,它会减慢调查速度并留下盲点。
EDR控制措施合规性映射
| 框架 | 控制ID/名称 |
|---|---|
| CIS v8 | 10.1 – 部署和维护反恶意软件 13.1 – 集中安全事件警报 |
| NIST CSF | DE.CM-4 – 检测恶意代码 RS.AN-1 – 调查来自检测系统的通知 |
| NIST 800-171 | 3.14.1 – 识别、报告和纠正系统缺陷 3.14.5 – 定期扫描信息系统 |
3. 特权访问管理(PAM)
PAM通过强制执行即时特权、凭据保管、会话监控以及对管理或敏感功能的访问批准,来限制和控制对高价值系统、账户和数据的访问。特权账户是主要目标,因为它们允许攻击者横向移动、禁用防御或访问敏感数据。有效的PAM限制了入侵的影响范围,并能阻止攻击者升级到域范围的控制。
常见陷阱:许多组织在网络中保留了过于宽松的管理权限。过多的管理员账户、共享的本地管理员账户、密码弱且/或没有MFA的管理员都是常见的弱点。其他组织未能轮换凭据、记录特权会话或审计谁在何时访问了什么。
DFIR视角:当PAM被执行时,我们可以看到特权活动的清晰审计轨迹。它允许简化的遏制,减慢攻击者的升级和横向移动,从而为我们提供更多的时间和可见性来检测和响应。没有PAM,攻击者移动更快(权限提升可能变得微不足道),覆盖差距增加,调查时间更长。
PAM控制措施合规性映射
| 框架 | 控制ID/名称 |
|---|---|
| CIS v8 | 4.3 – 配置管理员账户的访问控制 6.7 – 要求即时特权提升 |
| NIST CSF | PR.AC-4 – 管理访问权限 PR.AC-6 – 身份被验证并绑定到凭据 |
| NIST 800-171 | 3.1.2 – 限制系统访问授权用户 3.1.6 – 使用最小权限 |
4. 集中日志记录和日志保留(SIEM或等效方案)
将来自操作系统、关键应用程序、网络和边缘设备(如防火墙和VPN)的日志收集并保存到安全信息和事件管理(SIEM)或数据湖平台中,对于事件响应调查以及法规合规性和整体网络弹性至关重要。类似SIEM的平台允许深入分析,从而推动更快的检测和取证调查。没有集中日志记录,有意义的模式会被遗漏,迫使事件响应者追求其他日志来源或将调查范围限制在可用证据内。
常见陷阱:我们看到的其中一个最大问题是覆盖范围存在差距。关键日志(如PowerShell、认证事件或云管理操作)经常缺失。其他组织收集日志,但保留时间太短。警报规则也可能调优不当,导致警报疲劳或盲点。在日志记录方面,价格是一个合理的担忧,因为摄取大量数据的成本可能过高,因此鼓励由专家指导您的日志记录和保留策略。
DFIR视角:集中日志是我们调查的支柱。它们帮助我们重建时间线、识别零号病人,并关联跨系统的攻击者行为。当日志缺失或孤立时,我们的工作变得更慢、更不精确。适当的日志保留和可见性直接影响我们响应的速度和深度。
日志记录控制措施合规性映射
| 框架 | 控制ID/名称 |
|---|---|
| CIS v8 | 8.2 – 启用审计日志记录 8.3 – 收集详细审计日志 8.5 – 保留审计日志一定时期 |
| NIST CSF | DE.AE-3 – 事件数据被聚合和关联 PR.PT-1 – 确定、记录和实施审计/日志记录 |
| NIST 800-171 | 3.3.1 – 创建和保留系统审计日志 3.3.6 – 提供审计减少和报告生成 |
5. 定期补丁和漏洞管理
此控制措施侧重于通过定期系统补丁、配置管理和跨端点、服务器、网络设备和应用程序的安全更新来识别、优先级排序和修复漏洞。未修补的漏洞是攻击者最可靠的入口点之一。在我们的调查中,被利用的漏洞始终出现在初始访问方法的前三位。及时修补减少了攻击面,并在机会性入侵开始之前阻止它们。
常见陷阱:组织通常缺乏最新的资产清单,这会导致盲点(见控制措施#7)。补丁周期可能缓慢或排除高风险类别,这不是因为CVE评分,而是因为漏洞被利用的可能性。更糟糕的是,一些组织依赖漏洞扫描而没有及时、业务强化的修复计划,或者未能在混合环境中跟踪补丁状态,其中一个扫描工具可能不支持所有设备或攻击面。很少应用基于风险的优先级排序,因此高影响力的CVE被噪音淹没。
DFIR视角:当补丁和漏洞管理成熟时,我们遇到的可预防事件更少。它还简化了调查,使我们的团队减少在追踪已知的、多年前的CVE利用上浪费时间。当它薄弱时,攻击者获得快速访问并迅速转移,有时在补丁可用后很长时间仍在利用公开的利用代码。
漏洞管理控制措施合规性映射
| 框架 | 控制ID/名称 |
|---|---|
| CIS v8 | 7.3 – 应用供应商提供的更新 7.5 – 自动化补丁管理 |
| NIST CSF | PR.IP-12 – 制定和实施漏洞管理计划 DE.CM-8 – 执行漏洞扫描 |
| NIST 800-171 | 3.11.2 – 扫描漏洞 3.14.1 – 识别、报告和纠正系统缺陷 |
6. 电子邮件安全过滤和网络钓鱼防护
此控制措施包括检测和阻止恶意电子邮件的技术和流程,包括网络钓鱼、恶意软件和欺骗域名。它通常结合安全电子邮件网关、DNS过滤、DMARC强制执行和用户报告机制。网络钓鱼和社会工程是Cybereason IR案例中的首要初始入侵向量,在2025年上半年占入侵的46%。有效的电子邮件安全在威胁到达用户之前阻止了许多威胁,并有助于减少凭据盗窃、恶意软件传递和商业电子邮件泄露。
常见陷阱:随着时间的推移,电子邮件过滤器通常调得太松,允许高级网络钓鱼电子邮件通过。如果域未在强制执行级别配置DMARC,或者SPF和DKIM缺失或与域的"发件人"地址不匹配,则域可能仍然容易受到欺骗攻击。用户报告工作流程经常被破坏或忽略,网络钓鱼模拟不一致或缺失。最后,电子邮件安全通常与更广泛的事件检测系统隔离。
DFIR视角:强大的电子邮件控制可以消除整个入侵路径。当到位时,我们看到成功的基于网络钓鱼的入侵更少,这限制了初始访问和横向移动。当缺失时,网络钓鱼在攻击者接触您的端点之前就为他们提供了凭据、有效载荷传递机会或持久性。结合控制措施#4,电子邮件安全解决方案还生成有价值的日志,帮助调查人员追踪攻击、确认谁被针对以及确定处于风险中的数据。
电子邮件安全过滤和网络钓鱼控制措施合规性映射
| 框架 | 控制ID/名称 |
|---|---|
| CIS v8 | 9.1 – 确保电子邮件服务器配置为阻止网络钓鱼 9.2 – 使用DNS过滤服务 14.6 – 培训员工识别和报告网络钓鱼 |
| NIST CSF | PR.AT-1 – 所有用户都经过培训 DE.CM-7 – 监控未经授权的移动代码或电子邮件附件 PR.DS-2 – 传输中的数据受到保护(电子邮件加密) |
| NIST 800-171 | 3.1.17 – 保护电子邮件免受未经授权的访问 3.13.8 – 实施电子邮件保护机制 3.2.1 – 确保人员经过培训以识别威胁(如网络钓鱼) |
7. 资产清单和可见性(IT、OT、云)
维护组织中所有硬件、软件、虚拟机、云服务和OT/IoT资产的最新且准确的清单至关重要。可见性应包括资产属性、状态、所有权和安全状况,无论产品或扫描平台如何。您无法保护看不见的东西。攻击者利用未管理、未知或未监控的系统,特别是在混合IT/OT和云重度环境中。资产可见性是补丁、访问控制、事件检测和响应的基础。
常见陷阱:清单通常不完整、手动维护或在网络工程、IT、信息安全和开发与生产团队之间孤立。影子IT经常造成可预防的盲点。许多组织未按关键性、包含的数据、依赖关系或所有者对资产进行标记,使得在发生未经授权访问时难以优先响应或更立即地理解面临风险的内容。发现工具可能缺乏集成或未能扫描核心基础设施之外。
DFIR视角:在调查中,了解存在哪些系统以及它们的位置极大地改善了范围确定和遏制。当清单不完整时,我们浪费时间追踪未知端点或客户甚至不知道他们拥有的云资源。良好的资产可见性还有助于我们更准确地关联警报和日志。
资产清单控制措施合规性映射
| 框架 | 控制ID/名称 |
|---|---|
| CIS v8 | 1.1 – 建立和维护详细的企业资产清单 1.2 – 处理未经授权的资产 2.1 – 建立和维护软件清单 |
| NIST CSF | ID.AM-1 – 物理设备和系统被清点 ID.AM-2 – 软件平台和应用程序被清点 ID.AM-4 – 外部信息系统被编目 |
| NIST 800-171 | 3.4.1 – 建立和维护基线配置和清单 3.1.1 – 限制对授权用户、过程或设备的访问(基于清单) |
8. 网络分段和访问控制
根据敏感性、业务功能或信任级别将网络划分为隔离区域,并在它们之间强制执行访问控制,使攻击者更难在初始入侵后移动。通常通过防火墙、访问控制列表、虚拟局域网或云原生分段来实现,它限制了影响范围、保护了核心资产并减慢了对手的速度。访问控制确保只有正确的系统、服务或用户账户可以到达敏感区域或服务。因此,访问控制是基于身份的访问强制执行和实施的基础,并且是成功的特权访问管理(见控制措施#3)所必需的。
常见陷阱:许多网络仍然过于宽松,具有广泛的内部访问权限,关键系统和通用用户网络之间几乎没有分段。防火墙规则过时或默认"允许任何"。在云环境中,过于宽大的身份和访问管理角色或安全组错误配置很常见。分段通常侧重于外部边界,但忽略了内部横向移动路径。
DFIR视角:分段为我们提供了自然的遏制边界。当它被执行时,攻击者可能入侵用户机器,但无法到达特定业务功能的分段区域,如财务、人力资源、IT管理或备份环境。没有它,横向移动快速且影响广泛,我们的IR团队在调查期间必须隔离整个环境,而不仅仅是几个段。
网络分段和访问控制合规性映射
| 框架 | 控制ID/名称 |
|---|---|
| CIS v8 | 3.3 – 基于流量过滤需求配置防火墙规则 14.4 – 分段管理和特权访问 12.1 – 集中基础设施访问控制 |
| NIST CSF | PR.AC-5 – 网络完整性受到保护 PR.PT-4 – 通信和控制网络受到保护 |
| NIST 800-171 | 3.1.3 – 根据批准的授权控制CUI流 3.1.20 – 验证和控制与外部系统的连接 |
9. 事件响应计划(IRP)和桌面演练
此控制措施涉及制定正式的事件响应计划(IRP),概述响应网络事件的角色、责任、通信协议和技术程序。然后通过桌面演练在模拟攻击场景中测试和完善IRP。在危机中,缺乏协调响应会浪费时间。一个经过充分演练的IR计划改善了协调,加快了遏制速度,并减少了业务影响。桌面演练在实际入侵发生之前发现流程差距、验证假设并加强跨法律、IT、公关和领导团队的关系。
常见陷阱:许多计划过时、未经测试或仅为合规检查框而编写。它们通常过于技术性或过于模糊,对于是否通知监管机构或拔掉系统插头等决策没有明确的所有权。桌面演练(如果进行的话)可能过于脚本化或排除关键利益相关者,如法律、公关或高管。经验教训通常未被捕获或采取行动。
DFIR视角:至少练习过一次事件响应的组织响应更快、更协调。我们减少在等待访问或批准上的时间,而将更多时间用于遏制入侵事件。当没有计划或团队没有排练时,响应是混乱的,而这种混乱会加剧损害。
事件响应计划合规性映射
| 框架 | 控制ID/名称 |
|---|---|
| CIS v8 | 17.1 – 指定人员管理事件处理 17.2 – 建立和维护与当局的联系 17.4 – 进行常规事件响应演练 |
| NIST CSF | RS.RP-1 – 在事件期间或之后执行响应计划 RS.IM-1 – 测试和更新响应策略 IM.RM-1 – 建立并实践风险管理流程 |
| NIST 800-171 | 3.6.1 – 建立事件处理能力 3.6.2 – 跟踪、记录和报告事件 3.6.3 – 测试组织的事件响应能力 |
10. 数据分类和结构化数据管理
根据敏感性、价值和监管要求识别和分类数据,并实施控制措施以在整个生命周期内管理、保护和管理数据,有助于优先保护、驱动访问控制(见控制措施#8)并告知事件响应和监管义务。攻击者快速找到包含知识产权、财务、PII等的文件服务器、数据库和SharePoint文件夹。了解这些数据的位置以及如何保护它们对于降低风险至关重要。
常见陷阱:许多组织不知道他们的敏感数据位于何处,或者数据分类工作可能是手动、静态的或与实际安全控制脱节。结构化数据(如数据库)可能受到治理,但非结构化数据(如文件共享、云存储)通常缺乏监督。标记、加密和保留策略可能缺失或应用不一致。
DFIR视角:当数据被良好分类时,我们可以快速理解在事件中面临风险的内容,并就必要的通知和法律暴露提供建议。没有它,IR团队通常必须花费宝贵的时间来弄清楚攻击者是否访问了受监管或高价值的数据。使其更现实:如果您知道攻击者只加密了存储营销资料的服务器,您会支付赎金吗?
数据分类控制措施合规性映射
| 框架 | 控制ID/名称 |
|---|---|
| CIS v8 | 3.4 – 使用自动化工具清点数据 3.6 – 加密传输中的敏感数据 3.7 – 建立数据分类方案 |
| NIST CSF | ID.RA-1 – 识别和记录资产漏洞 PR.DS-1 – 保护静态数据 PR.DS-5 – 实施防数据泄露保护 |
| NIST 800-171 | 3.1.22 – 控制在公共系统发布或处理的CUI 3.8.1 – 根据流限制保护CUI 3.8.3 – 标记和标注CUI |
11. 离线、分段和经过测试的备份及RTO验证
在不可变备份的理想实施中,存在一个数据副本,在设定的保留期内,任何人都无法修改、删除或加密,即使是管理员或受损系统。虽然拥有不可变、分段的备份是勒索软件场景中的关键最后防线,但它不应该是第一个或唯一的焦点。备份在事件后支持恢复,但其他10项控制措施在预防和遏制攻击造成损害之前更具影响力。
常见陷阱:备份通常在线且可从与生产系统相同的网络访问,使它们在攻击期间同样脆弱。在某些情况下,备份存在但未经测试或未能满足实际恢复时间目标(RTO)需求。组织可能关注备份频率,但未测试实际恢复速度(RTO)。此外,恢复过程很少在数据加密或破坏事件(如勒索软件或系统范围入侵条件)下进行演练。
DFIR视角:我们经常看到恢复延迟或不可能的情况,因为备份被攻击者加密或删除。它消除了勒索软件行为者的许多杠杆,并为领导层提供了更多选择。在这些环境中,恢复时间和效果显著更好。
备份控制措施合规性映射
| 框架 | 控制ID/名称 |
|---|---|
| CIS v8 | 11.4 – 保护恢复数据 11.5 – 确保定期自动备份 11.6 – 执行定期恢复测试 |
| NIST CSF | PR.IP-4 – 执行、保护和测试备份 PR.PT-5 – 测试恢复过程 RC.RP-1 – 执行和维护恢复计划 |
| NIST 800-171 | 3.6.1 – 建立事件处理能力(支持恢复) 3.6.2 – 跟踪、记录和报告事件(包括恢复) 3.1.1 – 限制系统访问,包括对备份的访问 |
在网络弹性方面迈出下一步
我们的专家已经响应了数千起事件,可以帮助您根据关键控制措施对安全计划进行基准测试。 立即通过response@cybereason.com与Cybereason专家安排1对1会议。