防御与运营
预防性控制
别称: 防护控制, 事前控制
定义
旨在从源头上阻止安全事件发生的控制措施,通过消除机会或行为能力来实现。
预防性控制在损害发生之前进行阻断、威慑或限制,例如 MFA、加密、防火墙、网络分段、最小权限、安全编码、应用白名单、终端加固以及安全意识培训等。由于它们能避免事件而非响应事件,通常是最具性价比的一层,但不可能做到完美。深度防御策略会将预防性控制与检测性、纠正性控制结合,使得绕过预防的活动仍能被发现和处置。
示例
- 对所有管理账号强制使用 FIDO2 抗钓鱼 MFA。
- 通过网络分段防止被攻陷的市场部笔记本访问支付环境。