کنترل‌های حیاتی امنیت عبارتند از مجموعه‌ای از فعالیت‌های توصیه شده برای دفاع سایبری که برای جلوگیری از خطرناک‌ترین و فراگیرترین حملات امروزی راه‌هایی مشخص و قابل اجرا ارائه می‌دهند. مزیت اصلی کنترل‌های حیاتی امنیت این است که، با توجه به انجام اولویت‌بندی، بر روی اعمال بسیار نتیجه‌بخش تمرکز می‌کنند. با توجه به نشات‌گرفتگی از رایج‌ترین الگوهای حمله در برجسته‌ترین گزارش‌های تهدیدات، تاثیرگذاری این کنترل‌ها در پاسخ به پرسش “برای متوقف کردن حملات شناخته شده چه کاری باید انجام داد؟” بسیار بالاست. کنترل‌های حیاتی امنیت در دسترس امروزی حاصل توافق گروه متخصصان بوده و درنتیجه آن، امروزه متداول‌ترین کنترل‌ها را دارا هستیم. نکته اصلی در ارزش ادامه‌دار این کنترل‌ها این است که این کنترل‌ها برای متوقف کردن یا کاهش تاثیر حملات جدید به طور مداوم به‌روز‌رسانی می‌شوند.

این کنترل‌ها بهترین داده‌های تهدید را به عنوان ورودی دریافت کرده و آن‌ها را به توصیه‌هایی قابل اقدام برای بهبود امنیت فردی و جمعی در فضای سایبری تبدیل می‌کنند. اغلب موارد در امنیت سایبری به نظر می‌رسد افراد خرابکار به طور بهتری در مقایسه با افراد درستکار سازمان یافته و با یکدیگر همکاری می‌کنند. کنترل‌های حیاتی امنیت راهی برای برعکس کردن این مهم هستند.

مهم‌ترین کنترل‌‌های حیاتی امنیت توصیه شده توسط موسسه SANS

• فهرست‌بندی دستگاه‌های مجاز و نامجاز (Inventory of Authorized and Unauthorized Devices).
• فهرست‌بندی نرم‌افزارهای مجاز و نامجاز (Inventory of Authorized and Unauthorized Software)
• پیکربندی امن سخت‌افزارها و نرم‌افزارها روی دستگاه‌های موبایل، لپ‌تاپ‌ها، ایستگاه‌های کاری و سرورها (Secure Configurations for Hardware and Software
• on Mobile Devices, Laptops, Workstations, and Servers).
• ارزیابی مداوم آسیب‌پذیری‌ها و رفع آن‌ها (Continuous Vulnerability Assessment and Remediation).
• استفاده کنترل شده از دسترسی‌های مدیریتی (Controlled Use of Administrative Privileges)
• نگهداری، پایش و تحلیل logهای حسابرسی (Maintenance, Monitoring, and Analysis of Audit Logs).
• محافظت از ایمیل و مرورگر وب (Email and Web Browser Protections).
• دفاع در مقابل بدافزارها (Malware Defenses).
• محدودسازی و کنترل پورت‌ها، پروتکل‌ها و سرویس‌های شبکه (Limitation and Control of Network Ports, Protocols, and Services).
• قابلیت بازیابی داده (Data Recovery Capability).
• پیکربندی امن دستگاه‌های شبکه مانند فایروال‌ها، مسیریاب‌ها و سوییچ‌ها (Secure Configurations for Network Devices such as Firewalls, Routers, and Switches).
• دفاع از مرزها (Boundary Defense)
• محافظت از داده‌ها (Data Protection)
• دسترسی کنترل شده با توجه به آنچه نیاز به دانسته شدن آن است (Controlled Access Based On Need to Know)
• کنترل Deviceهای بیسیم (Wireless Device Control).
• کنترل و نظارت بر حساب‌های کاربری (Account Monitoring and Control)
• ارزیابی مهارت‌های امنیتی و ارائه آموزش‌های مناسب برای برطرف کردن نواقص (Security Skills Assessment and Appropriate Training to Fill Gaps).
• امنیت نرم‌افزارهای کاربردی (Application Software Security).
• مدیریت و پاسخ به رویدادها (Incident Response and Management).
• تست نفوذ و تمرین‌های تیم قرمز (Penetration Tests and Red Team Exercises)