网络安全风险评估70问

1. 您是否进行过强大且频繁的最终用户网络安全意识培训？

2. 您是否教过每个人如何安全地存储密码或密码短语？

3. 您是否每季度开展一次反网络钓鱼、短信钓鱼和电话钓鱼活动？

4. 组织中的每个人都是否了解与网络安全相关的风险，威胁参与者使用的常见策略以及如何报告任何可疑活动以供进一步调查？‍

5. 所有供应商默认帐户是否已更改或禁用？

6. 是否只启用必要的服务、协议、守护进程和功能？

7. 是否删除或禁用了所有不必要的功能？

8. 终止雇佣关系后，所有帐户是否会立即被禁用或删除？

9. 是否所有屏幕空闲时间都设置为 15 分钟，是否需要重新进行身份验证才能解锁？‍

10.您是否为最终用户提供了保存所有密码的工具（最好是基于云的家庭和工作使用）？

11.您是否开发了一个管理员（admin）和用户密码字母或短语策略，消除了使用常见的或容易猜测的密码？‍

12. 是否所有终端日志都由使用基于威胁参与者活动和启发式的威胁情报和人工智能 （AI）的智能技术摄取？

13. 您是否强化了所有终端并删除了作业功能不需要的所有内容？

14. 您是否在利用具有内置安全上下文的基于威胁情报的安全分析平台的所有终端上提供下一代反恶意软件保护（例如，托管检测和响应 [MDR]、扩展检测和响应 [XDR]、端点检测和响应 [EDR]）？

15. 您是否阻止非企业控制和受保护的设备连接到网络的任何部分？

16. 是否所有终端都有个人防火墙，用于在未连接到企业网络时访问Internet？

17. 是否所有终端都安装了无法禁用的防病毒软件，并在有新的更新可用时自动更新？

18. 是否所有终端都安装了下一代反恶意软件应用程序？‍

19. 所有日志是否至少存储2年？

20. 是否所有设备都生成日志？

21. 内部和/或外部来源是否每天都会审查所有日志？

22. 您是否拥有成熟且组织良好的网络安全事件响应（内部或与第三方合作）来彻底调查所有事件？‍

23. 您是否只为员工提供履行工作职能所需的工具和访问权限，而没有其他任何内容？

24. 您是否使用最小特权原则？

25. 是否部署了零信任模型？

26. 是否需要对网络外的所有连接进行多重身份验证（MFA）？

27. 您是否需要内部身份验证的网络用户进行MFA才能访问网络内的关键基础设施和数据（即顶尖业务）？

28. 您是否按照允许您快速为网络上的每个帐户执行密码重置的顺序管理所有凭据？（这包括服务帐户）

29. 您最近是否评估了您的活动目录，以确保其正确配置和受到保护？

30. 您是否正在积极监控活动目录的安全性？

31. 除非另有授权，否则您的外围防火墙是否有全部拒绝规则？

32. 您的隔离区（DMZ）是否安全？

33. 是否确认隔离区没有数据、数据库或存储帐户？

34. 您是否部署了反欺骗技术来防止伪造的IP地址进入网络？

35. 您是否阻止在互联网上披露内部IP地址和路由信息？

36. 您是否使用限制性防火墙将关键基础设施与网络的其他部分隔离开来（例如，将WiFi、机密数据、虚拟机和打印机与顶尖业务离开来）？‍

37. 是否定义和实施了程序以保护用于保护存储数据免遭泄露和滥用的加密密钥？

38. 加密密钥是否存储在至少具有双保管人的最不可能的位置？

39. 您是否在所有适当的驱动器上使用全磁盘加密？

40. 您是否在动态中使用安全加密（至少是传输层安全性（TLS）1.1 或更高层？

41. 是否所有非控制台管理访问都使用强加密技术进行加密？‍

42. 您是否定期执行有针对性的威胁搜寻？

43. 您是否摄取了当前的威胁情报（最好来自多个来源），并制定了基于良好威胁情报实施快速对策的程序？

44. 它是否包括执行例行的暗网侦察，以了解暗网上存在的有关您的品牌和企业结构的内容？

45. 您是否密切监控所有供应商和第三方供应链连接，以发现合规性和不良问题？‍

46. 您是否每年至少进行一次由第三方进行的渗透测试？

47. 您是否在30天内执行例行漏洞扫描并修复通用漏洞评分系统（CVSS）评分为4或更高的所有漏洞，并在90天内修复所有其他漏洞？

48. 您是否定期扫描面向互联网的基础设施以查找渗透和漏洞？

49. 您是否与内部和外部审计师一起执行年度业务影响分析/风险分析报告？‍

50. 您是否有至少每年更新一次，并被其适用各方理解的企业安全政策？

51. 您是否有正式的变更控制政策？‍

52. 限制对服务器、控制台、备份和网络设备的物理访问的流程和机制是否到位并得到适当保护？

53. 是否实施了物理和/或逻辑控制，以限制在设施内使用可公开访问的网络接入点？‍

54. 您是否有每年审查和实践的良好网络事件响应计划（CIRP）？CIRP应定期更新，核心和扩展事件响应团队应至少每年使用桌面或功能网络安全练习来实践响应。

55. 您是否有处理常见网络安全事件的技术说明的剧本？‍

56. 您是否有整个网络（包括WiFi）的完整图表？

57. 您是否拥有所有资产的完整清单，包括业务关键级别、所有者、共同所有者和恢复策略？此清单是否包括包含恢复时间段的指导说明？

58. 你有全套的数据流图吗？‍

59. 您是否使用组织顶尖业务的文件完整性监控 （FIM）？

60. 机密数据的存储是否保持在最低限度，并在不再需要后安全删除？

61. 您是否需要在整个网络中进行数据分类？

62. 您是否在机密数据所在的任何位置部署了网络和基于云的数据丢失防护（DLP） 程序？

63. 您是否防止机密数据复制到外部设备以及外部设备连接到终端？‍

64. 是否定义和理解了开发和维护安全系统和软件的过程和机制？

65. 软件开发人员是否定义并使用软件工程技术或其他方法来防止或减轻所有软件中的常见软件攻击和相关漏洞？

66. 关于面向公众的网络应用程序，是否正在不断解决新的威胁和漏洞？

67. 这些应用程序是否受到保护以免受攻击？

68. 预生产环境是否与正式生产环境分开，是否通过访问控制强制实施分离？‍

69. 是否所有移动设备都受有效的移动设备管理（MDM）策略的约束？

70. 您是否禁止不受企业安全机制控制的移动设备的任何连接？