编辑:小星
多一份网络防护技能
多一份信息安全保障
网络安全工作是越来越重要,而企业关注的重点就是敏感信息,这些敏感信息包括核心的业务系统、内部办公系统等都是在生产环境中进行着。而和生产环境对应的还有一个环境,就是测试环境,一般来说测试环境只会在某种阶段才会出现,比如技术开发阶段,或者信息安全等级保护的测评阶段,所以一般情况大家都不会对其投入太多的关注。
通常组织会要求技术人员在交付技术产品或服务之前先搭建好测试环境,确保可以在不影响正常业务的条件下,可控、高效、安全的完成开发或者测试工作,这是当前公认的最佳的解决方案。当然在理想的状态下,这些“非生产”或测试环境是需要和生产环境完全隔离开的,以便于防止安全事故的发生。
在现实中,测试环境的具体情况一般只应该有公司内部人员才了解,对外完全没必要公开。但是在安全研究过程中,就往往会出现测试环境凭证暴露的情况,大大的提高了威胁发生的概率。
1、网络风险
你可能不知道测试环境对于攻击者的价值远大于我们的认知,通常下的测试环境一般都能反应出企业当前的数字业务的部分情况。而因为大家的忽视,这些测试环境的漏洞往往会比生产环境更多,一旦攻破后,攻击者将会获取里面的信息完成自己的目的。
和生产环境相比,测试环境的凭证会更容易获取,因为其漏洞的管理会更加松懈,致使攻击者有了更多的机会,盗窃测试环境中的数据对攻击者来说也更加容易。在一些场景下的测试数据可能会无法达到测试的效果,那么测试者就可能会将生产数据放到测试环境使用,而这些数据可能会存在客户信息、公司的机密数据等,一旦暴露,不仅可能造成公司声誉的影响,还有可能遭到监管机构的处罚,造成的将会使无法估量的损失。
最重要的是,虽然测试环境和生产环境是不能关联的,但也要重视其安全。万一测试环境和生产环境发生“重叠”,那就相当于把测试环境变成了另一条进入生产环境的通道,而测试环境的漏洞也就是生产环境的漏洞。攻击者就可以以此做为跳板,对组织的内部系统展开攻击。
2、如何降低风险
1、使用不同的凭证:应该保持测试环境和生产环境的独立性,将它们的凭证分开,这样一来就算出现漏洞,测试环境的凭证也无法访问生产环境。
2、减少权限:测试环境的权限应当尽量减少,测试凭证的权限设置需要以权限最少为原则,且测试环境的权限只能允许其进入测试环境,无法进入其他系统。
3、身份验证:为了防止攻击者可以访问公司的系统,可以创建防线进行阻止,在测试环境中需要启用多因素的身份验证(MFA)。
4、使用测试数据:生产数据中的敏感信息太多,所以在测试环境测试时要尽量使用虚假数据。如果实在要使用生产数据,请一定尽可能先做好脱敏工作。
5、技术控制:做好技术控制工作,比如网络分割等,不论在什么环境中,只有安全的网络才能更好的保护系统。
6、关注供应商风险:上列几项内容都是通过组织的内部调整就可以达到降低测试环境风险目的,但还有一个部分我们也不能忽略,就是提供服务或技术的供应商。很多企业都是需要依靠供应商完成日常的工作,所以如果我们将内部的防范再到位,但是凭证从供应商甚至供应商的合作伙伴手中丢失,那么一样会给组织带来的伤害。
以上为个人观点,仅供参考。
欢迎关注小星(ID:DBXSJ01)
