内容简介:网络安全至关重要,组织致力于对敏感的信息资产建立有效的控制及保护,关注的重点在核心的业务系统、内部办公系统、财务系统、人事系统…这一切可归为组织的生产环境。与之不同,测试环境更像一个过客,会阶段性的出现在组织内部,而人们往往对其不会有足够的关注。在交付技术产品或服务之前,组织通常会搭建测试环境,以确保在不影响正常业务的情况下,可控、高效、安全的完成测试或开发,这是当前公认的最佳实践。在理想状态下,这些“非生产”或测试环境应该与生产环境完全隔离,以防出现安全事故。在现实中,应只有公司内部人员了解测试环境的情
网络安全至关重要,组织致力于对敏感的信息资产建立有效的控制及保护,关注的重点在核心的业务系统、内部办公系统、财务系统、人事系统…这一切可归为组织的生产环境。与之不同,测试环境更像一个过客,会阶段性的出现在组织内部,而人们往往对其不会有足够的关注。
在交付技术产品或服务之前,组织通常会搭建测试环境,以确保在不影响正常业务的情况下,可控、高效、安全的完成测试或开发,这是当前公认的最佳实践。在理想状态下,这些“非生产”或测试环境应该与生产环境完全隔离,以防出现安全事故。在现实中,应只有公司内部人员了解测试环境的情况,对公众来说,完全没有必要公开。然而,在安全研究中,经常可以发现暴露的测试环境凭证,这可能会导致严重的后果。
测试环境带来的风险
测试环境自身对于攻击者的价值,远大于我们的认识,测试环境可以反应出组织当前数字业务的部分情况,会存在比生产环境更多的漏洞,承载的信息还可帮助攻击者更好的利用社会工程学攻击。
相比生产环境来说,测试环境凭证更好获得,对漏洞的管理也更加松懈,给攻击者留下了更多的机会,盗窃测试环境中的数据对攻击者来说也更加容易。在某些场景下,例如因为伪造的数据无法达到测试效果,测试者会在测试环境中使用生产数据,这些数据可能是客户信息、公司的机密数据、一旦暴露,不仅会面临监管机构的罚款,对公司声誉带来的影响,更是无法估量的损失。
此外,尽管测试环境不应与生产环境关联,我们也应重视对其的保护。一旦测试环境同生产环境“重叠”,那么测试环境则成为了进入生产环境的通道,测试环境存在的漏洞也即成为了生产环境的漏洞。攻击者可以此为跳板,利用社会工程获得对组织内部系统的更大访问权限。
如何降低测试环境带来的风险
1. 测试环境应该始终使用与生产环境不同的凭证,这样即使泄漏,测试凭证也不能用于访问生产环境。
2. 测试凭证应该遵循权限最少的原则,只能使用测试凭证进入测试环境而不能进入其他系统。
3. 在测试环境中启用多因素身份验证(MFA),以创建另一道防线以阻止攻击者访问公司的系统。
4. 避免在测试环境中使用真实(生产)数据,尽可能使用或开发 工具 为测试环境生成虚假数据。如果必须使用生产数据,在使用前尽可能的脱敏。
5. 实现技术控制,如网络分割:健壮的网络安全更利于保护系统,无论是生产环境还是测试环境。
6. 关注供应商风险:以上几条均是通过组织内部的调整以达到降低使用测试环境风险的目的,但我们也不能忽略一个关键的角色,提供服务or技术的供应商。即使内部的防范再到位,若凭证从供应商、甚至供应商的合作伙伴手中流失,给组织带来的伤害是一样的。在安全牛发布的《供应商安全风险激增,安全评级服务不可或缺》一文中,对供应商给组织带来的风险进行了综合的阐述,安全评级服务为应对这类特别的风险提供了一种可行的方法。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
深入浅出强化学习:原理入门
郭宪、方勇纯 / 电子工业出版社 / 2018-1 / 79
《深入浅出强化学习:原理入门》用通俗易懂的语言深入浅出地介绍了强化学习的基本原理,覆盖了传统的强化学习基本方法和当前炙手可热的深度强化学习方法。开篇从最基本的马尔科夫决策过程入手,将强化学习问题纳入到严谨的数学框架中,接着阐述了解决此类问题最基本的方法——动态规划方法,并从中总结出解决强化学习问题的基本思路:交互迭代策略评估和策略改善。基于这个思路,分别介绍了基于值函数的强化学习方法和基于直接策略......一起来看看 《深入浅出强化学习:原理入门》 这本书的介绍吧!