編輯：小星

多一份網(wǎng)絡(luò)防護(hù)技能

多一份信息安全保障

網(wǎng)絡(luò)安全工作是越來(lái)越重要，而企業(yè)關(guān)注的重點(diǎn)就是敏感信息，這些敏感信息包括核心的業(yè)務(wù)系統(tǒng)、內(nèi)部辦公系統(tǒng)等都是在生產(chǎn)環(huán)境中進(jìn)行著。而和生產(chǎn)環(huán)境對(duì)應(yīng)的還有一個(gè)環(huán)境，就是測(cè)試環(huán)境，一般來(lái)說(shuō)測(cè)試環(huán)境只會(huì)在某種階段才會(huì)出現(xiàn)，比如技術(shù)開(kāi)發(fā)階段，或者信息安全等級(jí)保護(hù)的測(cè)評(píng)階段，所以一般情況大家都不會(huì)對(duì)其投入太多的關(guān)注。

通常組織會(huì)要求技術(shù)人員在交付技術(shù)產(chǎn)品或服務(wù)之前先搭建好測(cè)試環(huán)境，確保可以在不影響正常業(yè)務(wù)的條件下，可控、高效、安全的完成開(kāi)發(fā)或者測(cè)試工作，這是當(dāng)前公認(rèn)的最佳的解決方案。當(dāng)然在理想的狀態(tài)下，這些“非生產(chǎn)”或測(cè)試環(huán)境是需要和生產(chǎn)環(huán)境完全隔離開(kāi)的，以便于防止安全事故的發(fā)生。

在現(xiàn)實(shí)中，測(cè)試環(huán)境的具體情況一般只應(yīng)該有公司內(nèi)部人員才了解，對(duì)外完全沒(méi)必要公開(kāi)。但是在安全研究過(guò)程中，就往往會(huì)出現(xiàn)測(cè)試環(huán)境憑證暴露的情況，大大的提高了威脅發(fā)生的概率。

1、網(wǎng)絡(luò)風(fēng)險(xiǎn)

你可能不知道測(cè)試環(huán)境對(duì)于攻擊者的價(jià)值遠(yuǎn)大于我們的認(rèn)知，通常下的測(cè)試環(huán)境一般都能反應(yīng)出企業(yè)當(dāng)前的數(shù)字業(yè)務(wù)的部分情況。而因?yàn)榇蠹业暮鲆暎@些測(cè)試環(huán)境的漏洞往往會(huì)比生產(chǎn)環(huán)境更多，一旦攻破后，攻擊者將會(huì)獲取里面的信息完成自己的目的。

和生產(chǎn)環(huán)境相比，測(cè)試環(huán)境的憑證會(huì)更容易獲取，因?yàn)槠?/span>漏洞的管理會(huì)更加松懈，致使攻擊者有了更多的機(jī)會(huì)，盜竊測(cè)試環(huán)境中的數(shù)據(jù)對(duì)攻擊者來(lái)說(shuō)也更加容易。在一些場(chǎng)景下的測(cè)試數(shù)據(jù)可能會(huì)無(wú)法達(dá)到測(cè)試的效果，那么測(cè)試者就可能會(huì)將生產(chǎn)數(shù)據(jù)放到測(cè)試環(huán)境使用，而這些數(shù)據(jù)可能會(huì)存在客戶(hù)信息、公司的機(jī)密數(shù)據(jù)等，一旦暴露，不僅可能造成公司聲譽(yù)的影響，還有可能遭到監(jiān)管機(jī)構(gòu)的處罰，造成的將會(huì)使無(wú)法估量的損失。

最重要的是，雖然測(cè)試環(huán)境和生產(chǎn)環(huán)境是不能關(guān)聯(lián)的，但也要重視其安全。萬(wàn)一測(cè)試環(huán)境和生產(chǎn)環(huán)境發(fā)生“重疊”，那就相當(dāng)于把測(cè)試環(huán)境變成了另一條進(jìn)入生產(chǎn)環(huán)境的通道，而測(cè)試環(huán)境的漏洞也就是生產(chǎn)環(huán)境的漏洞。攻擊者就可以以此做為跳板，對(duì)組織的內(nèi)部系統(tǒng)展開(kāi)攻擊。

2、如何降低風(fēng)險(xiǎn)

1、使用不同的憑證：應(yīng)該保持測(cè)試環(huán)境和生產(chǎn)環(huán)境的獨(dú)立性，將它們的憑證分開(kāi)，這樣一來(lái)就算出現(xiàn)漏洞，測(cè)試環(huán)境的憑證也無(wú)法訪問(wèn)生產(chǎn)環(huán)境。

2、減少權(quán)限：測(cè)試環(huán)境的權(quán)限應(yīng)當(dāng)盡量減少，測(cè)試憑證的權(quán)限設(shè)置需要以權(quán)限最少為原則，且測(cè)試環(huán)境的權(quán)限只能允許其進(jìn)入測(cè)試環(huán)境，無(wú)法進(jìn)入其他系統(tǒng)。

3、身份驗(yàn)證：為了防止攻擊者可以訪問(wèn)公司的系統(tǒng)，可以創(chuàng)建防線進(jìn)行阻止，在測(cè)試環(huán)境中需要啟用多因素的身份驗(yàn)證(MFA)。

4、使用測(cè)試數(shù)據(jù)：生產(chǎn)數(shù)據(jù)中的敏感信息太多，所以在測(cè)試環(huán)境測(cè)試時(shí)要盡量使用虛假數(shù)據(jù)。如果實(shí)在要使用生產(chǎn)數(shù)據(jù)，請(qǐng)一定盡可能先做好脫敏工作。

5、技術(shù)控制：做好技術(shù)控制工作，比如網(wǎng)絡(luò)分割等，不論在什么環(huán)境中，只有安全的網(wǎng)絡(luò)才能更好的保護(hù)系統(tǒng)。

6、關(guān)注供應(yīng)商風(fēng)險(xiǎn)：上列幾項(xiàng)內(nèi)容都是通過(guò)組織的內(nèi)部調(diào)整就可以達(dá)到降低測(cè)試環(huán)境風(fēng)險(xiǎn)目的，但還有一個(gè)部分我們也不能忽略，就是提供服務(wù)或技術(shù)的供應(yīng)商。很多企業(yè)都是需要依靠供應(yīng)商完成日常的工作，所以如果我們將內(nèi)部的防范再到位，但是憑證從供應(yīng)商甚至供應(yīng)商的合作伙伴手中丟失，那么一樣會(huì)給組織帶來(lái)的傷害。

以上為個(gè)人觀點(diǎn)，僅供參考。

歡迎關(guān)注小星（ID：DBXSJ01）