更多课程 选择中心

软件测试培训
美国上市教育机构

400-111-8989

软件测试培训

如何应对测试环境中隐藏的网络风险?

  • 发布:软件测试培训
  • 来源:自动化软件测试
  • 时间:2019-03-07 17:46

对于测试工程师来说良好应对测试环境中隐藏的网络风险也是一门必修课,风险意味着对公司、对客户的威胁,控制风险,降低损耗也是软件测试工程师的职责,风险意识对软件测试工程师很重要!

如何应对测试环境中隐藏的网络风险?

网络安全至关重要,组织致力于对敏感的信息资产建立有效的控制及保护,关注的重点在核心的业务系统、内部办公系统、财务系统、人事系统…这一切可归为组织的生产环境。与之不同,测试环境更像一个过客,会阶段性的出现在组织内部,而人们往往对其不会有足够的关注。

在交付技术产品或服务之前,组织通常会搭建测试环境,以确保在不影响正常业务的情况下,可控、高效、安全的完成测试或开发,这是当前公认的最佳实践。在理想状态下,这些“非生产”或测试环境应该与生产环境完全隔离,以防出现安全事故。在现实中,应只有公司内部人员了解测试环境的情况,对公众来说,完全没有必要公开。然而,在安全研究中,经常可以发现暴露的测试环境凭证,这可能会导致严重的后果。

测试环境带来的风险

测试环境自身对于攻击者的价值,远大于我们的认识,测试环境可以反应出组织当前数字业务的部分情况,会存在比生产环境更多的漏洞,承载的信息还可帮助攻击者更好的利用社会工程学攻击。

相比生产环境来说,测试环境凭证更好获得,对漏洞的管理也更加松懈,给攻击者留下了更多的机会,盗窃测试环境中的数据对攻击者来说也更加容易。在某些场景下,例如因为伪造的数据无法达到测试效果,测试者会在测试环境中使用生产数据,这些数据可能是客户信息、公司的机密数据、一旦暴露,不仅会面临监管机构的罚款,对公司声誉带来的影响,更是无法估量的损失。

此外,尽管测试环境不应与生产环境关联,我们也应重视对其的保护。一旦测试环境同生产环境“重叠”,那么测试环境则成为了进入生产环境的通道,测试环境存在的漏洞也即成为了生产环境的漏洞。攻击者可以此为跳板,利用社会工程获得对组织内部系统的更大访问权限。

如何降低测试环境带来的风险

1. 测试环境应该始终使用与生产环境不同的凭证,这样即使泄漏,测试凭证也不能用于访问生产环境。

2. 测试凭证应该遵循权限最少的原则,只能使用测试凭证进入测试环境而不能进入其他系统。

3. 在测试环境中启用多因素身份验证(MFA),以创建另一道防线以阻止攻击者访问公司的系统。

4. 避免在测试环境中使用真实(生产)数据,尽可能使用或开发工具为测试环境生成虚假数据。如果必须使用生产数据,在使用前尽可能的脱敏。

5. 实现技术控制,如网络分割:健壮的网络安全更利于保护系统,无论是生产环境还是测试环境。

6. 关注供应商风险:以上几条均是通过组织内部的调整以达到降低使用测试环境风险的目的,但我们也不能忽略一个关键的角色,提供服务or技术的供应商。即使内部的防范再到位,若凭证从供应商、甚至供应商的合作伙伴手中流失,给组织带来的伤害是一样的。

感谢您的阅读,以上就是对如何应对测试环境中隐藏的网络风险所做的回答,你还满意吗?还有更好的应对策略吗?好了,更多软件测试的相关内容尽在达内软件测试培训机构官网,敬请关注!

免责声明:内容和图片源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

预约申请免费试听课

填写下面表单即可预约申请免费试听!怕钱不够?可就业挣钱后再付学费! 怕学不会?助教全程陪读,随时解惑!担心就业?一地学习,可全国推荐就业!

上一篇:移动端测试用例如何设计?
下一篇:Bug到底是怎么产生的?为什么就是控制不了?

日志在快速定位自动化脚本故障中的重要性研究

测试惯例是什么?怎么打破测试惯例?

如何设计登录测试的设计用例?

“用鼠标点点点”的测试,未来还有机会吗?

选择城市和中心
黑龙江省

吉林省

河北省

湖南省

贵州省

云南省

广西省

海南省