测试账户:一个隐藏的风险
您可能会认为这些风险是可以接受的。但如果不是,这里有一些避免这些风险的规则。
许多人共享的测试账户可以被任何碰巧拥有密码的人使用。这留下了一系列管理不善或无人管理的账户,只会增加您的攻击面。测试账户可能是一个信息宝库,甚至可以揭示有关内部系统详细信息的信息。如果您确实需要采用这种方法,请给您的开发人员自己的测试账户,然后教育他们滥用这些账户的风险。此外,如果您可以定期使这些账户过期,那就更好了。
安全硬糖
访问系统不应意味着使用它的权限。引入完全中介原则。
当有人站在您家门口时,让他们进门的步骤是什么?如果是家庭成员,他们会使用他们的房门钥匙,使用钥匙赋予的权限解锁门。对于其他人,敲门或门铃声会提示您做出决定。一旦进入您的家中,不同的人根据他们的身份拥有不同的权限。家庭成员可以访问您的整个家。亲密的朋友可以在无人监督的情况下四处走动,具有高度的信任。家电维修人员是您可能会在工作完成期间进行监督的人。
安全不匹配
安全必须是业务的推动者,而不是阻碍者。
那些说“不”的信息安全团队需要改变。躲在护城河后面可以轻松抵御攻击,但桥梁使您能够补充物资并与客户建立关系?城堡。请记住,安全团队的角色是授权其业务充满信心地前进,而不是阻碍进步。