专栏名称: 四大新鲜事儿

有关国际四大最新资讯第一分享平台！本平台发布国际四大会计师事务所(PwC, KPMG ,DTT, EY)的最新资讯，行业监管、业务动态，职场心得、招聘信息、专业交流信息！

毕马威：IT非生产环境安全风险管理与应对！

四大新鲜事儿 · 公众号 · · 2024-07-24 10:55

正文

近年来我们注意到部分安全攻击、事件发生在企业的IT非生产环境，并引发了一系列不利后果。如LastPass在2023年揭露了一起重大安全事件，攻击者利用供应链攻击，侵入了公司的非生产环境，并窃取了部分源代码、客户数据 1 。微软在2024年披露黑客组织Midnight Blizzard利用密码喷洒攻击，成功侵入了一个非生产的账号，进而获取了公司员工的电子邮件账户，窃取了Windows操作系统、Office套件等关键软件的部分源代码 2 。

此外，监管检查案例中也发现了企业非生产环境中存在高危漏洞，企业存在疏于管理的情况。许多企业非生产环境缺少必要的安全管控措施且直接暴露在互联网上，如应用系统管理后台的非生产环境存在弱口令、远程访问网关的非生产环境存在命令执行漏洞。这些事件和案例不仅给企业带来了经济损失，也降低了企业的声誉和客户信任度。因此，对于企业而言，如何有效管理非生产环境中的安全风险，已经成为安全团队关注的焦点之一。

IT非生产环境安全管控现状和主要风险

企业的非生产环境主要用于开发、测试等目的，不直接涉及业务运营和客户服务，在传统的安全管理理念下，其风险级别通常低于生产环境。然而，随着企业逐步深化对互联网技术、云技术等的应用，非生产环境所面临的安全威胁和风险情况也随之发生改变。此外，非生产环境的复杂性往往不亚于生产环境，企业如果需要实现非生产环境的纵深安全管控能力，需要投入大量的资源（人力、物力、财力）。在整体资源有限的情况下，从较为片面和传统的安全管理理念出发，企业往往将更多的资源投入到生产环境的安全管控中，而忽视了对非生产环境的有效覆盖和管理，由此引发的一系列的安全风险不容忽视：

首先，日益复杂化的网络环境，使得企业难以避免将非生产环境暴露于互联网之下，从而显著增加了其面临的网络安全风险。 随着技术的持续革新和市场需求的日新月异，企业对云计算的使用与依赖正日益深化。在云计算的初期阶段，企业主要聚焦于将基础设施迁移至云端，如服务器、存储及网络设备等，以享受云端带来的弹性与便利。然而，随着云计算技术的日臻完善，企业开始逐步将更多服务整合至云端，涵盖软件开发、数据分析、人工智能等多个领域。与此同时，多云和混合云策略也渐成主流，为企业提供了更为灵活和高效的IT架构。然而，攻击者已经敏锐地洞察到这一趋势并将非生产环境作为切入点，利用非生产环境的安全漏洞，发起一系列网络攻击，包括但不限于恶意软件攻击、注入攻击、网络钓鱼和中间人攻击等，从而绕过生产环境中的严格安全管控措施，实现其恶意目的。

其次，数据安全风险是非生产环境中的另一个关注点，未脱敏数据的不当使用、访问控制机制不完善等问题导致企业数据面临着泄露、篡改或丢失的巨大风险。近年来国内发生了多起因系统源码泄露而导致的敏感信息泄露事件就属于常见的开发测试环境数据安全挑战，开发测试环境中引入未完全脱敏的数据或未及时升级管控和清理，也带来了实际的数据安全风险和隐患。

再次，开发测试过程中引入大量的第三方组件、库和开发与测试工具等，降本增效的同时，也不可避免地带来一系列的安全风险。 第三方组件或库可能成为供应链攻击的载体，如果这些组件或库被植入恶意代码，可能会对整个非生产环境造成威胁。第三方软件或工具可能包含已知的安全漏洞，如果这些漏洞不被及时识别，同样可能会被攻击者利用。

此外，身份和访问管理风险、合规风险以及配置和更新风险也是非生产环境中需要重视的安全问题。 这些风险如果不加以妥善管理，可能对企业的信息安全和业务运营造成不利影响。

IT非生产环境安全管理要点

非生产环境管理薄弱是一个复杂的问题，需要企业从多个方面入手进行解决。基于毕马威团队多个项目实践，建议可从以下 九个关键管控领域 入手，结合企业自身情况，逐步提升非生产环境的安全管理和防护水平：

安全意识

建立并加强企业对非生产环境的安全管控意识。

资产的粗颗粒度管理

识别和梳理非生产环境中的应用程序和服务，包括Web应用、数据库服务、API等。
定期更新非生产环境的资产清单，确保信息的准确性和完整性。
定期审查和优化非生产环境的资产管理流程，以适应业务和技术的发展变化。

网络侧的切割

尽量避免非生产环境与互联网网络互通，减少安全风险。
根据业务实际情况，建立有效的非生产环境、生产环境、办公环境隔离机制。
面向互联网的资产应遵循最小化原则配备网络访问策略。

身份鉴别机制的完善

建立身份认证机制。
禁止使用特权账号、默认账号、弱口令账号进行日常工作，避免多人共用账号的现象。

数据使用与存储安全

禁止使用未经脱敏的真实业务数据，确保敏感信息的安全。
禁止存储生产环境相关的鉴别或配置信息。
数据使用期限到期后应及时清除，避免数据泄露和滥用。

补丁更新及漏洞管理

及时更新补丁，修复已知的安全漏洞。
定期执行漏洞扫描或渗透测试，发现并修复潜在的安全隐患。
建立漏洞修复跟踪机制，确保漏洞得到及时处理。

产品引入时的安全评估

引入第三方产品或组件时进行安全评估，确保软件的稳定性和安全性。

配置管理

尽量避免多个应用系统共用同一套基础设施，减少安全风险。
定期执行配置核查，确保系统和设备的配置符合安全要求。

入侵检测与防范

部署适当的安全监控产品，如入侵检测系统（IDS）和入侵防御系统（IPS），及时发现并响应安全事件。

毕马威安全服务

毕马威中国网络安全专业服务团队深耕市场多年，在网络安全战略与治理、网络安全转型、网络防御、体系评估与保障等多个服务领域，协助企业发现安全隐患，建立与完善更为高效、更加经济的安全防护体系，提高网络安全管理水平。

针对非生产环境安全风险管理，毕马威可提供如下安全服务：

互联网资产渗透测试

对非生产环境中面向互联网的信息资产进行渗透测试，识别潜在的安全漏洞。

非生产环境资产梳理

综合运用外部信息收集和内部网络嗅探等多种专业手段，帮助企业全面、精准地识别和梳理非生产环境中的信息资产。

非生产环境安全评估

对非生产环境（数据中心、网络、主机、应用、数据等）进行全面的风险评估，识别出关键风险点和高风险领域。

供应链安全评估

识别和清点所有软件组件，包括开源和商业软件库、框架、依赖关系和服务，并对组件进行安全评估，包括检查已知的漏洞、许可证合规性、代码质量和安全实践。对非生产环境中引入的软件进行安全测试，包括静态代码分析、动态分析、渗透测试等，以验证软件的安全性。

意识宣贯

基于企业需求和行业发展趋势，为企业提供安全培训，帮助企业不断提升非生产环境安全管控意识和应对安全挑战的能力。

资料来源：

[1] https://msrc.microsoft.com/blog/2024/03/update-on-microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/

[2] https://blog.lastpass.com/posts/2023/03/security-incident-update-recommended-actions

联系我们

张令琪

网络安全和数据保护服务

主管合伙人

毕马威中国

+86 (21) 2212 3637

[email protected]

郝长伟

网络安全和数据保护服务

合伙人

毕马威中国

+86 (10) 8508 5485

[email protected]

黄芃芃
网络安全和数据保护服务
合伙人
毕马威中国
+86 (21) 2212 2355
[email protected]

周文韬
网络安全和数据保护服务
合伙人
毕马威中国
+86 (21) 2212 3149
[email protected]

李振
网络安全和数据保护服务

总监
毕马威中国
+86 (10) 8508 5397
[email protected]

邬敏华
网络安全和数据保护服务

总监
毕马威中国
+86 (21) 2212 3180
[email protected]

宋智佳
网络安全和数据保护服务

总监
毕马威中国
+86 (21) 2212 3306
[email protected]

END

精彩推荐

四大新鲜事儿 视频号

热门职场圈子

四大君重磅推出职场 圈子小程序！ 入圈可实时了解四大圈职场的最新资讯、专业知识经验、政策解读等；在线收听圈内资深人士的职场和专业话题分享；通过与圈内职场经验人士互动解决自身的各种职场疑惑；下载本圈收集的各种数据报告、专业干货等，进行自我学习提升。

毕马威：IT非生产环境安全风险管理与应对！

正文

请到「今天看啥」查看全文