Zum Inhalt springen
Alle Produkte ansehen
Computing
Speicher
Netzwerk
Databases
Services
Entwicklertools
Branchen
Preise
Community
Treten Sie mit uns in engeren Kontakt
Blog erforschen
Kategorien
13
  1. Cloud Übersichten
    51
  2. Computing
    27
  3. Container (Kubernetes, Docker)
    35
  4. Databases
    22
  5. Entwicklertools
    43
  6. Linode
    263
  7. Linux
    69
  8. Multicloud
    4
  9. Netzwerk
    33
  10. Open Source
    6
  11. Partner-Netzwerk
    7
  12. Sicherheit
    64
  13. Speicher
    24
Autoren 58
  1. Alex Leung 6
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Ari Weil 1
  9. Bradley LaBoon 1
  10. Blair Lyon 9
  11. Billy Thompson 10
  12. Christopher Aker 175
  13. Cassie Bubnis 1
  14. Daniele Polencic 4
  15. David Monschein 2
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 7
  23. Justin Cobbett 6
  24. Jon Frederickson 1
  25. Jorge Gaona 1
  26. Jonathan Hill 2
  27. Justin Mitchel 4
  28. James Steel 5
  29. Jamie Sherkness 8
  30. Linode 70
  31. Linode Events 8
  32. The Linode Security Team 122
  33. The Linode Network & Security Teams 1
  34. LINQ 1
  35. Leslie Salazar 1
  36. Michelle Berg 1
  37. Mitch Donaberger 1
  38. Mike Fischler 1
  39. Mike Maney 10
  40. Maddie Presland 20
  41. Mike Quatrani 4
  42. Nathan Melehan 2
  43. Nigel Poulton 1
  44. Philip McGuinness 1
  45. Prasoon Pushkar 1
  46. Peter Sari 1
  47. Rick Myers 7
  48. Richard Tubb 1
  49. Sal Carrasco 1
  50. Salman Iqbal 1
  51. Stuart Macleod 1
  52. Shawn Michels 1
  53. Linode Support 14
  54. Tom Asaro 18
  55. Travis Baka 2
  56. Talia Nassi 17
  57. Tim Vereecke 1
  58. Yuri Goldfeld 1
BlogSicherheitAchten Sie auf Ihre nicht produktiven Subdomains

Achten Sie auf Ihre nicht produktiven Subdomains

Alex Leung
Alex Leung
17. Oktober 2024
Illustration mit dem Text "Achten Sie auf Ihre nicht produktiven Subdomains".

Es ist üblich, dass Sicherheitsteams ihre Bemühungen auf die primäre Produktionsdomäne eines Unternehmens konzentrieren. Schließlich generiert die Anwendung, die den meisten Datenverkehr für das Unternehmen verursacht, auch die Einnahmen. Die dort exponierten Daten sind das größte Ziel für Angreifer. Es ist logisch, dass die Sicherung dieses Bereichs am wichtigsten ist, aber er ist nicht alles.

Wenn Sie davon nicht überzeugt sind, sollten Sie sich ein wenig in die Lage eines Angreifers versetzen. Was könnte man erreichen, wenn man ein Ziel anvisiert, das (oberflächlich betrachtet) weniger wertvoll ist? Ist es möglich, dass ein verwundbares, weniger wertvolles Ziel Ihnen dabei helfen kann, zum Hauptziel vorzudringen?

Finden wir es heraus.

Angriffsstrategie: Finden Sie die Schwachstellen

Wenn man darüber nachdenkt, wie man in eine gut verteidigte Festung eindringen kann, würde kein intelligenter Angreifer direkt auf die Eingangstür zugehen und versuchen, sie einzuschlagen. Dies wäre nicht ihre einzige Angriffsstrategie. Stattdessen würden sie versuchen, die Schwachstellen in den Verteidigungsanlagen zu finden.

Das ist bei der Web-Sicherheit nicht anders. Dies gilt insbesondere für die Welt des Cloud Computing, da die Unternehmen von heute die Portabilität der Cloud für Flexibilität und einfache Skalierung nutzen. Bei Linode können Sie beispielsweise mit einem einfachen Mausklick eine neue Instanz einer Anwendung einrichten.

Die Annehmlichkeiten des Cloud-Computing müssen jedoch mit sicheren Praktiken einhergehen. Anstatt der Hauptanwendung, die über alle Sicherheitsvorkehrungen verfügt, neue Funktionen hinzuzufügen, ist es für einige Unterteams einfacher, eine neue Anwendung zu entwickeln und sie in einer Subdomäne bereitzustellen. Natürlich versuchen diese Unterteams nicht, ihr Unternehmen einem Angriff auszusetzen. Indem sie jedoch den Web-Footprint ihrer Organisation mit neuen Anwendungen und Subdomains erweitern, vergrößern sie die Angriffsfläche und erschweren die Sicherung der gesamten Umgebung.

Bedenken Sie auch, dass nicht produktive Anwendungsinstanzen auf Subdomänen wahrscheinlich mit der Hauptanwendung oder zumindest mit deren Datenspeicher kommunizieren müssen. Hier kann ein Angreifer einen Weg von einem weniger sicheren System in ein sichereres System finden.

Verteidigungsstrategie: Kenne deine Grenzen

Kehren wir zu unserer Festungsmetapher zurück. Eine der besten Möglichkeiten für einen Angreifer, Schwachstellen zu finden, besteht darin, den gesamten Umkreis des Ziels auszukundschaften. Wenn Sie also wie ein Angreifer denken, dann ist das Aufspüren aller möglichen Angriffspunkte ein guter erster Schritt, um sicherzustellen, dass die Systeme gut gesichert sind.

Tools wie Sublist3r sind für Sicherheitsteams und Penetrationstester konzipiert. Sie helfen Ihnen, Ihre Umgebung zu überwachen und zu wissen, was eingesetzt wurde. Ein Angreifer kann sie jedoch auch nutzen, um alle genutzten Subdomains aufzuzählen.

Nichtsdestotrotz besteht der Ausgangspunkt für die Einrichtung von Schutzmaßnahmen darin, alle Zugangswege zu Ihrem System zu überwachen.

Aus den Fehlern anderer lernen

Ein perfektes Beispiel für diese Art von Situation habe ich kürzlich bei einer von mir analysierten Website erlebt. Das Unternehmen hatte große Anstrengungen unternommen, um sicherzustellen, dass seine Hauptseite gut geschützt, mit TLS 1.3 gesichert und sogar als PCI-DSS-konform zertifiziert war. Das ist eine Menge Arbeit!

Aber... sie betrieben auch ein Content Management System auf einer Subdomain, die nicht einmal mit SSL/HTTPS gesichert war. 🤦🏻‍♂️ Der gesamte Datenverkehr zu diesem CMS - sogar die Authentifizierung - lief völlig ungesichert.

Selbst Google Chrome weiß, dass dies ein Problem ist, und zeigt in der URL-Leiste die große Warnung "Nicht sicher" an. Da es sich um eine Anmeldeseite handelt, werden der Benutzername und das Passwort im Klartext über die Leitung übertragen. Jeder hinreichend motivierte Angreifer könnte dies herausfinden, indem er den Datenverkehr auf ISP- oder Netzwerkebene abfängt. Dann könnten sie diese Anmeldedaten verwenden, um ein anderes System desselben Unternehmens anzugreifen. Wie hoch ist die Wahrscheinlichkeit, dass einige Anmeldeinformationen auf dieser Subdomäne in anderen Anwendungen desselben Unternehmens wiederverwendet werden? Ich würde sagen, sie ist ziemlich hoch.

Alternativ könnte sich der Angreifer Zugang zum CMS verschaffen und Schadsoftware oder bösartiges JavaScript in die Anwendung einbetten, wodurch Kundendaten preisgegeben werden, wenn Mitarbeiter auf andere Systeme zugreifen.

Es wurden große Anstrengungen unternommen, um die Hauptanwendung dieses Unternehmens, seinen ganzen Stolz, zu sichern. Das Eingangstor ist verschlossen und überall sind Wachen postiert. Die Hintertür hingegen steht weit offen, und niemand beobachtet sie.

Fazit

Die meisten Leute glauben nicht, dass Subproduktionsdomänen ein großes Risiko darstellen. "Das ist Sicherheit durch Unklarheit", sagen sie. Ich hoffe, dieses einfache Beispiel hat klarer gemacht, warum das eine schlechte Sicherheitsstrategie ist. Es spielt keine Rolle, wie klein das System oder die Anwendung ist. Wenn Ihr Unternehmen es einsetzt, muss es Teil Ihres Sicherheitsfokus sein.

Hier sind einige praktische Schritte, die Sie heute unternehmen können:

  1. Scannen Sie Ihre Domains, um ein Inventar aller derzeit genutzten Subdomains zu erstellen.
  2. Ordnen Sie jede Subdomain sowohl nach ihrer leichten Ausnutzbarkeit als auch nach ihren Auswirkungen auf Ihr Unternehmen ein, wenn sie ausgenutzt wird.
  3. Setzen Sie Sicherheitstools ein, um die Subdomain zu sperren, die am leichtesten ausgenutzt werden kann und Ihr Unternehmen am meisten beeinträchtigen würde.
  4. Arbeiten Sie sich in der Liste nach unten vor, wenn Sie über die entsprechenden Ressourcen und die nötige Bandbreite verfügen.

Es ist in Ordnung, wenn Sie damit beginnen, Ihre Subdomänen nach und nach zu sichern. Das ist auf jeden Fall besser, als gar nichts zu tun! Lassen Sie die Perfektion nicht zum Feind des Guten werden. Wichtig ist, dass Sie sich darüber im Klaren sind, dass jede Lösung, die Sie im Internet einsetzen, ein gewisses Risiko birgt. Und überall dort, wo Risiken bestehen, sollten Sie auf die Sicherheit achten. Angreifer müssen nicht gleich Ihr ganzes Unternehmen übernehmen, um erheblichen Schaden anzurichten. Daher sollten auch nicht kritische Systeme mit der Ernsthaftigkeit behandelt werden, die Ihr Unternehmen verdient, um weiterhin gesund zu bleiben.

Es ist ein guter Anfang, wie ein Angreifer zu denken. Wachsam auf Schwachstellen zu achten und alle Stellen zu beseitigen, an denen jemand Fuß fassen und sich eine Weile verstecken könnte, bevor er seinen Angriff ausweitet, ist ein großer Schritt, um sicherzustellen, dass Ihr Unternehmen nicht zur nächsten großen Cybersecurity-Story wird.

Um mehr über Sicherheit zu erfahren, schauen Sie sich Linodes umfangreiche Bibliothek mit sicherheitsrelevanten Dokumenten und Anleitungen an.

Vielleicht interessiert Sie auch ...

Eine Illustration, die eine Stoppuhr und ein Schild mit einem Häkchen mit dem Text "Cutting Latency, Not Security" zeigt
Philip McGuinness

Verkürzung der Latenzzeit, nicht der Sicherheit

3. Oktober 2024
von Philip McGuinness
Content Security Policy (CSP) ist eine in Browsern implementierte Sicherheitsfunktion zum Schutz von Websites und Webanwendungen vor Angriffen.
Sicherheit

Das Cloud-basierte Unternehmen: Die Sicherung der Cloud

On-Demand
20. September 2024
Entdecken Sie die neuesten Strategien und Technologien für Cloud-Sicherheit, einschließlich Identitäts- und Zugriffsmanagement, Datenverschlüsselung, Erkennung von Bedrohungen und Verwaltung der Datensicherheitslage mit Experten führender Cloud-Sicherheitsunternehmen.
Sicherheit
Alex Leung

Sinnlos kann nicht harmlos sein: Die Geschichte einer Login-Seite mit einer leeren Sicherheitsfrage

17. September 2024
von Alex Leung
Erfahren Sie, wie Angreifer Sicherheitslücken in Anmeldeseiten ausnutzen, und lernen Sie, wie Sie Ihre Webanwendungen mit Best Practices schützen können.
Sicherheit

Kommentare

Kommentar abgeben

Ihre E-Mail Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit *gekennzeichnet