Ir al contenido principal
Ver todos los productos
Calcular
Almacenamiento
Conexión
Bases de datos
Servicios
Herramientas para desarrolladores
Sectores
Precios
Comunidad
Habla con nosotros
Explorar el blog
Categorías
13
  1. Panorama de la nube
    51
  2. Calcular
    27
  3. Contenedores (Kubernetes, Docker)
    35
  4. Bases de datos
    22
  5. Herramientas para desarrolladores
    43
  6. Linode
    263
  7. Linux
    69
  8. Multicloud
    4
  9. Conexión
    33
  10. Código Abierto
    6
  11. Red de socios
    7
  12. Seguridad
    64
  13. Almacenamiento
    24
Autores 58
  1. Alex Leung 6
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Ari Weil 1
  9. Bradley LaBoon 1
  10. Blair Lyon 9
  11. Billy Thompson 10
  12. Christopher Aker 175
  13. Cassie Bubnis 1
  14. Daniele Polencic 4
  15. David Monschein 2
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 7
  23. Justin Cobbett 6
  24. Jon Frederickson 1
  25. Jorge Gaona 1
  26. Jonathan Hill 2
  27. Justin Mitchel 4
  28. James Steel 5
  29. Jamie Sherkness 8
  30. Linode 70
  31. Linode Events 8
  32. The Linode Security Team 122
  33. The Linode Network & Security Teams 1
  34. LINQ 1
  35. Leslie Salazar 1
  36. Michelle Berg 1
  37. Mitch Donaberger 1
  38. Mike Fischler 1
  39. Mike Maney 10
  40. Maddie Presland 20
  41. Mike Quatrani 4
  42. Nathan Melehan 2
  43. Nigel Poulton 1
  44. Philip McGuinness 1
  45. Prasoon Pushkar 1
  46. Peter Sari 1
  47. Rick Myers 7
  48. Richard Tubb 1
  49. Sal Carrasco 1
  50. Salman Iqbal 1
  51. Stuart Macleod 1
  52. Shawn Michels 1
  53. Linode Support 14
  54. Tom Asaro 18
  55. Travis Baka 2
  56. Talia Nassi 17
  57. Tim Vereecke 1
  58. Yuri Goldfeld 1
BlogSeguridadPreste atención a sus subdominios no productivos

Preste atención a sus subdominios no productivos

Alex Leung
Alex Leung
17 de octubre de 2024
Ilustración con el texto "Preste atención a sus subdominios no productivos"

Es habitual que los equipos de seguridad centren sus mejores esfuerzos en el dominio de producción principal de una organización. Después de todo, la aplicación que soporta la mayor parte del tráfico de esa organización genera ingresos. Los datos expuestos allí son el mayor objetivo de los atacantes. Tiene sentido que asegurar esto sea lo más importante, pero no lo es todo.

Si no estás convencido, es hora de que pienses un poco como un atacante. ¿Qué se podría conseguir apuntando a un objetivo que es (en apariencia) menos valioso? ¿Es posible que un objetivo vulnerable de menor valor pueda ayudarte a hacer incursiones para alcanzar el objetivo principal?

Averigüémoslo.

Estrategia de ataque: Encontrar los puntos débiles

Al pensar en cómo entrar en una fortaleza bien defendida, ningún atacante inteligente se dirigiría directamente a la puerta principal e intentaría derribarla. Esta no sería su única estrategia de ataque. En su lugar, intentaría encontrar los puntos débiles de las defensas.

La seguridad web no es diferente. Esto es especialmente cierto en el mundo de la computación en nube, ya que las organizaciones de hoy en día están aprovechando la portabilidad de la nube para la flexibilidad y el escalado fácil. Por ejemplo, con Linode, puedes crear una nueva instancia de una aplicación con solo pulsar un botón.

Sin embargo, las comodidades de la computación en nube deben ir acompañadas de prácticas seguras. En lugar de añadir funcionalidad a la aplicación principal, que cuenta con toda la seguridad sólida a su alrededor, algunos subequipos de ingeniería pueden encontrar más fácil crear una nueva aplicación y desplegarla en un subdominio. Por supuesto, estos subequipos no están tratando de exponer a su organización a un ataque. Sin embargo, al ampliar la huella web de su organización con nuevas aplicaciones y subdominios, están aumentando la superficie de ataque y haciendo más difícil asegurar todo el entorno.

Ten en cuenta también que las instancias de aplicaciones no productivas en subdominios probablemente necesiten comunicarse con la aplicación principal o al menos con su almacén de datos. Aquí es donde un atacante puede encontrar un camino desde un sistema menos seguro a un sistema más seguro.

Estrategia de defensa: Conozca su perímetro

Volvamos a nuestra metáfora de la fortaleza. Una de las mejores formas que tiene un atacante de encontrar puntos débiles es explorar todo el perímetro del objetivo. Así que, si piensas como un atacante, encontrar todos los posibles puntos de ataque es un gran primer paso para asegurarte de que los sistemas están bien protegidos.

Herramientas como Sublist3r están diseñadas para equipos de seguridad y probadores de penetración. Te ayudan a monitorizar tu perímetro y saber qué se ha desplegado. Sin embargo, un atacante también puede utilizarlas para enumerar todos los subdominios que están en uso.

No obstante, el punto de partida para establecer defensas es controlar todas las vías de entrada a su sistema.

Aprender de los errores ajenos

Hace poco me encontré con un ejemplo perfecto de este tipo de situación en un sitio que estaba analizando. La empresa se había tomado muchas molestias para asegurarse de que su sitio principal estuviera bien defendido, protegido con TLS 1.3 e incluso certificado como conforme con PCI-DSS. ¡Eso es mucho trabajo!

Pero... también ejecutaban un sistema de gestión de contenidos en un subdominio que ni siquiera estaba protegido con SSL/HTTPS. 🤦🏻‍♂️ Todo el tráfico a este CMS -incluso la autenticación- se ejecutaba completamente en claro.

Incluso Google Chrome sabe que esto es un problema, y pone la gran advertencia "No seguro" en la barra de URL. Dado que se trata de una página de inicio de sesión, el nombre de usuario y la contraseña se transmitirán en texto plano a través del cable. Cualquier atacante suficientemente motivado podría conseguirlo interceptando el tráfico a nivel de ISP o de red. Entonces, podrían utilizar esas credenciales para atacar otro sistema propiedad de la misma empresa. ¿Cuáles son las posibilidades de que algunas credenciales de este subdominio se reutilicen en otras aplicaciones dentro de la misma empresa? Yo diría que son bastante altas.

Alternativamente, el atacante podría obtener acceso al CMS e incrustar malware o JavaScript malicioso en la aplicación, exponiendo posteriormente los datos de los clientes cuando los empleados accedan a otros sistemas.

Se ha hecho un gran esfuerzo para asegurar la aplicación principal de esta empresa, su orgullo y alegría. La puerta principal está cerrada y hay guardias por todas partes. Mientras tanto, la puerta trasera está abierta de par en par y nadie la vigila.

Conclusión

La mayoría de la gente no cree que los dominios de subproducción supongan un gran riesgo. "Es seguridad a través de la oscuridad", dicen. Esperemos que este sencillo ejemplo haya aclarado por qué es una mala estrategia de seguridad. No importa lo pequeño que sea el sistema o la aplicación. Si su empresa lo utiliza, entonces debe formar parte de su enfoque de seguridad.

He aquí algunas medidas prácticas que puede tomar hoy mismo:

  1. Escanee sus dominios para crear un inventario de todos los subdominios que están actualmente en uso.
  2. Clasifique cada subdominio en función de su facilidad de explotación y del impacto que tendría en su empresa si fuera explotado.
  3. Despliegue herramientas de seguridad para bloquear el subdominio más fácilmente explotable y que más afectaría a su negocio.
  4. Vaya bajando en la lista a medida que disponga de los recursos y el ancho de banda necesarios.

Está bien empezar asegurando los subdominios poco a poco. Es mejor que no hacer nada en absoluto. No dejes que la perfección sea enemiga de lo bueno. Lo importante es tener en cuenta que cualquier solución que hayas desplegado en Internet introduce cierto grado de riesgo. Y dondequiera que haya riesgo, hay que prestar atención a su seguridad. Los atacantes no necesitan apoderarse de toda su empresa para causar daños significativos, por lo que incluso los sistemas no críticos merecen ser tratados con la gravedad que su empresa merece para gozar de una salud continuada.

Pensar como un atacante es un buen comienzo. Mantenerse alerta ante las vulnerabilidades y eliminar cualquier lugar en el que alguien pueda afianzarse y acechar durante un tiempo antes de ampliar su ataque es un gran paso para garantizar que su empresa no se convierta en la próxima gran noticia sobre ciberseguridad.

Para obtener más información sobre seguridad, consulte la amplia biblioteca de documentos y guías de Linode relacionados con la seguridad.

También te puede gustar...

Una ilustración que muestra un cronómetro y un escudo con una marca de verificación con el texto "Reducir la latencia, no la seguridad"
Philip McGuinness

Reducir la latencia, no la seguridad

3 de octubre de 2024
por Philip McGuinness
La Política de Seguridad de Contenidos (CSP) es una función de seguridad implementada en los navegadores para proteger los sitios y aplicaciones web de los ataques.
Seguridad

La empresa en la nube: Proteger la nube

A la carta
20 de septiembre de 2024
Explore las últimas estrategias y tecnologías para la seguridad en la nube, incluida la gestión de identidades y accesos, el cifrado de datos, la detección de amenazas y la gestión de la postura de seguridad de los datos con expertos de las principales empresas de seguridad en la nube.
Seguridad
Alex Leung

Lo inútil puede no ser inofensivo: La historia de una página de inicio de sesión con una pregunta de seguridad en blanco

17 de septiembre de 2024
por Alex Leung
Descubra cómo los atacantes aprovechan las vulnerabilidades de seguridad en las páginas de inicio de sesión y aprenda a proteger sus aplicaciones web con las mejores prácticas.
Seguridad

Comentarios

Dejar una respuesta

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *.