Vai al contenuto principale
Visualizza tutti i prodotti
Elaborazione
Archiviazione
Collegamento in rete
Databases
Servizi
Strumenti per gli sviluppatori
Industrie
Prezzi
Comunità
Impegnarsi con noi
Esplora il blog
Categorie
13
  1. Panoramica sul cloud
    51
  2. Elaborazione
    27
  3. Contenitori (Kubernetes, Docker)
    35
  4. Databases
    22
  5. Strumenti per gli sviluppatori
    43
  6. Linode
    263
  7. Linux
    69
  8. Multicloud
    4
  9. Collegamento in rete
    33
  10. Open Source
    6
  11. Rete di partner
    7
  12. Sicurezza
    64
  13. Archiviazione
    24
Autori 58
  1. Alex Leung 6
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Ari Weil 1
  9. Bradley LaBoon 1
  10. Blair Lyon 9
  11. Billy Thompson 10
  12. Christopher Aker 175
  13. Cassie Bubnis 1
  14. Daniele Polencic 4
  15. David Monschein 2
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 7
  23. Justin Cobbett 6
  24. Jon Frederickson 1
  25. Jorge Gaona 1
  26. Jonathan Hill 2
  27. Justin Mitchel 4
  28. James Steel 5
  29. Jamie Sherkness 8
  30. Linode 70
  31. Linode Events 8
  32. The Linode Security Team 122
  33. The Linode Network & Security Teams 1
  34. LINQ 1
  35. Leslie Salazar 1
  36. Michelle Berg 1
  37. Mitch Donaberger 1
  38. Mike Fischler 1
  39. Mike Maney 10
  40. Maddie Presland 20
  41. Mike Quatrani 4
  42. Nathan Melehan 2
  43. Nigel Poulton 1
  44. Philip McGuinness 1
  45. Prasoon Pushkar 1
  46. Peter Sari 1
  47. Rick Myers 7
  48. Richard Tubb 1
  49. Sal Carrasco 1
  50. Salman Iqbal 1
  51. Stuart Macleod 1
  52. Shawn Michels 1
  53. Linode Support 14
  54. Tom Asaro 18
  55. Travis Baka 2
  56. Talia Nassi 17
  57. Tim Vereecke 1
  58. Yuri Goldfeld 1
BlogSicurezzaPrestate attenzione ai sottodomini non di produzione

Attenzione ai sottodomini non di produzione

Alex Leung
Alex Leung
17 ottobre 2024
Illustrazione con il testo "Fate attenzione ai vostri sottodomini non di produzione".

È comune che i team di sicurezza concentrino i loro sforzi sul dominio di produzione principale di un'organizzazione. Dopo tutto, l'applicazione che trasporta il maggior traffico per l'organizzazione genera entrate. I dati esposti sono il bersaglio principale degli aggressori. È logico che la sicurezza sia la cosa più importante, ma non è tutto.

Se non siete convinti, allora è il momento di pensare un po' come un attaccante. Che cosa si potrebbe ottenere puntando a un obiettivo (in apparenza) meno prezioso? È possibile che un obiettivo meno vulnerabile possa aiutarvi a fare breccia per raggiungere l'obiettivo principale?

Scopriamolo.

Strategia di attacco: Trovare i punti deboli

Quando si pensa a come entrare in una fortezza ben difesa, nessun attaccante intelligente si avvicinerebbe alla porta d'ingresso e cercherebbe di abbatterla. Questa non sarebbe la loro unica strategia di attacco. Cercherebbe invece di trovare i punti deboli delle difese.

La sicurezza web non è diversa. Ciò è particolarmente vero nel mondo del cloud computing, in quanto le organizzazioni odierne sfruttano la portabilità del cloud per la flessibilità e la facilità di scalabilità. Ad esempio, con Linode è possibile avviare una nuova istanza di un'applicazione con un semplice clic.

Tuttavia, le comodità del cloud computing devono essere accompagnate da pratiche sicure. Piuttosto che aggiungere funzionalità all'applicazione principale, che dispone di una solida sicurezza, alcuni sottogruppi di ingegneri potrebbero trovare più semplice creare una nuova applicazione e distribuirla in un sottodominio. Certo, questi sottogruppi non stanno cercando di esporre l'organizzazione a un attacco. Tuttavia, espandendo l'impronta web dell'organizzazione con nuove applicazioni e sottodomini, aumentano la superficie di attacco e rendono più difficile la protezione dell'intero ambiente.

Tenete presente anche che le istanze delle applicazioni non di produzione sui sottodomini probabilmente devono comunicare con l'applicazione principale o almeno con il suo datastore. È qui che un aggressore può trovare un percorso da un sistema meno sicuro a un sistema più sicuro.

Strategia di difesa: Conoscere il perimetro

Torniamo alla metafora della fortezza. Uno dei modi migliori per un attaccante di trovare punti deboli è quello di esplorare l'intero perimetro dell'obiettivo. Quindi, se pensate come un aggressore, individuare tutti i possibili punti di attacco è un ottimo primo passo per assicurarsi che i sistemi siano ben protetti.

Strumenti come Sublist3r sono progettati per i team di sicurezza e i penetration tester. Aiutano a monitorare il perimetro e a sapere cosa è stato distribuito. Tuttavia, un aggressore può anche usarli per enumerare tutti i sottodomini in uso.

Tuttavia, il punto di partenza per impostare le difese è monitorare tutte le vie di accesso al sistema.

Imparare dagli errori degli altri

Di recente mi sono imbattuto in un esempio perfetto di questo tipo di situazione con un sito che stavo analizzando. L'azienda si era impegnata a fondo per garantire che il suo sito principale fosse ben difeso, protetto con TLS 1.3 e persino certificato come conforme agli standard PCI-DSS. È un sacco di lavoro!

Ma... gestivano anche un sistema di gestione dei contenuti su un sottodominio che non era nemmeno protetto da SSL/HTTPS. 🤦🏻‍♂️ Tutto il traffico verso questo CMS, persino l'autenticazione, avveniva in chiaro.

Persino Google Chrome sa che si tratta di un problema e mette il grande avviso "Non sicuro" sulla barra degli URL. Trattandosi di una pagina di login, il nome utente e la password vengono trasmessi in chiaro sul filo. Qualsiasi aggressore sufficientemente motivato potrebbe ottenerli intercettando il traffico a livello di ISP o di rete. Quindi, potrebbe utilizzare queste credenziali per attaccare un altro sistema della stessa azienda. Quali sono le probabilità che alcune credenziali di questo sottodominio siano riutilizzate in altre applicazioni della stessa azienda? Direi che sono piuttosto alte.

In alternativa, l'aggressore potrebbe ottenere l'accesso al CMS e incorporare malware o JavaScript dannoso nell'applicazione, esponendo successivamente i dati dei clienti quando i dipendenti accedono ad altri sistemi.

Sono stati compiuti molti sforzi per mettere in sicurezza l'applicazione principale di questa azienda, il suo fiore all'occhiello. Il cancello d'ingresso è chiuso e le guardie sono appostate ovunque. Nel frattempo, la porta sul retro è spalancata e nessuno la controlla.

Conclusione

La maggior parte delle persone non pensa che i domini di sottoproduzione rappresentino un rischio enorme. "È la sicurezza attraverso l'oscurità", dicono. Speriamo che questo semplice esempio abbia chiarito il motivo per cui si tratta di una strategia di sicurezza inadeguata. Non importa quanto sia piccolo il sistema o l'applicazione. Se la vostra azienda lo utilizza, allora deve rientrare tra le vostre priorità di sicurezza.

Ecco alcune misure pratiche che potete adottare oggi stesso:

  1. Eseguite una scansione dei vostri domini per creare un inventario di tutti i sottodomini attualmente in uso.
  2. Classificate ogni sottodominio in base alla facilità di sfruttamento e all'impatto sulla vostra azienda in caso di sfruttamento.
  3. Implementate strumenti di sicurezza per bloccare il sottodominio più facilmente sfruttabile e che avrebbe un impatto maggiore sulla vostra attività.
  4. Scorrete l'elenco man mano che avete le risorse e la larghezza di banda per farlo.

È possibile iniziare a proteggere i sottodomini un po' alla volta. È sicuramente meglio che non fare nulla! Non lasciate che la perfezione sia nemica del bene. L'importante è tenere presente che qualsiasi soluzione implementata in Internet introduce un certo grado di rischio. E ovunque ci sia un rischio, è necessario prestare attenzione alla sua sicurezza. Non è necessario che gli aggressori prendano il controllo dell'intera azienda per causare danni significativi, quindi anche i sistemi non critici meritano di essere trattati con la serietà che la vostra azienda merita per continuare a godere di buona salute.

Pensare come un aggressore è un ottimo inizio. Rimanere vigili sulle vulnerabilità ed eliminare tutti i luoghi in cui qualcuno potrebbe prendere piede e rimanere in agguato per un po' prima di espandere l'attacco è un passo enorme per garantire che la vostra azienda non diventi la prossima grande notizia di cybersecurity.

Per saperne di più sulla sicurezza, consultare l'ampia biblioteca di Linode di documenti e guide sulla sicurezza.

Ti potrebbe interessare anche...

Un'illustrazione che mostra un cronometro e uno scudo con un segno di spunta con il testo "Tagliare la latenza, non la sicurezza".
Philip McGuinness

Ridurre la latenza, non la sicurezza

3 ottobre 2024
di Philip McGuinness
La Content Security Policy (CSP) è una funzione di sicurezza implementata nei browser per proteggere i siti e le applicazioni web dagli attacchi.
Sicurezza

L'impresa alimentata dal cloud: Proteggere il cloud

Su richiesta
20 settembre 2024
Esplorate le strategie e le tecnologie più recenti per la sicurezza del cloud, tra cui la gestione dell'identità e degli accessi, la crittografia dei dati, il rilevamento delle minacce e la gestione della postura di sicurezza dei dati con gli esperti delle principali aziende di sicurezza del cloud.
Sicurezza
Alex Leung

Inutile può non essere innocuo: La storia di una pagina di login con una domanda di sicurezza vuota

17 settembre 2024
di Alex Leung
Scoprite come gli aggressori sfruttano le vulnerabilità di sicurezza nelle pagine di login e imparate a proteggere le vostre applicazioni web con le migliori pratiche.
Sicurezza

Commenti

Lascia una risposta

Il vostro indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati da *