Pular para o conteúdo principal
Ver todos os produtos
Computação
Armazenamento
Rede
Databases
Serviços
Ferramentas para desenvolvedores
Setores
Preços
Comunidade
Envolva-se conosco
Explore o Blog
Categorias
13
  1. Visão geral das nuvens
    51
  2. Computação
    27
  3. Recipientes (Kubernetes, Docker)
    35
  4. Databases
    22
  5. Ferramentas para desenvolvedores
    43
  6. Linode
    263
  7. Linux
    69
  8. Multicloud
    4
  9. Rede
    33
  10. Código Aberto
    6
  11. Rede de parceiros
    7
  12. Segurança
    64
  13. Armazenamento
    24
Autores 58
  1. Alex Leung 6
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Ari Weil 1
  9. Bradley LaBoon 1
  10. Blair Lyon 9
  11. Billy Thompson 10
  12. Christopher Aker 175
  13. Cassie Bubnis 1
  14. Daniele Polencic 4
  15. David Monschein 2
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 7
  23. Justin Cobbett 6
  24. Jon Frederickson 1
  25. Jorge Gaona 1
  26. Jonathan Hill 2
  27. Justin Mitchel 4
  28. James Steel 5
  29. Jamie Sherkness 8
  30. Linode 70
  31. Linode Events 8
  32. The Linode Security Team 122
  33. The Linode Network & Security Teams 1
  34. LINQ 1
  35. Leslie Salazar 1
  36. Michelle Berg 1
  37. Mitch Donaberger 1
  38. Mike Fischler 1
  39. Mike Maney 10
  40. Maddie Presland 20
  41. Mike Quatrani 4
  42. Nathan Melehan 2
  43. Nigel Poulton 1
  44. Philip McGuinness 1
  45. Prasoon Pushkar 1
  46. Peter Sari 1
  47. Rick Myers 7
  48. Richard Tubb 1
  49. Sal Carrasco 1
  50. Salman Iqbal 1
  51. Stuart Macleod 1
  52. Shawn Michels 1
  53. Linode Support 14
  54. Tom Asaro 18
  55. Travis Baka 2
  56. Talia Nassi 17
  57. Tim Vereecke 1
  58. Yuri Goldfeld 1
BlogSegurançaPreste atenção em seus subdomínios que não são de produção

Preste atenção aos seus subdomínios que não são de produção

Alex Leung
Alex Leung
17 de outubro de 2024
Ilustração com o texto "Preste atenção aos seus subdomínios que não são de produção"

É comum que as equipes de segurança concentrem seus melhores esforços no domínio de produção principal de uma organização. Afinal de contas, o aplicativo que carrega a maior parte do tráfego dessa organização gera receita. Os dados expostos ali são o maior alvo dos invasores. Faz sentido que proteger isso seja o mais importante, mas não é tudo.

Se você não estiver convencido, é hora de pensar um pouco como um atacante. O que pode ser alcançado ao mirar em um alvo que é (superficialmente) menos valioso? É possível que um alvo menor vulnerável possa ajudá-lo a fazer incursões para atingir o alvo principal?

Vamos descobrir.

Estratégia de ataque: Encontre os pontos fracos

Ao pensar em como entrar em uma fortaleza bem defendida, nenhum invasor inteligente iria até a porta da frente e tentaria derrubá-la. Essa não seria sua única estratégia de ataque. Em vez disso, ele tentaria encontrar os pontos fracos nas defesas.

A segurança na Web não é diferente. Isso é especialmente verdadeiro no mundo da computação em nuvem, pois as organizações de hoje estão aproveitando a portabilidade da nuvem para obter flexibilidade e fácil dimensionamento. Por exemplo, com a Linode, você pode ativar uma nova instância de um aplicativo com o simples clique de um botão.

No entanto, as conveniências da computação em nuvem precisam ser acompanhadas de práticas seguras. Em vez de adicionar funcionalidade ao aplicativo principal, que tem toda a segurança forte em torno dele, algumas subequipes de engenharia podem achar mais fácil criar um novo aplicativo e implantá-lo em um subdomínio. Com certeza, essas subequipes não estão tentando expor a organização a um ataque. No entanto, ao expandir a área de cobertura da Web da organização com novos aplicativos e subdomínios, elas estão aumentando a superfície de ataque e tornando mais difícil proteger todo o ambiente.

Lembre-se também de que as instâncias de aplicativos que não são de produção em subdomínios provavelmente precisam se comunicar com o aplicativo principal ou, pelo menos, com seu armazenamento de dados. É nesse ponto que um invasor pode encontrar um caminho de um sistema menos seguro para um sistema mais seguro.

Estratégia de defesa: Conheça seu perímetro

Vamos voltar à nossa metáfora da fortaleza. Uma das melhores maneiras de um invasor encontrar pontos fracos é explorar todo o perímetro do alvo. Portanto, se você estiver pensando como um invasor, encontrar todos os possíveis pontos de ataque é uma ótima primeira etapa para garantir que os sistemas estejam bem protegidos.

Ferramentas como a Sublist3r são projetadas para equipes de segurança e testadores de penetração. Elas o ajudam a monitorar seu perímetro e a saber o que foi implantado. No entanto, um invasor também pode usá-las para enumerar todos os subdomínios que estão em uso.

No entanto, o ponto de partida para configurar as defesas é monitorar todas as formas de acesso ao seu sistema.

Aprendendo com os erros dos outros

Recentemente, encontrei um exemplo perfeito desse tipo de situação em um site que eu estava analisando. A empresa havia se esforçado muito para garantir que seu site principal fosse bem defendido, protegido com TLS 1.3 e até mesmo certificado como compatível com PCI-DSS. Isso dá muito trabalho!

Mas... eles também executavam um sistema de gerenciamento de conteúdo em um subdomínio que nem sequer estava protegido com SSL/HTTPS. 🤦🏻‍♂️ Todo o tráfego para esse CMS, até mesmo a autenticação, estava sendo executado de forma totalmente transparente.

Até mesmo o Google Chrome sabe que isso é um problema e exibe o grande aviso "Not Secure" (Não seguro) na barra de URL. Como essa é uma página de login, o nome de usuário e a senha serão transmitidos em texto simples pela rede. Qualquer invasor suficientemente motivado poderia obter isso interceptando o tráfego no ISP ou no nível da rede. Em seguida, ele poderia usar essas credenciais para atacar outro sistema da mesma empresa. Quais são as chances de que algumas credenciais nesse subdomínio sejam reutilizadas em outros aplicativos da mesma empresa? Eu diria que são bem altas.

Como alternativa, o invasor pode obter acesso ao CMS e incorporar malware ou JavaScript malicioso no aplicativo, expondo posteriormente os dados do cliente quando os funcionários acessarem outros sistemas.

Foi feito um grande esforço para proteger o principal aplicativo dessa empresa, seu orgulho e alegria. O portão da frente está trancado e há guardas em todos os lugares. Enquanto isso, a porta dos fundos está totalmente aberta e ninguém a está vigiando.

Conclusão

A maioria das pessoas não acredita que os domínios de subprodução representem um grande risco. "É a segurança por meio da obscuridade", dizem elas. Esperamos que este exemplo simples tenha deixado mais claro por que essa é uma estratégia de segurança ruim. Não importa o tamanho do sistema ou do aplicativo. Se a sua empresa o implementa, ele precisa fazer parte do seu foco de segurança.

Aqui estão algumas medidas práticas que você pode tomar hoje:

  1. Examine seus domínios para criar um inventário de todos os subdomínios que estão em uso no momento.
  2. Classifique cada subdomínio de acordo com a facilidade de exploração e o impacto em seus negócios se ele for explorado.
  3. Implemente ferramentas de segurança para bloquear o subdomínio que é mais facilmente explorável e que mais afetaria seus negócios.
  4. Vá diminuindo a lista à medida que tiver os recursos e a largura de banda para isso.

Não há problema em começar protegendo seus subdomínios um pouco de cada vez. Isso certamente é melhor do que não fazer nada! Não deixe que a perfeição seja inimiga do bom. O importante é ter em mente que qualquer solução que você tenha implantado na Internet apresenta um certo grau de risco. E em qualquer lugar em que haja risco, você deve prestar atenção à segurança. Os invasores não precisam assumir o controle de toda a sua empresa para causar danos significativos, portanto, até mesmo os sistemas não críticos merecem ser tratados com a seriedade que sua empresa merece para manter a saúde contínua.

Pensar como um invasor é um ótimo começo. Ficar atento às vulnerabilidades e eliminar qualquer lugar onde alguém possa se estabelecer e ficar à espreita por algum tempo antes de expandir o ataque é um grande passo para garantir que sua empresa não se torne a próxima grande notícia sobre segurança cibernética.

Para saber mais sobre segurança, confira a extensa biblioteca de documentos e guias relacionados à segurança da Linode.

Você também pode gostar...

Uma ilustração que mostra um cronômetro e um escudo com uma marca de seleção com o texto "Cutting Latency, Not Security"
Philip McGuinness

Reduzindo a latência, não a segurança

3 de outubro de 2024
por Philip McGuinness
A Content Security Policy (CSP) é um recurso de segurança implementado nos navegadores para proteger sites e aplicativos da Web contra ataques.
Segurança

A empresa impulsionada pela nuvem: Protegendo a nuvem

Sob Demanda
20 de setembro de 2024
Explore as mais recentes estratégias e tecnologias de segurança na nuvem, incluindo gerenciamento de identidade e acesso, criptografia de dados, detecção de ameaças e gerenciamento de postura de segurança de dados com especialistas das principais empresas de segurança na nuvem.
Segurança
Alex Leung

Inútil pode não ser inofensivo: A história de uma página de login com uma pergunta de segurança em branco

17 de setembro de 2024
por Alex Leung
Descubra como os invasores exploram as vulnerabilidades de segurança nas páginas de login e saiba como proteger seus aplicativos da Web com as práticas recomendadas.
Segurança

Comentários

Deixe uma resposta

Seu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados com *