Une lacune de cybersécurité « oubliée » pourrait rendre les détaillants plus vulnérables aux attaques
En examinant collectivement nos récents rapports d’audit pour plusieurs sites Web de vente au détail d’entreprises britanniques bien connus (que nous réalisons systématiquement avant les réunions avec les clients/prospects), nous avons constaté une observation flagrante : la protection des sous-domaines est largement ignorée. En fait, pour chaque détaillant audité, environ 1/3 de leurs domaines de site Web n’étaient pas protégés. C’est venu comme une petite surprise. Après tout, les entreprises ayant plus de sous-domaines ont une plus grande « surface d’attaque », mais lorsque je signale cela au responsable potentiel de la sécurité, il y a souvent peu d’appétit pour résoudre le problème. “Il n’y a rien de précieux sur eux ; ils sont protégés par mot de passe – alors pourquoi s’embêter?”
Méfiez-vous d’un danger caché
La prise de contrôle des sous-domaines, comme on l’appelle plus communément, est en augmentation, mais malgré cela, elle est souvent mal prise en charge et les mesures prises pour l’atténuer sont limitées. Il y a une raison simple à cela. Les services de sécurité qui ont besoin de ressources et de budgets limités sont déjà à rude épreuve, de sorte que l’attention tend à se concentrer sur la sécurisation des domaines principaux. Trouver des domaines vulnérables au sein d’un système n’est pas une tâche simple, mais la sécurité des sous-domaines est un aspect tout aussi critique qui pourrait finir par faire plus de mal que de bien s’il n’est pas contrôlé. Une mauvaise hygiène DNS ouvre la porte à toutes sortes d’abus qui peuvent faire des ravages sur la sécurité de votre organisation et de ses parties prenantes.
Que sont les sous-domaines et pourquoi sont-ils importants ?
Un sous-domaine est une annexe à votre domaine racine de site Web – support.companydomainname.com. Ils sont mis en place pour diverses raisons : héberger un blog ou un site de carrières distinct, créer un environnement de test de site Web ou une entité différente de la principale présence numérique d’une organisation – c’est-à-dire une « boutique » de fans pour un site Web d’équipe de football.
Comment les pirates peuvent-ils exploiter des sous-domaines et pourquoi le font-ils ?
En volant des cookies de session ou du code source, les mauvais acteurs tentent d’obtenir un accès non autorisé à un sous-domaine légitime pour falsifier la ressource ou la remplacer par un faux site. Ils peuvent ensuite inciter des utilisateurs peu méfiants à le visiter, voler leurs cookies et hameçonner leurs identifiants, causant des dommages financiers et à la réputation d’une entreprise,
Comment les entreprises peuvent-elles se protéger contre la prise de contrôle de sous-domaine ?
Gestion et visibilité des sous-domaines
Commencez par implémenter la certification SSL dans tous les domaines, pas seulement dans le domaine principal. Étonnamment, cette procédure standard n’est pas toujours mise en œuvre.
La prochaine chose à faire est d’effacer les entrées DNS inutilisées ou maintenant disparues. Construire une bibliothèque complète de sous-domaines et de fonctions similaires à ce qui est souvent contenu dans un « livre de marque » aide à garder un œil sur ce que sont les sous-domaines légitimes et leurs utilisations.
Protection des applications Web
Avoir tous les sous-domaines protégés par un pare-feu d’application Web (WAF) et une solution de gestion de bots aide à garder un œil sur le mouvement des mauvais acteurs et la façon dont ils tentent d’accéder. Les sous-domaines de site Web ont des objectifs différents, et très souvent, différentes sociétés d’hébergement les supervisent. Cela signifie que la façon dont les WAF ou les systèmes de gestion de bots sont administrés peut varier, ce qui peut causer des problèmes au responsable INFORMATIQUE en charge de leur gestion.
Pensez-y comme monter dans une voiture étrange – vous savez qu’il y a des essuie-glaces, mais la façon dont ils sont commandés est susceptible de varier. Garantir que tous les sous-domaines sont protégés par un système de protection unique, c’est-à-dire une application Web unifiée et une solution de protection API (WAAP) avec WAF et gestion des bots intégrés dans une seule plate-forme et une seule interface, facilite l’observation et la réduction des menaces dans tous les sous-domaines.
Surveillance DNS
Avoir un endroit commun où le DNS est administré pour l’ensemble du domaine de premier niveau facilite la recherche des vulnérabilités et la surveillance des changements. La surveillance des nouvelles entrées et des modifications apportées aux entrées existantes peut être une excellente étape pour vérifier les mauvais acteurs.
Audit régulier
L’utilisation d’un outil d’audit établi est une partie essentielle de l’hygiène du site Web. Il exposera tous les sous-domaines et le niveau de protection en place. Méfiez-vous également que ces outils sont souvent également utilisés par de mauvais acteurs pour fournir une indication sur les vecteurs d’attaque qui pourraient être les plus efficaces.
Une posture de cybersécurité solide commence par sécuriser chaque recoin de votre présence numérique, y compris vos sous-domaines. Trouver des domaines vulnérables au sein d’un système n’est pas une tâche simple, mais en mettant en place des routines simples, les marques peuvent mieux protéger leurs actifs et leur réputation à long terme.
La plate-forme Edgio applications offre une protection complète des applications et des API, y compris la gestion et la protection DDoS combinées à des outils d’accélération de site Web, le tout géré à travers un seul panneau de verre.
Si vous souhaitez un audit complet de vos sous-domaines, inscrivez-vous pour un audit de sécurité ou parlez à l’un de nos experts.
Contenu de support
- https://hackernoon.com/how-hackers-attack-subdomains-and-how-to-protect-them-rc7j37f2
- https://informer.io/resources/subdomain-takeover
- https://www.theregister.com/2021/06/30/subdomain_vulnerabiilties/
