Las organizaciones están recurriendo a los contenedores para alcanzar nuevos niveles de eficiencia y escalabilidad en la nube. Sin embargo, esto ha aumentado la complejidad de la superficie de ataque que deben proteger, y ha situado a los contenedores en el punto de mira de los adversarios.

La seguridad de los contenedores empieza en la imagen del contenedor. En ocasiones, los desarrolladores utilizan imágenes de base de registros externos para construir sus imágenes. Por desgracia, esas imágenes pueden contener malware o bibliotecas vulnerables. Debido a este panorama, es esencial que las organizaciones prioricen la evaluación de imágenes como parte de su estrategia de seguridad de la nube.

Tipos de errores de configuración habituales en las imágenes de contenedor

A continuación se incluyen algunos problemas de seguridad que suelen darse en las imágenes de contenedores:

Utilizar una cuenta de superusuario para los contenedores

Ejecutar un contenedor con privilegios root o de superusuario aumenta el peligro de que los ciberdelincuentes intenten comprometer el equipo host.

Utilizar imágenes obsoletas, vulnerables y con puertas traseras

Los ciberdelincuentes se aprovecharán de las imágenes vulnerables o comprometidas, por lo que el escaneo de imágenes es una defensa crítica.

Usuarios no deseados forman parte de un grupo Docker

Si un usuario forma parte de un grupo Docker, sus privilegios se pueden ampliar para obtener acceso root. Esta es una posición privilegiada para los ciberdelincuentes.

Uso de una bandera privilegiada

Ejecutar un contenedor con una bandera privilegiada otorga a los usuarios acceso a los recursos del host; un tipo de acceso que el ciberdelincuente puede utilizar de manera indebida si un contenedor se ve comprometido.

Montar archivos o directorios host confidenciales en el contenedor

Docker permite a los usuarios montar los archivos y directorios del equipo host en contenedores, lo que puede aumentar la superficie de ataque si los archivos son confidenciales.

Estos y otros errores de configuración que afectan a Docker o Kubernetes representan un riesgo significativo para las organizaciones, por lo que identificarlos debe ser un aspecto primordial en tu estrategia de seguridad de la nube.

Cómo atacan los ciberdelincuentes a los contenedores

Para reducir el riesgo, es necesario conocer las amenazas a las que se enfrenta tu organización. En entornos de nube, eso incluye entender cuál es el método de ataque utilizado en los contenedores.

El uso ilícito de contenedores de Docker con errores de configuración es una constante entre los ciberdelincuentes. Las imágenes de Docker son plantillas que sirven para crear contenedores y que los usuarios pueden utilizar bien de forma independiente para interaccionar directamente con una herramienta o un servicio, o bien como aplicación principal de otra secundaria. En esta modalidad jerárquica, si una imagen se modifica para contener herramientas maliciosas, también se infectan los contenedores subordinados.

En 2021, CrowdStrike Intelligence informó de la familia de malware Doki, que utiliza contenedores como vector de infección inicial y como medio para tareas de seguimiento paralelo. Tras lograr acceder, los ciberdelincuentes pueden utilizar estos privilegios elevados para desplazarse lateralmente y después extenderse por toda la red. CrowdStrike Intelligence también ha seguido rastreando operaciones delictivas que implican el acceso y la modificación de componentes de clústeres de Kubernetes.

Kubernetes es un sistema de orquestación de contenedores de código abierto que automatiza el despliegue, la ampliación y la gestión de aplicaciones, así como sus recursos compartidos asociados. El equipo de Threat Hunting de CrowdStrike ha observado entre los ciberdelincuentes un creciente interés por los clústeres de Kubernetes utilizados en entornos corporativos. El marco Kubernetes es un sistema complejo formado por varios componentes, lo que multiplica las posibilidades de que haya errores de configuración que ofrezcan a un atacante acceso inicial a un componente y, posteriormente, oportunidades de propagación lateral para poder acceder a los recursos deseados.

Cómo puedes proteger tus contenedores

Reduce las superficies de ataque en las imágenes de contenedor (eliminando, por ejemplo, las herramientas de depuración)

Para reducir la superficie de ataque, las empresas deben centrarse en detectar vulnerabilidades, malware o incumplimientos de normativas, entre otros, desde el desarrollo hasta el tiempo de ejecución.

Realiza un escaneo de vulnerabilidades como parte de los procesos de creación y puesta en marcha del contenedor en el registro de contenedores.

El escaneo de vulnerabilidades permite a las empresas detectar problemas de seguridad antes de que puedan ser aprovechados por los ciberdelincuentes.

Evita utilizar imágenes de contenedores compartidas públicamente.

Estas imágenes pueden estar desactualizadas o ser vulnerables, lo que podría añadir riesgo a tu entorno en la nube.

Limita los privilegios en los contenedores

Sigue el principio del mínimo de privilegios para que los contenedores no cuenten con permisos excesivos.

Preservar la seguridad de la infraestructura de la nube también pasa por proteger la canalización de IC/EC. Al incorporar la seguridad en fases más tempranas del ciclo de desarrollo y evaluar proactivamente los contenedores, la seguridad de la nube de CrowdStrike puede ayudar a la organización a reducir el riesgo, ya que identifica vulnerabilidades, malware incrustado, secretos almacenados u otros problemas de seguridad antes de su implementación.